Pokud používáte ADSL na linkách Českého Telecomu, váš modem se nejprve připojuje do intranetu v síti Českého Telecomu. V okně vašeho webového prohlížeče se objeví takzvaný dashboard, webová stránka, ve které zadáte své uživatelské jméno a heslo. Český Telecom jméno a heslo předá vašemu poskytovateli připojení a propojí vás do jeho sítě. IP adresa přidělená intranetem pro přístup do ADSL vám zůstane, se zbytkem světa komunikujete přes IP adresu z adresního rozsahu poskytovatele připojení k internetu, kterého jste si vybrali, díky překladu adres (Network Address Translation, NAT).
Telecom původně počítal dokonce s dvoustupňovým přihlašováním na dvou po sobě následujících stránkách. Představoval si, že koncový zákazník by si sám hradil přípojení přes ADSL do zařízení DSLAM v telefonní ústředně a internetové služby si objednal u jednoho či více poskytovatelů připojení do internetu. Nakonec zůstalo u jediného přihlašovacího formuláře (service selection dashboard) a propojení do sítě poskytovatele připojení k internetu probíhá v režii Telecomu.
Připojení k internetu prostřednictvím ADSL nabízejí prakticky všichni významní poskytovatelé i někteří méně významní. Všichni poskytovatelé, se kterými jsme hovořili, neoficiálně potvrzují problémy ADSL. Síť podle nich sužují neplánované výpadky a plánované výpadky zase Telecom hlásí pozdě nebo vůbec ne.
Dva z významnějších poskytovatelů, Casablanca a IPEX, se stali svědky podivné příhody. Zákazníkovi Casablanky byla zřízena služba ADSL Basic (192 kb/s downlink, 64 kb/s uplink), úspěšně byl zapojen modem a na monitoru počítače se objevil dashboard se správně uvedeným názvem poskytovatele. Po zadání testovacího jména a hesla (pochopitelně test u většiny poskytovatelů připojení...) se zákazník úspěšně připojil k internetu, jméno a heslo zákazníka Telecom předá poskytovateli připojení protokolem RADIUS. Zvláštní však bylo, že uživatelské jméno a heslo zákazníka nefungovalo, zákazník proto vyzkoušel diagnostický program traceroute a zjistil zvláštní věc: Telecom jej propojoval do sítě jiného poskytovatele připojení, firmy IPEX. Testovacího jméno a heslo tedy fungovalo, uživatelské jméno a heslo přidělené Casablankou bylo Ipexu pochopitelně neznámé.
Problém byl objeven ve čtvrtek 3. července odpoledne, firma Casablanca kontaktovala Telecom a informovala i firmu IPEX. Český Telecom záhadu vyřešil až ve čtvrtek 10. července, chyba souvisela s automatickým přihlašováním počítače zákazníka k internetu pomocí skriptu dashlogin.pl zveřejněného Michalem Kočerem. Dashboard obsahuje přihlašovací formulář, který odesílá nejen uživatelské jméno a heslo, ale i skrytý údaj service, který obsahuje kód vybrané služby. Přihlašovací údaje jsou odesílány metodou POST, nejsou tedy vidět v URL stránky. V případě ADSL Basic od Casablanky se jednalo o 220906-Basic, v případě ADSL Basic od Ipexu o 220017-Basic. Autor skript odladil pro připojení přes Ipex a ve zdrojovém kódu ponechal řádek
my $sluzba = "220017-Basic"; # typ sluzby
Po opravě skript fungoval v pořádku.
Závažné následky chybného návrhu aplikace
Pokud uživatel zná hodnotu parametru service třeba poté, co si prohlédne zdrojový kód dashboardu u zákazníka jiného poskytovatele připojení, může se připojit do cizí sítě. Poskytovatelům připojení k internetu mohou kromě zatížení sítě vznikat další náklady na technickou podporu, nezvaný návštěvník sítě může páchat různé neplechy a třeba rozesílat spam, aniž by jeho aktivity byly smluvně podchyceny.
Mluvčí Telecomu Vladan Crha uvedl, že "aplikace service selection dashboardu a navazující hardwarové prvky Service Selection Gatewaye jsou komponenty dodavané firmou Cisco Systems. Vyvoj webové aplikace neprobíhal v Českém Telecomu". Vladan Crha potvrdil, že incident byl po vyřešení okamžitě eskalován na Cisco. Objevily se obavy, že pomocí pouhé změny kódu lze u ADSL Home navýšit přenosovou rychlost z 192/64 kb/s na 320/128 kb/s, chybu není možné zneužít k navýšení přenosové rychlosti a jediným způsobem zneužití zůstává možnost přistupovat k internetu přes jiného poskytovatele.
"V současné době je popisovaný problém eskalován na technickou podporu Cisco Systems s tím, že zatím není stanoven termín řešení dané situace. V případě, že nebude garantován termín odstranění chyby ze strany Cisco Systems do 18. července, budou v síti Českého Telecomu implementovány opravné mechanismy, které budou projevy dané chyby dočasně blokovat tak, aby bylo dočasné řešení dostupné k 18. 7. Rychlým řešením by pak mohla být změna testovacího účtu u všech poskytovatelů připoejní k internetu, protože popisovaný problém vyžaduje, aby bylo uživatelské jméno a heslo zákazníka úspěšně ověreno poskytovatelem, přes jehož připojení hodlá neoprávněně přistupovat do internetu," uvedl mluvčí Crha
Společnost Cisco Systems tedy ignorovala elementární zásady návrhu bezpečných webových aplikací. Je otázkou zda a do jaké míry podobné problémy sužují jiné webové aplikace Českého Telecomu. Některé webové aplikace českého Telecomu naštěstí procházejí auditem, příkladem může být webová aplikace, pomocí které ve dnech 24. až 27. června zaměstnanci Telecomu volili své zástupce do dozorčí rady. Případné pozdější zpochybnění regulérnosti volby dozorčí rady by zneplatnilo všechna její rozhodnutí, zdá se však, opatrnost při vývoji tedy byla na místě. Telecom hodlá tuto volební aplikaci případně nabízet i dalším firmám, například bankám a pojišťovnám, takže následky případného problému by byly značné. Aplikace je ovšem velmi svázána s prostředím Telecomu (zajímavý je třeba způsob distribuce hesel), takže v nejbližší době nelze očekávat její prodej, a tak problémy ve finančním sektoru v zásadě nemůže způsobit.
Potíž s dashboardem není prvním podobným problémem s řešením ADSL v síti Telecomu. Kvůli chybě na prvku Service Selection Gateway přestal na čas fungovat protokol FTP, Telecom problém uznal a velkoodběratelům ADSL poskytl slevu ve výši 30% velkoobchodní ceny měsíčního poplatku. Podrobnosti najdete zde. Problém s řešením od Ciska měl i T-Mobile, výpadek 8. května postihl služby internetových serverů na jiných portech než 80 a 21, bylo tak sice možno prohlížet běžné webové schránky a stahovat soubory protokolem FTP, přístup na zabezpečené webové stránky prostřednictvím šifrovacího protokolu HTTPS nebo běžná práce s elektronickou poštou byly vyloučeny. Problém byl definitivně vyřešen až 9. května kolem poledne. Podle našich informací však T-Mobile uprostřed ostrého provozu změnil verzi operačního systému IOS, aniž by proběhlo změnové řízení, v takové situaci pak nemá smysl obviňovat dodavatele.
Zachrání ADSL bitstream access?
Český Telecom slibuje poskytovatelům připojení i uživatelům zrušení překladu adres a dashboardu. Není však jasné, kdy k tomu dojde a jaké zvolí Český Telecom řešení. Na jednání Řídícího výboru Fóra pro dial-up ve středu 2. července slíbilo nové vedení Českého Telecomu předložit aktualizovanou verzi svých návrhů, viceprezident Telecomu pro služby velkoprodeje Pavel Jiroušek se omluvil s tím, že jednání se protáhla.
"S dashboardem a překladem adres v novém modelu ADSL nepočítáme, termín zavedení nového modelu ještě není definitivní," uvedl mluvčí Telecomu.
Někteří operátoři požadují přidat do novely zákona o telekomunikacích i přístup k datovým tokům v síti dominantního operátora. Takzvaný bitstream access by měl konkurenci Českého Telecomu umožnit přebírat data kdekoli až do úrovně místní ústředny Telecomu. Telecom by pak vůbec neřešil problémy na vyšších vrstvách a pomocí ADSL by bylo možné poskytovat i jiné služby než přístup k internetu, třeba video on demand. Telecom se zatím bitstream accessu úspěšně brání zřejmě kvůli udržení marží, které si za využívání infrastruktury pro ADSL v současné době účtuje. Současné řešení ADSL ovšem postihují plánované i neplánované výpadky, všichni oslovení poskytovatelé připojení nám potvrdili, že navzdory uzavřeným dohodám je Telecom často hlásí se zpožděním, nebo vůbec ne.
