Jak ponownie mogliśmy poznać hasło do bazy serwisu Albicla.com

dodał 21 stycznia 2021 o 16:13 w kategorii Info, Wpadki  z tagami:
Jak ponownie mogliśmy poznać hasło do bazy serwisu Albicla.com

Historia podobno lubi się powtarzać, ale że już po paru godzinach – tego się nie spodziewaliśmy. No dobra, tak na serio to patrząc na jakość tego portalu, spodziewaliśmy się, że to się wydarzy. Tym razem pomógł tryb serwisowy, dostępny dla każdego.

Nie dawniej jak dzisiaj opisywaliśmy, w jaki sposób można było pobrać konfigurację serwisu Albicla.com, nowego Facebooka (Twittera?) dla konserwatywnej części polskiego społeczeństwa. Krótko po tym artykule otrzymaliśmy od anonimowego informatora wskazówkę, jak zapoznać się z nowym zestawem haseł serwisu.

Debug dla każdego!

Nasz tajemniczy informator najwyraźniej miał okazję zapoznać się z kodem źródłowym serwisu, ponieważ sztuczkę, którą zaprezentował, trudno było odgadnąć. Samo jej wykonanie jest dość proste. Tym razem albo będzie potrzebny edytor ciasteczek, albo wiersz poleceń. Mianowicie trzeba wykonać takie oto polecenie:

curl 'https://albicla.com/dev/login' -H 'Cookie: debug=1'

To tajemnicze polecenie pobiera stronę pod adresem dev/login, ustawiając jednocześnie ciasteczko o treści debug=1. Jaki jest efekt takiego zapytania?

W odpowiedzi dostajemy spory zbiór parametrów serwera, w tym także konfigurację najważniejszych ustawień – tę samą, którą ujawniał opisywany przez nas kilka godzin temu inny błąd.

Jak widzimy, porównując oba zrzuty ekranu, hasła zostały zmienione. Hasło do poczty ma teraz aż 35 znaków! Ale co z tego, skoro nadal można je trywialnym sposobem pozyskać z serwera.

Inna zmiana to przeniesienie serwera bazy danych na localhosta (wcześniej był na publicznym adresie IP). Przeniesienie występuje w nowej konfiguracji – a czy możliwość zdalnego dostępu do serwera bazy danych wyłączono? My już nie sprawdzaliśmy.

Przechowywanie haszy haseł użytkowników

Według naszego informatora tryb diagnostyczny pozwalał także na podglądanie danych użytkownika, na którego akurat się zalogowaliśmy, w tym hasza hasła w formie zapisanej w bazie. Hasz hasła to…

md5(md5(password))

ponieważ, jak powszechnie wiadomo, podwójne MD5 jest dwa razy mocniejsze niż pojedyncze.

Wyjaśnienie dla osób mniej świadomych postępów w świecie bezpieczeństwa – przechowywanie haseł w formacie MD5 było modne około roku 2000, a od wielu lat uznawane jest za niebezpieczne z uwagi na małą złożoność obliczeniową algorytmu (można je dość szybko zgadywać).

Wnioski

Wniosek pierwszy. Pozostawienie na produkcyjnym serwerze kodu diagnostycznego można od biedy zrozumieć – w końcu portal dopiero wystartował, jednak umożliwienie dostępu do niego każdemu posiadaczowi trywialnego „sekretu” jest dalekie od dobrych praktyk bezpieczeństwa.

Wniosek drugi. Pozostawienie na serwerze tylnej furtki po tym, jak kilka godzin wcześniej załatano błąd umożliwiający pobranie kodu źródłowego jest karygodnym błędem. Po takim incydencie należy założyć, że atakujący poznał cały kod źródłowy i dokonać odpowiednich poprawek.

Wniosek trzeci. Jeśli po tym z kolei incydencie serwer będzie dalej dostępny i dalej nikt nie przeprowadzi autoryzowanych testów bezpieczeństwa, to spodziewamy się wkrótce kolejnego artykułu na ten sam temat.

Prognoza

A wiecie, dlaczego sytuacja się nie zmieni? Wyjaśnił to sam współtwórca serwisu, Tomasz Sakiewicz:

Tak jak wspominałem nie wszystkie funkcjonalności są od razu gotowe, bo chcieliśmy uruchomić portal w ostatniej godzinie rządów lidera wolnego świata. Od nas teraz zależy czy ten świat będzie dalej wolny, szczególnie w internecie. Tak jak się spodziewaliśmy przeżywamy niebywały atak hakerów i trolli internetowych. Próbują nam przeszkadzać, jak się da, ale to świadczy też o naszej sile. Jednego im się nie udało: nie mogli nas przemilczeć. Problemy będą, bo od czego są wrogowie… 

Przy takim podejściu pozostaje nam rekomendować niepozostawianie w bazach serwisu żadnych waszych istotnych danych.