Wspomnienia - fikcja na temat bezpieczeństwa

Data publikacji: 2011-03-07 , Wyświetleń: 1064

Ostatnimi czasy przypomniał mi się śmieszny epizod związany z uzyskaniem dostępu do serwera pewnej firmy. Wszystko zaczęło się niewinnie. Do zrealizowania jest kolejny projekt strony www dla bliżej niekreślonej firmy. Jak to bywa zazwyczaj na początku tego typu spraw trwają dogadywania szczególików związanych z grafika itp.

Klient zdecydował na czym najbardziej zależy mu aby mieć możliwość edycji w panelu cms, jakie funkcjonalności będą mu potrzebne. Wszyscy zabrali się do pracy, na lokalnych maszynach powstawała pierwsza wersja serwisu, detale graficzne w większości rzeczy uzgodnione. W tym wszystkim nadszedł moment aby umieścić wersję do wglądu na serwerze klienta. W tym miejscu zaczyna się historia.

Jako że hostingiem zajmowała sie jakaś firma trzecia trzeba było "wydrzeć" od niej namiary na serwer ftp. No to ówczesny mój pracodawca zaczyna wydzwaniać tu i tam ale nikt nic o takich "tajnych" informacjach jak dostęp do ftp nie wie. Zapewne często padało tam hasło: "a co to jest to ftp?" ;-) Pa paru długich chwilach jest login, hasło i host. Wszystko fajnie. Nawet dane pasowały udało się zalogować więc jakiś sukces jest. Schody zaczęły się jak zobaczyłem jaka jest struktura katalogów na serwerze. Nie szło dojść końca który katalog jest tym głównym domeny. Dziesiątki podrzucanych plików tekstowych aby wybadać czy to ten czy jeszcze nie. Po ponad godzinie mordowanie się w zgadywanki dzwonie do "głównodowodzącego" i mówię że coś jest nie tak z tym serwerem. Nie idzie ustalić jaki katalog to ten główny domeny i wogóle struktura katalogów jakaś dziwna, sporo plików konfiguracyjnych jakby różnych aplikacji www. Pytam czy to na pewno dobre dane, może ktoś się pomylił. Usłyszałem tylko, że to ja chyba czegoś tam nie widzę i żebym brał się do roboty.

Trochę wkurzony wziąłem się ponowne sprawdzanie, może to ja czegoś nie widzę. Tak mija kolejna godzina, alpejskie kombinacje co do tego jaki to może być katalog itp.

Po tym czasie dzwoni "szefu" z obwieszczeniem że te dane były jednak błędne i że ma już te prawidłowe. Myślałem że gościa uduszę, no ale trudno każdemu się może zdarzyć.

Parę dni później dowiedziałem się co to były za dane do serwera jakie dostałem jako pierwsze. Pracodawca, chyba przez pomyłkę, zadzwonił do całkiem innej firmy. Nie wiem co im tam powiedział i jakim cudem dostał dane do ich serwera. Ale fakt jest jeden: bez żadnego problemu mieliśmy dostęp do ich serwera. Najlepsze jest to że po jakimiś tygodniu sprawdziliśmy i do dane do logowania na ftp były nadal te same.

Podsumowanie: po co kombinować żeby się włamywać aby ukraść dane firmowe, jakieś XSS itp, zadzwoń bezpośrednio do firmy podadzą ci hasła do ftp - po co się męczyć.

Tagi: bezpieczenstwo, fikcja