Hacknutý Banán
Pár poznámek k hacknutí Banánu; taky o tom, proč tenhle hack není vnímán stejně jako jiné hacky. (Včetně veselého komentáře)
Stručné uvedení do děje: Radovan Kaluža (a jeho hostingová firma "banan s.r.o.") je enfant terrible českého internetu. Mezi provozovateli diskusních fór a webů je známý jako falešná pětka - jakmile se někde objeví diskusní fórum, které se nějak váže k webu či hostingu, je v něm najednou příspěvek od "spokojeného uživatele hostingu Banán". Dřív byly podepsané přímo Kalužou, pak začal jména měnit (ale pořád psal z jedné IP), nakonec objevil kouzlo proxyserverů, ovšem kouzlo české gramatiky mu zůstává stále utajeno, takže jsou jeho příspěvky velmi snadno identifikovatelné. Některé provozovatele to vedlo až k zablokování příspěvků, v nichž se vyskytuje "banan.cz".
Mezi další metody páně Kalužovy patří spam. Ačkoli se Radovan v rozhovoru prsí, že "spam nerozesílají", opak je pravdou. Stejného názoru byl i Úřad pro ochranu osobních údajů, který v lednu 2010 vyrozuměl stěžovatele, že ukončil správní řízení s Banánem ve věci rozesílání nevyžádaných obchodních sdělení, a uložil pokutu, o jejíž výši neinformoval. (Začernění jména jsem dělal osobně, mám k dispozici originál s nezačerněným jménem.)
Se službami hostingu banan.cz jsou někteří uživatelé nespokojeni (např.), a svou nespokojenost často dávají veřejně najevo. Banan řeší v takových případech krizovou komunikaci s jemností slona v porcelánu - Kalužův společník Kaděra rozesílá maily, v nichž vyhrožuje, že pokud blog / příspěvek / komentář, který "poškozuje dobré jméno společnosti banan s.r.o." (sic!) nebude odstraněn do 24 hodin, tak že "podniknou kroky" (mj. hrozí žalobou za nesplnění povinnosti odstranit protiprávní obsah). Osobně jsem se s takovým mailem od pana Kaděry setkal, když jsem správcoval Bloguje. Banánu se nelíbil blog "Antibanán" a tímto způsobem vyhrožoval. Odpověděl jsem mu, že pokud se cítí poškozen, nechť podnikne patřičné právní kroky a nevyhrožuje. Prý "nejde o vyhrožování". Nakonec samosebou žádné právní kroky nepodnikli a Antibanán blog fungoval dál.
Proč Kaděra? Snad proto, že Kalužova čeština je opravdu otřesná. Kaluža sám o sobě píše, že má IQ 160, ale jeho projev, demonstrované mentální pochody i předvedené schopnosti tomu nijak nenasvědčují. Ostatně, pokud máte chuť na chvilku obskurní zábavy, můžete se podívat na autentické perly s nezaměnitelným stylem Mgr. Radovana K.
V poslední době se ne zrovna košer aktivity Radovana Kaluži začaly projevovat na Facebooku. Nebudu je zde vypisovat, najdete je u Dana Dočekala - banánový Facebook.
Snad jen z povinnosti dodám, že Kaluža, ač se ve svém blogu prezentuje tak, že by si neznalý člověk mohl myslet, že čte dílo nějakého nedospělého sebevědomého ucha, sám o sobě píše jako o velmi úspěšném podnikateli, co poskytuje služby tisícům spokojených zákazníků. Ale co, jaké kdo chce mít veřejné renomé, takové má, jsem ten poslední, kdo by se nad tím pozastavoval...
Hack
V pondělí kdosi hacknul "nejlepší hosting s nejlepší podporou". Na stránkách zákazníků se objevilo prohlášení, psané jazykem připomínajícím Kalužovy představy o češtině:
Po několika hodinách byl provoz služeb obnoven, aniž by se k tomu provozovatelé jakkoli vyjádřili. O mizerném zabezpečení hostingu Banánu se v diskusních fórech hovoří už dlouho, sám Kaluža na takové komentáře odpovídal, že jsou zabezpečení velmi dobře.
Ve čtvrtek následoval druhý incident. Tentokrát hacker rozeslal některým zákazníkům mail, v němž zopakoval, že Banán je špatně zabezpečený, a jako důkaz přiložil výpis z databáze zákazníků, včetně např. MD5 hashe hesla do administrace Banánu. Někteří zákazníci potvrdili autentičnost hesel, jiní naopak psali, že se jedná o hesla, která měli před časem.
Banán zareagoval tak, že vygeneroval uživatelům nová hesla a rozeslal je mailem, bez slova vysvětlení. Na zákaznické podpoře se zákazníci dočkali matných a konfúzních vysvětlení. Nakonec včera večer vydal banan s.r.o. tiskové prohlášení, k němuž se ještě dostanu.
Postoj veřejnosti
Jeden z mých známých se podivoval, jak je to možné, že spousta webových magazínů o hacku Banánu referuje s těžko skrývanou škodolibostí, vždyť přeci "hack se může stát každému", tak jak to, že je tento trestný čin takhle "schvalovaný".
Ano, může se to stát každému. Když někdo hackne hosting, jehož provozovatel se chová slušně, vzbudí to sympatie s provozovatelem a veřejné mínění bude víceméně na jeho straně.
Jenže když je hacknut hosting notoricky známého a usvědčeného spammera, s nímž není rozumná domluva, člověka, který svůj byznys propaguje metodami na hraně legálního a snesitelného, to se člověk těžko brání určitému pocitu zadostiučinění.
Navíc hack (byl-li to hack, a ne např. pomsta bývalého zaměstnance) zjevně nebyl veden se záměrem poškodit zákazníky, ale upozornit na reálné nebezpečí, na které upozorňovali mnozí, ale které bylo provozovatelem vždy bagatelizováno či označeno za "pomluvy neúspěšné konkurence, která závidí Mgr. Radovanu Kalužovi jeho úspěch".
Já sám mám zkušenosti s podobnými průniky na Bloguje - stalo se, že jsem použil cizí nástroj na správu souborů, kde bylo možné určitým trikem vložit na server PHP skript. Dozvěděl jsem se o tom od člověka, který mi poslal mail: "Máte problém na serveru tam a tam, pozor na to!" Okamžitě jsem se s ním spojil, poděkoval jsem mu za informaci, probrali jsme přesný postup průniku, chybu jsem našel a záplatoval. Ano, díru v systému má každý, ale zásadní problém je v tom, jak k ní přistoupit. Mnoha provozovatelům ješitnost nebo nevědomost nedovolí přiznat zranitelnost a podobná varování ignorují nebo bagatelizují ("ano, o XSS víme, ale to nám nemůže nijak uškodit!")
Samosebou nepochybuju, že svou roli v tom, jak se webová veřejnost na celou záležitost dívá, hraje dlouhodobé chování a prezentace Radovana Kaluži. A není v tom, řekl bych, ani špetka závisti - Kalužovi opravdu není co závidět. Spíš se projevuje takové pravidlo, které jsem si včera formuloval, když jsem se nad celou věcí zamýšlel: "Když se k lidem chováš jako prase, lidé s tebou jako s prasetem budou zacházet!" Tedy že lidé těžko budou cítit sympatie k někomu, kdo je znám tím, že obtěžuje ostatní...
Tisková zpráva
Naprostým vrcholem trapných výmluv a krystalicky čistou ukázkou zpackaného PR je tiskové prohlášení Banánu. Pojďme si ho pročíst a okomentovat:
---
Společnost banan s.r.o. se dne 19. ledna 2010 stala obětí útoku hackera. Útok, jak byl plánován, byl neúspěšný, data klientů nebyla smazána ani poškozena. „Zareagovali jsme v nejrychlejším možném čase a provedli veškeré kroky, abychom minimalizovali škody,“ popisuje Michal Kaděra, jednatel společnosti banan s.r.o. „Podobné útoky byly v poslední době zaznamenány na www portály se silnou značkou, převážně na Slovensku,“ dodává Kaděra.
---
Tak, těžko říct, jak byl útok plánován. Podle všeho šlo o to ukázat zákazníkům Banánu, že jejich weby ani údaje nejsou v bezpečí, tedy nešlo o jejich poškození ani smazání. Tiskové prohlášení přitom mlčí o prvním incidentu, kdy byly přepsány stránky uživatelů prvním prohlášením... Zmínka o "igigiho útocích" na Slovensku je klasické "kladení kouřové clony" a mlžení.
---
Hacker navíc některým klientům rozeslal jejich jméno a další údaje veřejného charakteru dohledatelné přes databáze WHOIS doménových registrátorů. „Šlo o cílený útok, který nás má poškodit. Tomu napovídá i další aktivita hackera s rozesíláním emailů některým klientům,“ popisuje Michal Kaděra, jednatel společnosti banan s.r.o.
---
Tak nevím, jestli je MD5 hash hesla do administrace Banánu dostupný z WHOIS... Kaděra tedy, diplomaticky řečeno, neříká naprostou pravdu. To se ostatně ukáže dál.
---
Webhosting Banan.cz je na trhu od roku 2005. Nabízí kvalitní webhostingové produkty, nonstop technickou podporu a další nadstandardní služby. V současnosti má přes 10 000 klientů.
---
Docela veselé. Obvykle se do vyjádření k hacku, což je typický příklad "krizové komunikace", nedávají chvástavé slinty, které jsou v kontextu celé události spíš k smíchu.
U vyjádření se objevily komentáře, které byly po čase smazány. Místo nich se tam objevil komentář "spokojeného uživatele", s největší pravděpodobností poslaná samotným Kalužou (IP z Ostravy, nezaměnitelný pravopis...)
---
Jsem klient www.banan.cz , využívám jejich stránky zdarma a jsem nadmíru spokojen. Stránky mě běží stále a za rok co zde jsem jsem nikdy neměl problém a vždy mě technici rádi pomohli.
Mimo jiné hack se může stát každému a pro mě osobně je to velké plus, že banan.cz bude opět o krůček bezpečnější.
---
Update: Ze stejného soudku je i veselý komentář, přidaný po zveřejnění tohoto článku, který chválí Banán, a který je podepsaný "Artur D.":
Jistě jen souhra náhod.
Další komentáře (ty co nepsali pánové z Banánu) už tak nadšené nejsou a Kaděra se leckdy do odpovědí zamotává:
---
Nezastíráme, že k úniku hesel mohlo dojít a přestože jsou v zašifrovaném tvaru, jejich rozkódování obzvláště u jednoduchých hesel není nemožné.
---
Tady pozor - najednou "nezastírají, že k úniku mohlo dojít", přitom v tiskové zprávě to zastírání nevidí jen slepý (prý "údaje veřejného charakteru dohledatelné z WHOIS"). Kaděra tedy docela žalostně mlží, a navíc nevědomky přiznává další věci - třeba že "rozkódování hesel není nemožné" - to asi především proto, že jsou uloženy jako MD5(heslo), nejsou ani SALTovány - MD5("blabla"+heslo), kde salt výrazně ztíží možnost nalézt heslo v rainbow tables. Což je postup, který se minimálně rok popisuje i v českých návodech na téma "bezpečnost webových aplikací pro naprosté začátečníky".
Tedy úhrnem - "tiskové prohlášení" je naprostý blábol a velmi zoufalý pokus dělat, že se nic nestalo. V diskusi pak Kaděra přiznává, že se stát mohlo. (Ale naštěstí tomu skvělá nonstop podpora zabránila.)
Řekl bych, že si pan Kaděra, jak se říká, poněkud kálí do úst. Silně pochybuju o tom, že takto by měla vypadat reakce zodpovědného provozovatele na podobný průšvih - to je spíš reakce sebevědomého děcka s přebujelým egem, co si myslí, že ostatní jsou ještě blbější než je ono samo.
---
Jestli tahle záležitost povede k tomu, že pan Kaluža začne věnovat energii svému podnikání místo spamování a zakládání pochybných skupin na Facebooku pod různými identitami, bude to jen dobře - pro něj, pro Banán, pro jeho zákazníky - a vlastně i pro celý český internet.
