CDR.cz - Vybráno z IT

CDR SecUpdate 24 - Úniky uživatelských dat z českých webů - jaká je praxe?

secup24-logo
FBI špehuje americké občany, to je upečená a prokázaná věc. Ale jak to vypadá s ochranou osobních údajů na českých webech? Věnují administrátoči bezpečnosti svých webových aplikací dostatečnou pozornost?

Chyby v softwaru

Zranitelnost v Javě se dostala k tisícům hackerů po světě

Týká se: Java 7 Update 17

Java dostala začátkem roku pár zásahů a výjimkou nebyla ani bezpečností konference Pwn2Own 2013. Minulý týden se však představený epxloit (kód zneužívající zranitelnost v softwaru) objevil v proslulém Metasploit frameworku, který integruje tisíce podobných kódů do jednoho funkčního celku. Díky tomu bude zneužítí chyby i relativně nezkušenými lidmi přímočaré a jednoduché. Pokud jste tak stále neučinili, určitě je to důvod k aktualizaci Java 7 Update 17 na nejnovější verzi. 

Problémy s Javou byly na denním pořádku jak začátkem 2013, tak minulý rok (zejména koncem letních prázdnin). Díky opakovaným problémům se velké společnosti pomalu přesunují z Javy na bezpečnější platformy. Příkladem může být nedávno přesunutá aplikace mojebanka - tedy internetové bankovnictví od Komerční Banky - která již funguje pro většinu obvyklých operací bez Javy.

Novinky a Události

S Romanem Kümmelem o nezabezpečených datech na českém internetu

Ochranou osobních údajů se v poslední době zabývá většina nejen bezpečnostního internetu. Edward Snowden zburcoval všechny bojovníky proti americkému vládnímu šmírování a přiměl většinu ostatních vlád k sebereflexi. 

Ale úniky citlivých dat se nemusí týkat pouze vládních agentur, nebezpečí zneužití číhá i v samotných zranitelných webových aplikacích. Těch je podle Romana Kümmela ze SOOMu na českém internetu zhruba 80 %. Roman publikoval na toto téma koncem minulého týdne zajímavý článek o chybě na webu Libimseti.cz, která za určitých okolností umožňuje zobrazení soukromých a zamčených fotografií. Z našeho rozhovoru plyne, že teenagerský portál "Líbko" není zdaleka jediným webem s problémy ohledně ochrany osobních dat...

Romane, chápu správně tvoje zjištění, že kdokoliv může prohlížet zamčené i soukromé fotografie na serveru Libimseti.cz?

Ano Jirko, je to přesně tak. Sice mnou zveřejněný postup není tak přímočarý, aby si kdokoliv mohl říct: „Teď se chci podívat do tohoto zamčeného fotoalba“, ale i to by s trochou té námahy a času mohlo být klidně možné.

libimseti-1

Mnou popsaný postup, který upozorňuje na příliš „upovídaný“ skript photo-info, lze využít pouze k tomu, aby se kdokoliv dozvěděl cestu a jméno souboru s fotografií podle jejího id. Zranitelnost přitom spočívá ve skutečnosti, že uvedený skript nijak nekontroluje, zda je fotografie veřejná, neveřejná, nebo zda je chráněna heslem. Kdyby si někdo dal tu práci a postahoval ze serveru Libimseti.cz informace o všech použitých id, pak by bez problému mohl filtrovat fotografie právě podle uživatelského účtu nebo podle alba.

Vypadá to jako docela závažná chyba v zabezpečení, co nebo kdo ji podle tebe může obecně způsobit? Lze podobným problémům zamezit? Stojí to peníze nebo hromady času?

Podobné „chybky“ nejsou ničím ojedinělým. Podobné postupy pro přístup k soukromým fotografiím a jiným soukromým datům byly odhaleny i na dalších českých serverech, například na Xchatu, Rajce.net nebo na Ulozto.cz.

Obecně lze říci, že za tato slabá místa mohou vývojáři webových aplikací, kterým během vývoje často nedojdou všechny možnosti, o které se může útočník pokusit. Aby byl vývojář schopen psát kód, jenž by podobným postupům odolal, musel by se při vývoji dívat na aplikaci právě z pohledu útočníka. V konečném důsledku by pak ale výsledný kód mohl mít třeba i desetinásobek své původní velikosti a jeho vývoj by se úměrně k tomu protáhnul a prodražil. Pokud je tedy vývojář pod časovým pressem, pak se není čemu divit, když ošetří pouze základní zranitelnosti a ty ostatní nechá třeba i vědomě na později. Je přitom otázkou, zda se k těmto vědomě nedokonalým částem kódu ještě někdy sám od sebe vrátí.

libimseti-2

V případě Libimseti.cz, měl možná autor skriptu dobrou myšlenku, ale už jej prostě nenapadlo, že by mohl být skript uvedeným způsobem zneužit k přístupu k utajeným informacím. Podobně tomu je například i u přepravních společností, které uživatelům poskytují službu „sledování zásilky“. Zde je rovněž zásilka často identifikována na základě jí přiděleného identifikátoru, který nebývá těžké uhodnout (často bývá tímto identifikátorem dokonce i přímo sekvenční posloupnost). Když si uvědomíme, že jsou v České republice nejčastějším kybernetickým zločinem právě podvody v oblasti nakupování přes internet, tak zmínění přepravci mohou této kriminalitě přímo nahrávat, když na internetu veřejně vystavují informace odkud a kam vezou kdy jakou zásilku. Pokud k tomu navíc ještě uvedou, kolik zásilka váží a jak vysoká je na ní dobírka, musí to být pro podvodníky zlatý důl.

Jde o zabezpečení našich osobních údajů, vnímáš podobné chyby jako častý problém na českých webech, jestli ano tak proč si myslíš, že tomu tak je?

leak-banner

Osobně jsem svou profesí již natolik zdeformován, že si neodpustím krátký bezpečnostní test téměř žádné webové stránky, kterou navštívím. Díky tomu mohu dát s klidným svědomím za pravdu všem bezpečnostním výzkumům, které uvádí, že nějakou tu zranitelnost je možné najít ve zhruba 80% všech webových aplikací. Současně si ale nemyslím, že by mělo jít o nějaký český fenomén. Situace je víceméně stejná i jinde bez ohledu na to, ve které zemi je aplikace vyvíjena nebo provozována. Vývojář je prostě jen člověk, a uhlídat všechno zkrátka není a nemůže být v jeho silách.

Mohou podobným únikům předcházet samotní uživatelé, nebo jak mohou alespoň zmírnit jejich dopad?

Uživatelé by si měli být vždy vědomi skutečnosti, že všechna data, která na internetu ukládají, mohou být kdykoliv odcizena nebo zneužita, a proto by se měli na internetu chovat odpovídajícím způsobem. Obecně je uživatelům doporučováno, aby na internet ukládali pouze taková data, která by kdykoliv s klidným svědomím sami zveřejnili. Pro případ úniku dat z některé databáze se také doporučuje používat při registracích ke službám různá hesla. V případě používání jednoho univerzálního hesla člověk po průniku snadno přijde o celou svou internetovou identitu, která často může být i jeho druhým životem.


Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě. 

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

Díly CDR Security Update SPECIÁL

Tagy: 
Zdroje: 

Jiří Moos (Google+)

Jirka Moos je redaktor CDR.cz a DIIT.cz, kreativec se smyslem pro humor a také blázen do zabezpečení IT systémů. Vede bezpečnostní týdeník CDR Security Update a v současné době řeší marketing a redakční spolupráce CDR/DIIT.

více článků, blogů a informací o autorovi

Diskuse ke článku CDR SecUpdate 24 - Úniky uživatelských dat z českých webů - jaká je praxe?

Úterý, 18 Červen 2013 - 16:02 | HKMaly | "Je přitom otázkou, zda se k těmto vědomě...

Zobrazit diskusi