Deník etického hackera: Jak jsem (ne)hackoval Firmáčkov s.r.o. - Díl 1

Martin mi zavolal v úterý odpoledne.

Zněl nervózně. Což je normální. Většina lidí zní nervózně, když poprvé volají hackerovi.

„Slyšel jsem o vás od kolegy. Řekl mi, že děláte... no... že se snažíte nabourát firmy. Legálně.“

„Přesně tak. Penetrační testy. Hledáme díry ve vašich systémech, než je najde někdo, komu to neřeknete.“

„Aha. Jo. To dává smysl.“ Pauza. „Kolik to stojí?“

Říkám mu cenu.

Další pauza. Delší.

„To je... hodně.“

„Je. Ale pořád je to levnější než když vás někdo fakt hackne.“

„To je pravda.“ Zaslechnu jak si povzdechne. „Víte, my jsme teď pod tím novým zákonem o bezpečnosti. A já fakt nevím, jestli jsme v cajku. Šéf IT mi říká, že jo. Ale... nevím. Mám pocit, že něco přehlížíme.“

Martin je chytrý. Ten instinkt ho asi zachránil už víckrát.

„Ok, pojďme na to. Pošlete mi smlouvu, definujeme scope a začneme.“

O tři dny později sedím u počítače s kávou a otevřeným notebookem.

Firmáčkov s.r.o. vyrábí nějaké průmyslové díly. Mají e-shop, interní systém, asi 150 zaměstnanců. Klasika.

Martin mi poslal přístupy do testovacího prostředí:
Username: admin@firmackov.cz
Password: Heslo123

Koušu se do rtu, abych se nezasmál. Heslo123. Jasně, je to jen testovací účet, ale stejně.

Začínám klasicky. Reconnaissance. Fancy slovo pro „čumím na jejich web a mapuju, co tam je“.

Googluji „site:firmackov.cz“. Podívám se na whois records. DNS. Subdomény.

A pak to vidím.

dev.firmackov.cz

Vývojové prostředí. Otevřu to v prohlížeči.

A div se.

„Index of /“

Stránka mi zobrazí úplně celý obsah serveru. Jako byste otevřeli složku na počítači. Všechno tam je. Všechno viditelné.

Scrolluju dolů:

• backup_database_2024.sql (databázová záloha)
• config.php (konfigurační soubor s připojením k databázi)
• test_data.xlsx
• passwords.txt

Zastavím se.

Passwords. Dot. TXT.

Na. Veřejném. Serveru.

Kliknu na to. Ze zvědavosti. A taky proto, že to je můj job.

Otevře se textový soubor. Uvnitř:

Produkční databáze: root / HesloProDB2023!
Email admin: admin@firmackov.cz / AdminEmail987
Účetní systém: uctovnik / Penize2024
FTP server: ftp_user / Upload123

Sedím a koukám na monitor.

Takže. První den. První hodina vlastně. A už mám přístup k produkční databázi, emailům, účetnictví a FTP serveru.

To je... wow.

Zvedám telefon. Volám Martinovi.

„Martine. Najdi si chvíli. U počítače.“

Slyším paniku v jeho hlase. „Našel jste něco? Už?“

„Jo. Otevři si dev.firmackov.cz“

Čekám. Slyším jak píše. Pak ticho.

Dlouhé ticho.

„To je... to je náš vývojový server.“

„Jo.“

„Ten by neměl být veřejně přístupný.“

„Měl by být za přihlášením. Není.“

„Proboha.“ Slyším jak kliká myší. „A co to tam všechno je?“

„Martine, scrollni dolů. Je tam soubor passwords.txt.“

Další ticho. Pak zaslechnu tichounké „kurva“.

„Otevři ho.“

Slyším jak kliká. Pak další „kurva“. Tentokrát hlasitější.

„To jsou...“

„Přístupy k produkční databázi. Jo.“

„A k emailům.“

„Jo.“

„A do účetnictví.“

„Taky.“

Martin zní, jako by právě viděl duchy. „Kolik lidí to mohlo vidět?“

„Nevím. Google to indexuje. Každý, kdo by hledal ‚dev.firmackov.cz‘, by to našel. Nebo kdokoliv, kdo dělá to, co dělám já. Rozdíl je, že já vám to řeknu.“

„Ježíši. Co mám dělat?“

„Zatím nic. Nech mě domluvit s vaším IT.“

Za dvacet minut volám Petrovi. IT Manager u Firmáčkov s.r.o.

„Dobrý den, volám kvůli penetračnímu testu. Našel jsem kritickou zranitelnost. Potřeboval bych to probrat.“

„Moment.“

Čekací hudba. Vivaldi Čtvero ročních období.

„Tady Petr.“

Vysvětluji situaci. Dev server. Directory listing. Passwords.txt.

„Aha. Jo, ten server...“ Petr zní unaveně. „Ten tam má být jen dočasně.“

„Kolik je dočasně?“

„Eh... od 2022.“

Zavírám oči. „Petře. Je tam soubor passwords.txt. S přístupy do produkce.“

Pauza.

„Petře?“

„Já... já to hned smažu.“

„Ne. Počkej.“ Dýchám zvolna. „Nejdřív změň všechna hesla, co jsou v tom souboru. Úplně všechna. PAK to smaž. Pak vypni directory listing na tom serveru. A pak mi zavolej zpátky.“

„Dobře. Promiňte, já... my jsme to měli vypnout, ale...“

„Petře. V klidu. Děláme všichni chyby. Proto tu jsem. Abych to našel teď, ne až to najde někdo jiný.“

Zaslechnu úlevu v jeho hlase. „Díky. Fakt. Dám to do pořádku a volám zpátky.“

Asi za dvě hodiny Petr volá.

„Hesla změněná. Všude. Soubor smazán. Directory listing vypnutý. Server jsem přesunul za firewall. Už by neměl být veřejně dostupný.“

„Skvělé. Díky. Můžu pokračovat?“

Zaváhá. „Najdete ještě něco?“

„Určitě.“

„Kolik?“

„Nevím. Ale passwords.txt na veřejném serveru je jako nechat klíče od firmy venku v zámku. S cedulkou ‚Klíče zde‘.“

Zasměje se. Nervózně. „Tak... hodně štěstí.“

„Díky. Budu to potřebovat.“

Další den se ponořím do hlavní aplikace. E-shop Firmáčkov s.r.o.

Přihlašuji se do administrace. S novým heslem, které nastavil Petr. Silné, bezpečné heslo. Good.

Hned jak jsem přihlášený, všimnu si něčeho zajímavého.

URL v prohlížeči vypadá takhle:

https://obchod.firmackov.cz/admin/users?id=1

ID=1. To je můj účet.

Zkusím něco. Změním URL na:

https://obchod.firmackov.cz/admin/users?id=2

Stránka se načte.

A zobrazí mi... účet jiného admina. Celý profil. Email. Telefonní číslo. Hash hesla.

Aha.

To se v branži jmenuje IDOR. Insecure Direct Object Reference. Zkráceně: „Můžu vidět data ostatních lidí, když změním číslo v URL.“

Zkouším ID=3. Další účet. ID=4. Další. ID=5. Další.

Za pět minut mám přístup ke všem 47 administrátorským účtům v systému.

Otevírám poznámky a píšu:

Zranitelnost #2: IDOR v admin panelu
Severity: HIGH
Žádná kontrola autorizace. Kdokoliv s přístupem do administrace může vidět všechny účty pouhým změněním čísla v URL.

Zvedám telefon.

„Martine, máš chvilku?“

Zní uvolněněji než včera. „Jo. Našel jste další něco?“

„Jo. Chceš dobrou zprávu nebo špatnou?“

„Ehm... dobrou?“

„Dev server je zabezpečený. Petr odvedl dobrou práci.“

„A špatná?“

„Váš administrační panel má díru. Kdokoliv s admin přístupem vidí účty všech ostatních adminů.“

„To je... problém?“

„Představ si, že máte 47 adminů. Stačí, aby jeden z nich byl naštvaný. Nebo podplacený. Nebo jen zvědavý. A má přístup ke všem účtům.“

„Aha. Chápu. To je... jo, to je problém.“

„Přesně. Ale dá se to opravit. Petr to spraví během odpoledne.“

Slyším jak si Martin oddychne. „Kolik jste toho našel zatím?“

„Dvě kritické zranitelnosti. Za dva dny.“

„A ještě nejste hotový.“

„Ještě jsem se pořádně ani nesnažil, Martine.“

Zasmějí se. Tentokrát bez paniky.

„No... alespoň to najdete vy a ne někdo jiný.“

„Přesně tak.“

IDOR a veřejně přístupné hesla. To jsou klasiky. Ale víte, co je ještě častější? SQL injection. Příště vám ukážu, jak jsem díky jednomu vyhledávacímu políčku viděl to, co vidět neměl.

Pokračování příště ...