Jak jsme hacknuli SAP

Jeden z našich klientů začal nasazovat SAP na řízení procesů ve firmě a tak chtěl také vytvořit e-shop, který by na něj byl napojen.
Se SAPem jsem žádné zkušenosti neměl a tak jsme udělali „jen“ kompletní návrh e-shopu (včetně dnes módních zkratek UX/UI) a taky jsem nakódoval šablony.
Samotnou tvorbu měla na starosti firma, která SAP implementovala – měla s ním zkušenosti a vlastní řešení pro provoz e-shopu. Jenže…

Pokračování textu Jak jsme hacknuli SAP

Jako za Orwella

Připadá mi, že Orwellovská předpověď se pomalu začíná plnit. Člověk přestává mít svoje práva a moc politiků roste. Běžný občan už tak může jen držet hubu a krok.

Jsi občan, tak drž hubu a krok!
Tvoje vláda

SOPA/PIPA/ACTA

Jo jo, ten internet to je ale svinstvo. Lidi si tam dělaj co chtěj a my s tím nemůžeme nic dělat. Tak uděláme další super zákon na řízení internetu co? Několikrát nám to už nevyšlo, tak to zkusíme znovu. Jednou to přece protlačíme, za každou cenu.

Proč je SOPA špatný nápad?

Tak na tohle nám chlapečku nesahej, dostaneš přes prsty

Řidič z Olomouce pokreslil plakáty předvolebních stran. Plakáty, které byly zaplaceny z předvolební kampaňě, kterou zaplatil ze svých daní. Plakáty s politiky, které bude živit ze svých daní. Občan je přeci ten, kdo to všechno platí.

Soudcem v tomto případě byla manželka dotčeného politika – “Miláčku, to si přece nencháš líbit, dyť by se ti přece jako smáli né!”

Roman týc je zločinec, gauner, psychopat a terorista

Jak jinak nazvat člověka, který ukáže na bezpečnostní díru v dopravních značeních. Pokud bez povšimnutí může vyměnit sklíčka na semaforech, může kdokoliv udělat mnohem horší věci. Ale to né. To se jako nesmí. To by pak jako mohl zkusit každej a to mi přece nemůžeme ukázat, jak to vlastně nefunguje.

Tak, držte hubu a krok, vono se to vyplatí…

Pár tipů pro bezpečnější databázi

No, jsou to spíš takové nápady, co mě kdysi napadly a nikam jsem je nezapsal. Neberte to jako fungující všehospásu vaší aplikace, spíše jako takový doplňek k větší bezpečnosti.

Práva databáze

Myslím si, že pro chod běžné aplikace postačí MySQL příkazy SELECT, INSERT, UPDATE, DELETE. Proč by tedy uživatel (aplikace) měl mít povoleny všechny ostatní? Pokud vás bude útočník chtít napadnout, určitě vyzkouší příkazy SHOW TABLES, TRUNCATE, DELETE *, apod. Když ale nebude mít aplikace k těmto příkazům práva, nebude je mít ani útočník. Vytvořte si proto nového uživatele s omezenými právy a plná používejte pouze pro správu databáze.

Různé názvy tabulek

Dřív jsem si říkal, že je zbytečné dávat názvy tabulek do proměnné – stejně budou mít všechny instalace aplikace stejné tabulky a budu se v tom lépe orientovat. Chyba. Útočník bude zřejmě zkoušet klasické názvy tabulek jako je users, user, zakaznik, atp. Když navíc zjistí, že stejných aplikací je více, může útok rozšířit.

Napadlo mě tedy pojmenovávat tabulky úplně šíleně a pro každou instalaci jinak. Třeba tabulka users by se jmenovala ufhj88jki; při správě by se v tom ale ani prase nevyznalo. Řešením je ale alespoň nesmyslný prefix – název tabulky bude při správě jasně identifikovatelný, ale pro útočníka nelehký k uhádnutí. V jedné aplikaci se tabulka users bude jmenovat 87479_users, v další 74ughjl8_users. Také bych doporučil v rámci jedné databáze nepoužívat stejný prefix. Ve stejné databázi tak budou třeba tabulky: 87ufhjk_zakaznici, 6ghbdsk_objednavky (Aby jste měli stejné abecední pořadí tabulek, můžete prefix udělat s posloupností).

Webhosting Kapusta – raději ne

Tak to vypadá, že pokud chcete kvalitní český webhosting, vyhněte se těm, které mají v názvu ovoce nebo zeleninu. Spravuji pro známého jeden web běžící na webhostingu Kapusta, v posledních dnech vlastně neběžící.

Nefunguje nic

Výpadek trvá už třetí den, což je v dnešní době opravdu průšvih. E-maily na technickou podporu se vrací zpět, telefony, kromě jednoho, jsou vypnuté, nebo hlásí “zanechte zprávu”. ICQ účet technické podpory, jakožto poslední záchrana taktéž offline. Ukázkový příklad toho, jak se to dělat nemá. A není to poprvé. Po dvou dnech sice stránky hlásí “It works!”, ale mě to teda ne-works!

webhosting-kapusta-radeji-ne-1

Aktualizace: na Twitteru jsem zjistil, že výpadek trvá mnohem déle a problém měl být už vyřešen, viz také Facebook profil provozovatele, kde se mimo jiné dozvíte, že pan Jeník šel v pátek chlastat a pak se na všechno vys**l, což zhruba odpovídá datu, kdy výpadek začal (viz. již zmíněný příspěvek na twitteru).

webhosting-kapusta-radeji-ne-2

Převod jinam?

Těžko. Data ze serveru stáhnout lze, FTP už funguje, ale do databáze se přihlásit nelze, takže musíme počkat na to, co se bude dít dál. Doména je navíc registrovaná přímo na Kapusta.cz, s administračním kontaktem admin@kapusta.cz. Vzhledem k tomu, že e-maily nefungují, není převod jinam zatím možný. Jakmile to ale možné bude, web převedeme na kvalitní webhosting.

Bezpečnost?

Nejsem odborník na bezpečnost webhostingů, ale to, co jsem našel v administraci účtu na Kapusta.cz, my stačí k tomu, abych věděl, že takhle opravdu ne. V administraci se totiž vypisují, zřejmě nějakou chybou, data i z jiného účtu (v hlavním menu odkaz “Prodloužení”). Jedná se především o uživatelské jméno (doména) a zakryptované heslo. Pokud není heslo dostatečně bezpečné, není problém jej během několika málo chvil zjistit…

webhosting-kapusta-radeji-ne-3

Pozdě bycha honit

Pokud se chcete vyhnout podobným problémům, vždy si pečlivě vybírejte svůj webhosting a postarejte se o to, aby vaše domény byly opravdu vaše a jejich administrativní kontakt měl e-mail, na který se dostanete nezávisle na funkčnosti hostingu (tedy nejlépe Gmail, Seznam E-mail, atp.). Nejlepší zkušenost mám zatím s webhostingem OneBit – výpadek jsem nezaznamenal, dostupnost je 99,99%, technická podpora rychlá a vstřícná.

Podvodné e-maily: Upgrade Váš účet Webmail teď

Z e-mailové adresy info@webmail.cz začali chodit podvodné e-maily, které vás žádají o “Upgrade Váš účet Webmail teď”. Neslouží k ničemu jinému, než ke zjištění vaší e-mailové adresy a přístupového hesla k ní. Naštětstí je e-mail přeložen do češtiny nějakým robotem, takže jeho důvěryhodnost je opravdu mizivá. Pokud se vám tento e-mail objeví ve schránce, neváhejte a smažte ho.

Vážení Email Majitel Účtu,
Tato zpráva je z webmailu středisko zpráv do všech webmail účet vlastníků. V současné době modernizace naší databázi a e-mailový účet centra. Jsme ukončit všechny nepoužívané e-mailových účtů vytvořit prostor pro nových účtů.
Chcete-li zabránit svému účtu byly ukončeny, budete muset aktualizovat tím, že poskytne požadované informace níže:
Potvrdit e-mailovou IDENTITY TEĎ
E-mail Uživatelské jméno: ……………
E-mail: Heslo: ……………
Upozornění! Majitel účtu, že odmítne aktualizovat svůj účet do sedmi dnů od obdržení tohoto varování ztratí svého účtu trvale.
Upozornění Kód: VX2G99AAJ
Díky,
Webmail správce

Doména webmail.cz je registrována na společnost AliaWeb, spol. s.r.o (viz. nic.cz).

Není м jako М

Ačkoliv není na první pohled mezi těmito písmeny žádný rozdíl, opak je pravdou. Zatímco první je písmenem latinky, druhé je písmenem cyrilice. Tenhle nepatrný rozdíl ale může způsobit nemalé komplikace.

Když jsem se poprvé dozvěděl o podobnosti těchto znaků, nepřikládal jsem tomu žádnou váhu ale později jsem přišel na další věc, jak je možno záměnu zneužít. Ale abych nepředbíhal, tak to vezmu pěkně popořadě.

Řadíme podle abecedy

Hledal jsem chybu na webu, protože se mi názvy ruských měst na jednom webu, vybrané z MySQL databáze, řadili tak nějak divně. Příčinou bylo právě to, že je občas někdo uložil s počátečním písmenem M (latinka) a někdy s М (cyrilice). Abych se přiznal, tak jsem problém zatím neměl čas pořádně řešit. Funkčním řešením by ale mohlo být převést kódování na Windows CP1250, což mi jako ideální řešení rozhodně nepřipadá, takže pokud někdo víte, jak na to, budu rád za každou informaci.

Jednoduchý podvrh

Zatímco předchozí problém nebyl “životu” nebezpečný, tady tomu je jinak. Vezměte si například dvě internetové adresy: microsoft.com a мicrosoft.com. Počáteční písmeno je sice trochu jiné, ale napadne vás to v první chvíli? V dnešní době, kdy lze registrovat domény i z mezinárodních znaků, lze takový web využít k podvržení stránky, nebo k získání citlivých dat (v uvedeném příkladu, мicrosoft.com, například pro získání jména a hesla do hotmailu).

Cyrilice má ještě několik podobných, nebo stejně vypadajících znaků, takže tu jakési nebezpečí zneužití je. Proto si raději u pochybných webů ještě zkontrolujte, zda se nejedná o podvrh., třeba zadáním adresy do Google (není vám divné, že nebyl nalezen web Microsoftu?)

Zamyšlení nad umístěním bankomatů

Když jsem si byl včera pro peníze do bankomatu, napadlo mě takové malé zamyšlení. Kdo rozhoduje, nebo spíše vymýšlí, kde bude bankomat umístěn? Pokud se totiž jedná o Prostějov, tak to podle mě musí být nějaký ne moc inteligentní člověk.

Takže si teď projdeme bankomaty v Prostějově (alespoň ty, o kterých vím), něco o nich napíšu a přidám hodnocení podle následujících kritérií.

Kritéria pro hodnocení

  • Míra odvahy pro výběr
    Aneb jak bezpečné je z daného bankomatu vybírat peníze.

    • 1. Není potřeba opatrnost
    • 2. Je lepší, když nebudete sám
    • 3. Tak tohle už vyžaduje pořádnej kus odvahy
    • 4. Chuck Norris
  • Míra front při výběru
    Musíte čekat nekonečné fronty

    • Vůbec
    • Občas
    • Téměř pořád
    • Chuck Norris

Bankomaty

Česká spořitelna (budova ČS, Žižkovo nám.)

Tady je to celkem v pohodě, akorát “ve špičce” hrozné fronty. Po 17.00 navíc přístup jen pro klienty.

  • Míra odvahy pro výběr: 1
  • Míra front při výběru: 3

Aktualizace: nějaký inteligent urval terminál pro přístup, takže po 17. hodině se k bankomatu nedostanete.

Česká spořitelna (u Prioru, Dukelská brána)

Umístěno na rušné ulici, automat není nijak kryt. V okolí často postávají a pobíhají, při tom na sebe pokřikující, romští spoluobčané.

  • Míra odvahy pro výběr: 2
  • Míra front při výběru: 2

Komerční banka (Atrium, Dukelská brána)

V podstatě to samé, co předchozí, akorát s tím rozdílem, že zmíněné skupinky občanů se přímo naproti scházejí na lavičkách.

  • Míra odvahy pro výběr: 2
  • Míra front při výběru: 1

ČSOB (budova ČSOB, Dukelská brána)

Tak tady jsem ještě nebyl 🙂 ale bude to to samé, co bankomat v budově ČS

  • Míra odvahy pro výběr: 1
  • Míra front při výběru: ?

Česká spořitelna (Albert, Janáčkova)

Tady už je to o poznání horší. Bankomat je umístěn vedle vchodu do Alberta, kde se také nachází popelník a přístřešek na vozíky, kde se rádi scházejí bezdomovci apod. Po setmění bych tady opravdu váhal…

  • Míra odvahy pro výběr: 2
  • Míra front při výběru: 1

Komerční banka (Hlavní nádraží, Janáčkova)

Výběr místa vskutku luxusní. Hned vedle bufetu a hlavního vchodu, automat není krytý. Výskyt podivných existencí. Jedinou výhodou je, že tu jste na veřejném místě, kde je spousta lidí (ale jak se vydáte ven z nádraží…).

  • Míra odvahy pro výběr: 3
  • Míra front při výběru: 1

ČSOB (Tesco, Konečná)

Krytý bankomat uvnitř obchodního domu, v “boudě”. Navíc pár metrů za vámi postává ochranka (o jejichž kvalitách se ale dá pochybovat). Navíc tu lidi moc nevybírají, protože peníze buď mají, nebo platí kartou.

  • Míra odvahy pro výběr: 1
  • Míra front při výběru: 1

Česká spořitelna (Billa, Plumlovská)

Téměř identický případ jako bankomat u Alberta, s tím rozdílem, že je vpravo 🙂 a výskyt zmíněných osob je menší.

  • Míra odvahy pro výběr: 2
  • Míra front při výběru: 2

Česká spořitelna (OP, Za drahou)

Bankomat umístěn na budově OP. V okolí je spousta míst, kam se může potencionální zloděj ukrýt a spousta temných uliček (průmyslová zóna).

  • Míra odvahy pro výběr: ve dne 2, v noci 4
  • Míra front při výběru: 1

Tohle nejsou všechny bankomaty v Prostějově, ale jak je vidět, tak většina z nich (kromě těch umístěných přímo v pobočkách) je umístěna přímo v centru výskytu potencionálních zlodějů a pobudů. Možná je to účelem 🙂