11.05.2016

Hacknul jsem Facebook - a našel něčí zadní vrátka

Znáte ten pocit, když se někomu v jeho nepřítomnosti vloupete do domu a k vašemu překvapení tam narazíte na dalšího zloděje? Čínský hacker Orange Tsai ten pocit zná.

Facebook 257829 1280

Facebook spustil v roce 2011 svůj Bug Bounty Program, ve kterém odměňují každého, kdo jim pomůže nalézt nějakou chybu nebo zranitelnost v jejich systému. Od té doby v něm bylo za svou práci oceněno již téměř tisíc amatérských či profesionálních "white hat" hackerů, což dokazuje jejich veliký zájem o daný program (a mimo to také veliké množství zranitelností v prostředí Facebooku). Jedním z nich se stal letos v únoru také Orange.

Cheng-Da Tsai, přezdívkou Orange, je čínský penetrační tester, kterého Bug Bounty program Facebooku dle jeho slov lákal již od začátku. V prvé řadě si pro svůj útok vybral dobré místo, odkud začít. Úvodní stránka Facebooku bude již pravděpodobně velmi dobře otestovaná a zabezpečená a jak sám píše, největším bezpečnostním problémem rozsáhlých firem jsou právě ty okrajové a zapomenuté vstupní body. Použil tedy klasické nástroje jako Google Hacking (použití pokročilých nástrojů vyhledávače), Whois apod. a narazil tak na server vpn.tfbnw.net patřící do sítě Facebooku, odkud již našel server files.fb.com i samotný přihlašovací dialog: files.fb.com/courier/web/1000@/wmLogin.html.

Podle vzhledu stránky usoudil, že se bude jednat o produkt společnosti Accellion, umožňující zabezpečené sdílení souborů. Na internetu však žádné aktuální zveřejněné zranitelnosti tohoto systému nenašel, sehnal si tedy na internetu zdrojové kódy z předchozích verzí a rozhodl se najít nějaké zranitelnosti vlastní. I přesto, že byly zdrojové kódy zakódované pomocí IonCube, kódy úspěšně dekódoval pomocí dostupných nástrojů a našel v nich celkem 7 zranitelností. Ty poté využil, aby získal potřebnou kontrolu nad daným serverem.

Během sběru důkazů pro Bug Bounty program si však všiml něčeho podezřelého - souborů jako bN3d10Aw.php, které se po podrobnějším prozkoumání ukázaly být klasickým backdoorem (zadní vrátka pro potřeby jednoduchého opakovaného neautorizovaného přístupu). Zřejmě nebyl zdaleka první hacker, kdo se do tohoto serveru dostal! Ukázalo se, že si minulý hacker připravil skript, který mu automaticky ukládal přihlašovací údaje zaměstnanců Facebooku, a ty si poté jednou za čas vyzvedával. Kdo to byl nebo k jakému dalšímu účelu tyto údaje používal, už ale známo není.

Jedna věc je ale jasná - jakmile se začnou hackeři spolu náhodně potkávat a celkově je na napadených serverech rušno jako na náměstí, je nutné se vážně zamyslet nad tím, jak dobře jsou ve skutečnosti jednotlivé firmy a jejich služby zabezpečené.

Více na devco.re

Kam dál?