Bezpečnostní výzkumník a etický hacker Marek Tóth zveřejnil detailní analýzu série zranitelností v platformě Tivio Studio. Kvůli chybné konfiguraci a dalším bezpečnostním problémům bylo podle jeho zjištění možné získat přístup k placenému obsahu různých tvůrců – včetně videí z projektů jako DVTV, Oktagon, U Kulatého stolu nebo Čestmír Strakatý.

V nové epizodě CZECH CYBER TV podcastu Marek vysvětluje, jak tyto chyby objevil, jak fungovaly a jaký mohly mít reálný dopad. V některých případech bylo možné stáhnout nejen placený obsah, ale dokonce i videa, která ještě nebyla veřejně publikována.

Součástí rozhovoru je také diskuse o jeho dalším bezpečnostním výzkumu, konkrétně o metodě DOM-based Extension Clickjacking, která mohla ovlivnit některé správce hesel nebo rozšíření v prohlížečích.

V epizodě se dostaneme také k tomu:

• jak funguje proces responsible disclosure
• jak firmy reagují na bezpečnostní reporty
• jak dnes výzkumníci hledají chyby ve webových aplikacích
• a jaké jsou Markovy zkušenosti z konference DEF CON v Las Vegas

Slovníček pojmů

V Markově analýze a našem podcastu se objevuje řada technických pojmů z oblasti kyberbezpečnosti a webových aplikací. Níže najdete jejich stručné a srozumitelné vysvětlení.

XSS (Cross-Site Scripting)

Jedna z nejčastějších webových zranitelností. Útočník dokáže do stránky vložit vlastní JavaScript kód, který se následně spustí v prohlížeči oběti. To může vést například ke krádeži dat, zobrazení falešného obsahu nebo převzetí přihlášené relace uživatele.

Reflected XSS

Typ XSS zranitelnosti, kdy je škodlivý kód součástí odkazu. Po kliknutí se kód „odrazí“ přes webovou aplikaci a spustí se v prohlížeči oběti. Takové útoky se často šíří přes sociální sítě, reklamy nebo phishingové zprávy.

Open Redirect

Chyba, při které web dovolí přesměrovat uživatele na jinou adresu, než by měl. Sama o sobě nemusí být kritická, ale často se používá jako součást většího útoku, protože důvěryhodná doména pak přesměruje uživatele jinam.

URL spoofing

Technika, při které útočník upraví nebo zamaskuje adresu tak, aby působila důvěryhodněji, než ve skutečnosti je. Uživatel tak může vidět legitimně vypadající URL, i když se na pozadí děje něco jiného.

DOM (Document Object Model)

Struktura webové stránky, se kterou pracuje prohlížeč. JavaScript může přes DOM měnit obsah stránky – například text, formuláře nebo tlačítka. Právě proto je DOM důležitý u útoků typu XSS nebo clickjacking.

Clickjacking

Typ útoku, při kterém je uživatel přiměn kliknout na něco jiného, než si myslí. Na obrazovce může vidět neškodný prvek, ale ve skutečnosti kliká na skrytý prvek, který provede jinou akci.

DOM-based Extension Clickjacking

Pokročilejší technika, při které útočník manipuluje stránkou tak, aby uživatel nevědomky interagoval s prvky rozšíření v prohlížeči – například se správcem hesel.

Session

Uživatelská relace, která serveru říká, že je uživatel přihlášený. Díky relaci není nutné zadávat heslo při každé akci.

Session Hijacking

Situace, kdy útočník získá přístup k uživatelské relaci. Pokud získá session token nebo jiný autentizační údaj, může se vydávat za oběť bez znalosti jejího hesla.

Token

Digitální identifikátor používaný k ověření přístupu uživatele k určité službě nebo zdroji.

Access token

Krátkodobý token používaný pro ověření přístupu k aplikaci nebo API.

Refresh token

Token používaný k získání nového access tokenu bez nutnosti opětovného přihlášení.

IndexedDB

Datové úložiště přímo v prohlížeči. Webové aplikace si do něj mohou ukládat větší množství dat. Pokud se do něj ukládají citlivé informace a aplikace obsahuje XSS zranitelnost, může k nim útočník získat přístup.

localStorage

Jednoduché úložiště dat v prohlížeči. Weby do něj často ukládají nastavení nebo identifikátory. Citlivá data uložená v localStorage mohou být problém, protože k nim může přistupovat JavaScript běžící na stránce.

sessionStorage

Podobné úložiště jako localStorage, ale jen pro dobu konkrétní relace nebo otevřeného panelu.

Cookies

Malé datové soubory, které web ukládá v prohlížeči. Používají se například pro udržení přihlášení. Pokud jsou správně nastavené (například s atributy HttpOnly nebo Secure), mohou být bezpečnější než běžná klientská úložiště.

Content-Security-Policy (CSP)

Bezpečnostní mechanismus webu, který říká prohlížeči, odkud smí načítat skripty, styly nebo další obsah. Správně nastavená CSP může výrazně omezit dopad XSS útoků.

Firebase

Cloudová platforma od společnosti Google, kterou vývojáři používají například pro autentizaci, databáze nebo ukládání souborů.

Firebase Storage

Služba pro ukládání souborů v cloudu. Pokud jsou špatně nastavená přístupová pravidla, mohou být soubory dostupné i veřejnosti.

Firebase Firestore

Cloudová databáze od Googlu používaná pro ukládání dat aplikací.

Security Rules

Pravidla, která určují, kdo smí data ve Firebase číst nebo zapisovat.

Broken Access Control

Chyba v řízení přístupů. Aplikace nedokáže správně ověřit, kdo má oprávnění k určitému obsahu.

IDOR (Insecure Direct Object Reference)

Typ chyby v řízení přístupů. Útočník změní identifikátor v URL nebo API požadavku a získá přístup k jinému objektu, například k jinému videu nebo dokumentu.

MPD soubor

Soubor používaný u streamovaného videa (MPEG-DASH). Obsahuje informace o tom, odkud má přehrávač načítat jednotlivé části videa.

BaseURL

Část MPD souboru určující základní adresu, odkud se mají načítat video segmenty.

MPEG-DASH

Standard pro streamování videa po částech. Video se přehrává postupně z menších segmentů.

Segmenty videa

Malé části, na které je streamované video rozdělené.

RSS feed

Datový formát používaný například pro podcasty nebo automatické načítání nového obsahu.

DevTools

Nástroje pro vývojáře v prohlížeči, které umožňují analyzovat fungování webové stránky.

Network panel

Část DevTools zobrazující komunikaci mezi prohlížečem a serverem.

Metadata

Doplňující informace uložené v souborech – například informace o autorovi, použitém softwaru nebo technických parametrech.

Responsible disclosure

Proces zodpovědného nahlášení bezpečnostní chyby. Výzkumník nejprve informuje firmu a dá jí čas na opravu, než je chyba zveřejněna.

90-day disclosure

Přístup používaný některými bezpečnostními výzkumníky, kdy firma dostane přibližně 90 dní na opravu zranitelnosti před jejím zveřejněním.

Bug bounty

Program, ve kterém firmy odměňují bezpečnostní výzkumníky za nalezené zranitelnosti.

security.txt

Standardizovaný soubor na webu organizace, který obsahuje kontaktní informace pro nahlášení bezpečnostních zranitelností.

Pentest

Zkráceně penetrační test – řízené bezpečnostní testování systému, jehož cílem je odhalit slabiny dříve, než je objeví útočníci.

Social engineering

Manipulace s lidmi za účelem získání informací nebo přístupu k systému.

Phishing

Typ podvodu, při kterém se útočník snaží vylákat citlivé údaje, například hesla nebo platební údaje.

Důvěryhodná doména

Webová adresa známé služby nebo značky. Právě proto jsou zranitelnosti na důvěryhodných doménách obzvlášť nebezpečné – uživatelé jim často automaticky věří.