Узнет. Иллюзия безопасности

uchastnik Заявить о себе в сети стало заметно проще. Отныне нет нужды в особых знаниях интернет-технологий, приемов верстки, программирования и дизайна. Процесс создания сайта упростился до невозможности – достаточно всего лишь завести себе аккаунт на крупном блогхостинге. Еще один способ – купить домен и установить одну из сотен известных бесплатных систем управления контентом (CMS). И лишь небольшая часть публики используют собственные или специально разработанные системы управления сайтом – в основном, это касается среднего и крупного бизнеса.

Аварийный выход на высоте 30 тысяч футов. Иллюзия безопасности…
Из x/ф “Бойцовский клуб”

Быстрота выхода в интернет как средства заявить о себе увеличилась в разы. И здесь свою особую “темную” роль сыграла автоматизация. Готовые CMS, веб-разработки под ключ, автоматические системы управления информацией, сторонние плагины и виджеты, берущие на себя львиную долю работы и автоматизирующие работу веб-приложений, настолько расслабили как продвинутых интернет-пользователей, так и веб-разработчиков с системными администраторами, что можно только диву даваться.

Продвинутый интернет-пользователь, устанавливая столь популярные системы как WordPress, Joomla, Drupal и др., очень часто не заботится далее о своевременном обновлении версий ПО, что влечет за собой высокий процент взломов и шансов сайту быть уязвленным, причем зачастую пользователь даже не подозревает о том, что его сайт подвержен атаке или уже взломан и используется в корыстных целях.

Системы под ключ (т.е без постоянной поддержки разработчиком) скрывают в себе немалое количество опасностей, проявляющиеся особенно отчетливо со временем. Индустрия софтверных разработок развивается настолько стремительно, что надежность и безопасность самих приложений отходит на второй план – с каждым днем интернет-источники все больше рапортуют об очередных уязвимостях новых версий ПО, доселе неизвестных методах проникновений, обнаружении ошибок в реализациях протоколов и системных драйверов, недостаточности защищенности ОС и т.д. Создать полностью универсальный безопасный продукт или веб-приложение невозможно. Увы, но без постоянной поддержки или мониторинга безопасность любого сайта иллюзорна – даже самого защищенного. К тому же, никто не может быть застрахован от человеческого фактора. В современных многофункциональных open source системах управления сайтом критические уязвимости согласно последним исследованиям обнаруживают не позже, чем за 3-6 месяцев, после чего разработчики выпускают очередную исправленную версию ПО. Другими словами, если веб-сайт функционирует на такой CMS уже достаточно давно (около полугода), то, вероятно, ему присуще множество дыр в безопасности, и если никто ими еще не воспользовался, то только потому, что, вероятно, до этого сайта нет никому дела.

Впрочем, это всего лишь прелюдия. Многие разработчики прекрасно осведомлены или догадываются о проблеме использования готовых решений без их постоянного мониторинга и поддержки. Гораздо страшнее, когда опытные веб-разработчики, устанавливая готовые продукты или свои собственные разработки, будучи уверенными в безопасности своего приложения, забывают о простейших элементах защиты и безопасности как то: запретитить просмотр системных каталогов веб-проекта рядовому пользователю, корректно настроить права доступа к файлам и папкам, удалить все неиспользуемые приложением файлы – копии старых файлов, архивы, бекапы, файлы контроля версий проекта (SVN, SourceSafe и др) и т.д.

К сожалению, очень часто веб-разработчики и администраторы надеютсся на неосведомленного пользователя, который не захочет тратить свое время для поиска уязвимостей и неточностей в реализации. Однако, чем крупнее и посещаемее сайт, тем выше число желающих найти в нем уязвимость. И будет только здорово, если энергию в поиске проблем безопасности такие активисты направят в русло помощи проекту, а не ради использования в корыстных целях, что, к сожалению, случается нередко.

Уязвленный узнет
Настало время спроецировать все перечисленные проблемы безопасности на узнет. К большому разочарованию может оказаться, что узнет не только перенял эти недостатки, но и усугубил их – в основном, увы, низким уровнем разработчиков или постоянным оттоком опытных программистов и администраторов, которым или нет надежной замены, или достойной оплаты труда. В дальнейшем, в этой статье мы представим для обозрения читателям три примера уязвимостей на крупнейших интернет-проектах мобильных порталах страны. Казалось бы: столь крупные и посещаемые веб-порталы просто обязаны следить за своей защищенностью и безопасностью, однако на практике выяснилось, что это далеко не так. Заметим, что поиск уязвимостей был направлен исключительно в благих целях – дабы незамедлительно сообщить о проблемах в безопасности службе поддержке интернет-порталов и тем самым предотвратить в будущем возможные атаки, направленные в корыстных целях. В статье намеренно опускаются тонкости м обнаружения уязвимостей, дабы не подбадривать пытливых интернет-пользователей в поисках оных, тем не менее, читатель может быть уверен — обо всех уязвимостях было своевременно доложено в письменной форме и все неисправности оперативно исправлены.


1. Уязвимость в персональном кабинете пользоватей услуги Sharq Stream

В результате достаточно простых последовательности действий и проверок была обнаружена критическая ошибка в персональном кабинете пользователей услуги adsl-доступа Sharq Stream, позволяющая получить доступ ко всем исполняемым файлам программного обеспечения сайта вместе с базой данных пользователей. Ошибка оказалась, к сожалению, весьма простой и очевидной. Одна из папок в персональном кабинете позволяла просматривать свое содержимое. Это хорошо видно на скриншоте окна браузера

uz_26_12_2009

Ошибка достаточно распространенная и не обязательно несущая уязвимость системе. Однако, печальнее всего, что пользователь с легкостью может скачать любой из файлов в этой папке посредством браузера – что и является второй критической и самой важной ошибкой в безопасности на проекте. Как впоследствии выяснилось, разработчики при переносе одной из версий приложения забыли запретить доступ пользователям к файлам с нестандратным расширением. В данном случае — с расширением .inc. В результате пользователю, как видно из названий файлов, мог достаться практически весь код персонального кабинета, более того, файл database.inc очевидно намекает о том, что в нем хранится информация для доступа к базе данных абонентов провайдера.


2. Уязвимость на странице персонального кабинета сайта buzton.com

К сожалению, и здесь не обошлось без досадной оплошности. Разработчики или администратор сайта по неосторожности оставил одну из папок на сайте открытой для просмотра ее содержимого.

uz_26_12_2009_1

На скриншоте экрана браузера можно разобрать, что большинство файлов в папке достаточно безобидные, однако если бросить взор на папку cmvrs и открыть ее в браузере простым кликом мышки, то на обозрение пользователю предстанут архивы – файлы с расширением tar, которые, как и в случае с примером №1, скачиваются в браузере простым кликом мышки. Другими словами, архивы фактически лежат в публичном доступе. Достаточно лишь знать или подобрать верный путь.

При беглом взгляде на архивы становится очевидным, что перед нами частично предстал во всей красе продукт Comverse ONE

Техническая справка:
Компания Comverse – крупнейший поставщик софтверных решений для рынка мобильной связи. Поставляет биллинговые, мультимедийные, контентные решения, сервисы и гейты для работы c SMS, MMS, ip-телефонией и т.д. На сайте компании указывается незаурядный факт — свыше 400 мобильных операторов в 125 странах мира используют продукты компании. Продукты Comverse стоят немалых денег. Для того, чтобы научиться работать с продуктами Comverse сотовые операторы отправляют своих сотрудников на специальное обучение и тренинги за рубеж.

Внимание сразу же привлекает папка с достаточно оригинальным названием FunDial, ненавязчиво навивающая мысли, что за продукт перед нами. Опытные пользователи наверняка встечали такое название в сети на сайтах мобильных операторов. При помощи сайта Comverse можно понять, что это система установки и управления мелодиями вместо гудка на мобильном телефоне. В современном мире мобильной связи такими сервисами обладают почти все крупные операторы. В Узбекистане это Своя Мелодия у Билайн, GoodOK у МТС и DJ у UСell.

И, наконец, совсем не обязательно быть экспертом, чтобы заглянув на сайт подобной услуги установки мелодии вместо гудка от компании UСell обнаружить, что и этот веб-портал работает на платформе FunDial от Comverse. Об этом пользователю ненавязвичо сообщает надпись на логотипе сайта dj.ucell.uz — Fun Dial. И здесь с позволения читателя мы плавно перейдем к уязвимости под №3


3. Уязвимость на сервисе замены гудка на мелодию от компании UCell

Как уже успел вынести читатель из предыдущего примера, компания UCell использует на своем сервисе замены гудка на мелодию dj.ucell.uz ту же самую платформу от Comverse – FunDial. Поскольку из примера №2 структура подкаталогов и пути расположения файлов внутри директории FunDial для нас уже перестала быть секретом, то из любопытства можно ввести один из таких путей в браузере, но уже на сайте dj.ucell.uz.

uz_26_12_2009_2

И перед нами предстает картина, на которой видны не только конфигурацинные xml файлы, но и к всеобщему ужасу, файлы сценариев для линукс-систем с расширением .sh, легко скачиваемые из браузера лишь одним кликом мышки.

Резюме:
Как легко можно заметить, все вышеперечисленные примеры уязвимостей являются несложными по своей сущности исследованиями. Ни в одном из примеров читатель не найдет сложных сетевых атак, подбора паролей или кражу аутенификационных данных. Увы, все данные лежат на поверхности – в публичном доступе. Сложность заключается лишь в том, чтобы добраться до этих данных разрешенными методами, что у нас с успехом (или к несчастью?) получилось без особого труда.

Автор статьи преследовал своей целью лишь найти серьезные уязвимости, а не воспользоваться полученной информацией, файлами или развить атаку. Обо всех уязвимостях было своевременно сообщено службам операторов, на сайтах которых были найдены уязвимости. На текущий момент все уязвимости благополучно закрыты.

Эпилог:
Абсолютно любая система в интернете уязвима: или прямо сейчас, или станет таковой в будущем. Универсальных неуязвимых систем не бывает. Риск уязвимости можно лишь только сократить. Уязвимость всегда бывает там, где ее обычно не ждут.

Крупным интернет-системам, хранящим у себя тысячи и миллионы приватных записей, просто необходимо с особой тщательностью подходить к вопросам безопасности на всех фронтах – как веб-разработок, так администрирования и мониторинга, иначе работа десятков и тысяч сотрудников может сойти на нет из-за невнимательности и забывчивости одного, запамятовшего удалить лишь один файл.

Безопасность иллюзорна. На какой бы “высоте” она не находилась.

Orphus system