Давно ли ты слышал о реальных дырах в почтовых системах? Я не имею в виду CSS-уязвимости, использование которых часто вызывает затруднения: не все пользователи ставят галочку напротив “сохранить пароль”, а перехватить чужую сессию не так-то просто. Да что там, многие юзеры вообще не используют web-интерфейс для проверки почты. В этой статье я расскажу о том, как можно получить доступ к любому ящику популярного российского почтового сервиса E-Mail.ru.

Как все начиналось

Один неизвестный парень (назовем его Петр), которого часто видели пьяным на домашних вечеринках пользователей "компота", однажды вспомнил о том, как 3 года назад другой хакер по асе предлагал за деньги мыльники службы e-mail.ru. На долгие уговоры намекнуть на баг он отвечал отказом. Затем просто пропал. Уж очень деятельный был парень. Через 2 года на форуме carderplanet.cc услуга была представлена жирной строкой в разделе, посвященном хакингу. Так как у Петра был аккаунт на том же e-mail.ru, ему стало обидно, что его ящики могут читать все кому не лень. Кроме того, наш герой и сам был парень не промах: ему очень хотелось почитать чужую почту и увести красивый icq uin. Под музыку "Members of MayDay - Sonic Empire" Петро начал поверхностное исследование сервера. Одно он знал точно: в форумах не было ни слова о краже всей базы e-mail.ru, что облегчало задачу - ведь тогда отпадал вариант взлома MySql или, скажем, Oracle базы.

неШелковый путь

Значит, дело в скриптах. Их расширение (.dll, .exe) наводит страх на обычных юзеров, но взломщик знал, что это, скорее всего, обычные сценарии для CGI - просто так настроен web-сервер. Когда же Петя ввел заведомо неверные сведения в диалоге восстановления пароля, выскочило следующее сообщение: “Cannot open file '/webmail/netauth/profiles/e-mail_ru/u_kh/notexist@e-mail_ru/notexist.dat' {No such file or directory}” (рис.2). Конечно, ничего сверхъестественного не произошло: скрипт просто ругался, что не обнаружил файла notexist.dat – notexist в данном случае это имя несуществующего аккаунта, к которому мы пытаемся “вспомнить пароль”. Полученная информация была бы полезна, если бы мы могли работать с файловой системой, но такой возможности пока не было. Судорожно нажимая на все ссылки, Петя нашел-таки скрипт, который принимал в качестве одного из параметров имя некоторого файла. Но использовать эту брешь не получилось, поскольку программа не выводила пользователю ни строчки из подключаемого файла. Что же делать дальше? Петя уже было отчаялся, как внезапно его осенило! Он вспомнил про значение параметра cmd скрипта, отвечающего за восстановление пароля – “passwd4”. Логично, если cmd может принимать значение “passwd4”, то, по-видимому, сюда можно подставить и “passwd3”, “passwd2”, “passwd1”! Так и получилось.

Зверски банальная ошибка

Суть баги ясна даже пятикласснику. Если passwd4 отвечал за восстановление пароля, то passwd1 отвечает за его замену. Получается, если скрипту передается параметр cmd=passwd1, то он производит смену пароля. Интересно, а старый пассворд он при этом запрашивает? Оказалось, что нет! То есть строка http://www.e-mail.ru/scripts/netauth.exe?cmd=passw...l.ru&pass=ncroot&repass=ncroot устанавливает пароль “ncroot” на ящик ncroot@e-mail.ru. Думаю, понятно, что переменная name - логин, vhost - домен, pass - пароль и repass - подтверждение пароля. Названия параметров pass и repass Петр получил, порывшись в настройках специально созданного для опытов ящика. Кстати, интересный факт: если менять пароль у собственного аккаунта при помощи предоставляемого интерфейса, используется скрипт netauth.dll, а не netauth.exe. Получается, что этот баг присутствует только из-за невнимательности и забывчивости программистов, которые при написании netauth.exe описали блок кода, который выполняется, когда cmd=passwd1. Причем внешних ссылок, которые этот блок вызывают, нет. Если бы программисты назвали его “jciksdjichi”, то до этой баги никто и никогда бы не докопался.



Теперь остается лишь зайти под новыми реквизитами в ящик и почитать в нормальном режиме содержимое. Только не забывай, что выискивать в своей адресной книге знакомых с адресом e-mail.ru и читать их почту запрещено законом, и, разумеется, ни к чему такому ни автор статьи, ни редакция журнала тебя не склоняют. Само собой, при помощи этой уязвимости можно получить доступ к ящикам и в других доменах: @supermail.ru, @vipmail.ru, @e-mails.ru и т.д. Полный список уязвимых адресов ты найдешь на сайте e-mail.ru. Хочу сразу огорчить: ящики вроде admin, root и т.п. не являются аккаунтами админов. Зато в них лежит немереное количество спама и писем пользователей с просьбой помочь: "не могу войти в свой ящик" :-). Вот тебе и замкнутый круг. Мылом админа является ящик на @amedia.ru, куда Петр послал сообщение: "Почему любой перец может читать почту юзеров e-mail.ru? Это разве нормально?" Но админ пропустил это мимо ушей, поэтому баг работает до сих пор.

Как защититься?

Как ты только что убедился, при взломе интернет-систем не всегда следует заморачиваться сложными алгоритмами – часто решение находится прямо под носом. Теперь о защите пользователей этого сервиса. Ни Петр, ни кто-либо из его воображаемых друзей так и не придумали, как же защититься от этого произвола. Помочь пользователям E-mail.ru могут только грамотные web-кодеры, которые, для начала, должны попросту добавить проверку старого пароля при попытке сменить его. А пока решение только одно - использовать другой почтовый сервис. Хотя, учитывая статьи в предыдущих номерах Х, складывается впечатление, что безопасных служб не осталось вовсе :). Что ж, в такое время мы живем.

Сколько вешать?

Я хотел бы сразу тебя предостеречь: не следует применять сведения, полученные из этой статьи, на практике в корыстных целях. Во-первых, это противоречит законодательству РФ, а во-вторых, это крайне неэтично. Представь, что твою собственную почту могут прочитать тысячи человек - правда, неприятно? На самом деле, статья очень наглядно показывает, что бывает, когда интернет-вору необходимо взломать конкретный ящик, а вместо этого угрозе подвергается вся почтовая система с миллионом пользователей. Тем более что в рассматриваемом случае был задействован только браузер + совсем капелька мозгов (и заметь: никаких приемов с XSS, подразумевающих участие атакуемого!). Хотелось бы также обратиться к разработчикам web-систем. Друзья! Давайте жить дружно! Поменьше ходите в клубы, поменьше пейте пива