dmiba

Vytlač príspevok
Odporuč príspevok
Bookmark and Share PRIDAŤ NA VYBRALI.SME.SK

nbusr123

26.07.2006 09:50:00
Múdry sa vraj učí na chybách iných, hlupák na vlastných. Do akej kategórie ale patrí človek nepoučiteľný?

Kauza nbusr123 znamenala pred nedávnom veľké haló a slovenské média začali skloňovať slovo hacker rôznymi spôsobmi. Poškodené ego úradníkov ministerstva vnútra a NBÚ túžilo po odvete. A tak údajne po prizvaní poradcov z FBI, konečne vyštartovali po vinníkoch - hackeroch.

Nie je hacker ako hacker?
Hacker je podla definície na wikipedii: "A hacker is a person who creates and modifies computer software and computer hardware, including computer programming, administration, and security-related items." Táto definícia je jednak celkovo značne široká a takisto o úplne niečom inom, ako médiá a všetci kompetentní pred občanmi prezentujú.

Áno hacker môže, ale vôbec nemusí byť ten "zlý". Hackerom podľa všeobecnej definície môže byť ktokoľvek, kto programuje, montuje počítače. Teda spoločnosti ako Microsoft, Sun, IBM, atd.. sú plné rôznych hackerov a keď berieme slovo hacker v hanlivom výraze do svojich pier, urážame milióny hackerov pracujúcich v IT priemysle, ktorý je jedným zo živiteľov štátu ale aj médií. 

Ak sa niekto včera pobavil na mojom úlete s pocitom, že som hackera definoval humorne, teraz isto chápe, že ani nie.

Boli ľudia za "útokom" na NBÚ tí zlí "hackeri"?
Poviem, že neviem. Nebol som pri tom s nimi, nevidel som, čo všetko spravili. Ale osobne cítim, že nie. Nabúrali "nezabezpečený" systém a upozornili na to verejne. Upozornili na to, že systém zaplatený z naších peňazí, system z bezpečnostným auditom zaplateným z ďalších naších peňazí, zabezpečený nie je. Urobili ale chybu, vzali si dôkazový materiál.

Bežne sa "zainteresovanými" používa prirovnávanie daného stavu k dverám domu so zámkom a títo hackeri k zlodejom, ktorí tento dom vykradil. Poistite si dom, kúpte najmodernejšie bezpečnostné dvere a zaveste si kľúče od domu vedľa dverí. Preplatí vám poisťovňa niečo, ak bude vedieť, že ste takto postupovali? Nie. Lenže úradník je v tomto postsocialistickom štáte stále pánom a tak musí ukázať svoju moc aj keď je bezmocný.

Hon na čarodejnice
Tak sa dá nazvať to čo sa deje. Neviem prečo, ale mám pocit, že páni z NBÚ a ministerstva vnútra nevedia dodnes, čo všetko uniklo, alebo im experti z FBI ukázali, že sa v systémoch niekto šprtal hlbšie a oni rýchle musia nájsť vinníka, alebo aspoň obetného baránka, ak by niečo uniklo na verejnosť. Nový minister vnútra musí ukázať voličom, že nová vláda niečo robí a riaditeľ NBÚ sa potrebuje očitiť.

A tak najprv zhabú server, z ktorého bol vedený údajne jeden z útokov. Viac ako týždeň im trvá skopírovanie 79GB dát a jeho vrátenie vlastníkom, ktorých mediálne obvinia, že nechceli spolupracovať.

Následne niekto odstaví ich doménu vďaka diletanstvu adminov subdodávateľa, ktoré ozaj už hraničí s podprimernou inteligenciou. Včera som sa svojej 7-ročnej dcéry len pre zaujímavosť opýtal, čo spraví, ak jej heslo na GMAIL niekto zistí. Bez váhania povedala: "Tak si ho zmením nie?". Ak to vie absolventka prvého ročníka základnej školy, ako je možné, že takúto banalitu nevie absolvent vysokej školy?

Ako jedna z najhorších ukážok PR štátnej správy boli výstupy riaditeľa kancelárie NBÚ počas celej kauzy. Mútenie vody a bagatelizovanie celého problému, popieranie a zavádzanie. Ak sa už chcel na niečo vyhovárať, mal sa vyhovoriť na hardvérové zlyhanie niektorej z častí systému. Každý kto robí s aj tým najjednoduchším publikačný systémom dobre vie, že pri aktualizácii contentu nie je potrebné odstaviť daný systém. To bola najstupídnejšia výhovorka, akú mu niekto poradil.

Návrh riešenia
Aby to nebolo iba o kritike, tak pridám aj zopár rád. Možno si ich niekto prečíta a nepristúpi k nim systémom: "Ja dočúram ďalej."

  • už by mala konečne nastať doba, kedy štátny zamestnanec bude plne zodpovený za svoje konanie (teda, zodpovední jedinci musia byť, čo najskôr odvolaní - vrátane riaditeľa kancelárie a musí byť voči nim vedené tresné stíhanie za zanedbanie si povinností a ohrozenie bezpečnosti štátu)
  • štát by mal určiť, ktoré štátne povolania sa musia vyňať z tabuľkového systému odmeňovania (napríklad pokiaľ viem, tak taký bodyguard prezidenta nezarobí viac ako 30.000 mesačne, admin v NBÚ možno 15.000) a mali by mať zvýhodnené odmeňovanie
  • zanedbanie zodpovednosti dodávaeľskej firmy má byť rovnako potrestané úplným zákazom akýchkoľvek štátnych dodávok
  • ministri, ich tajomníci a poslanci by mali absolvovať minimálne základne školenie z oblasti bezpečnosti informačných systémov a mali by byť dostatočne zdatní na to, aby vedeli rozdiel medzi hackerom a crackerom
  • audit systémov by mala robiť iná - nezávislá firma ako dodávateľ týchto systémov
  • ak dôjde k odhaleniu hackerov, ponúknuť im minimálne (ak už niekto musí dočúrať najďalej) výber medzi väzbou a prácou pre patričné štátne inštitúcie, kde budú užitočnejší a kde radi budú dočasne pracovať aj za "tabuľkový plat"
  • kompetentí by si mali uvedomiť, že takéto útoky nevedú pubertálne deti, ale väčšinou jedinci zdatnejší ako ich admini

Ak ma nejaká rada časom ešte napadne, alebo ak napadne niečo ďalšie čitateľa, kľudne nech to pridá do komentárov. Sme idealisti a myslíme si, že si niekto to raz prečíta a príjme to ako pozitívne informácie.


Komentáre | stály odkaz

Komentáre

  1. Mali by im poďakovať
    Je hanbou celej SR, že do systému NBU sa podarilo niekomu preniknúť. Čo ja viem, tak softvérové firmy hackerov na podobnú činnosť dokonca najímajú. Pomáhajú im odhaľovať bezpečnostné chyby.

    Lenže v tomto štáte si zrejme niekto myslí, že ak sa o probléme zabezpečenia systému NBU nebude verejne hovoriť, že tento sa sám od seba odstráni.

    Hneď sa cítim bezpečnejšie. :D
    publikované: 26.07.2006 10:09:45 | autor: Mona (e-mail, web, neautorizovaný)
  2. Útok na NBÚ bez škody
    Celý čas od začiatku tejto kauzy hovorca NBÚ tvrdil verejnosti, že k žiadnej škode neprišlo. Z čoho sú potom hackeri obviňovaní? Že objavili zlú prácu administrátorov? Vedenie NBÚ sa skrúca v kŕčoch, lebo zistili, že výber odborníkov nebol ten najlepší. Vraj vyhlásili konkurz... zaujímalo by ma, či do neho zaradia aj tých, ktorí sa na "útoku" podieľali... Ja, byť riaditeľkou NBÚ, vyhlásim súťaž na prienik, a kto by vyhral dala by som mu vysokú odmenu, ktorú by som strhla adminom alebo dodávateľskej firme, ktorá za bezpečnosť ručí... Takto by som hackerov/hackerky strhla na svoju stranu a mohla by som sledovať ich činnosť, navyše by si mohli zarobiť. Víťazovi by som odovzdala stoličku vedúceho admina. Ak by to bol tím ľudí, vyhodím svojich babrákov a dám prácu šikovnejším. Uf... dobre, že nie som riaditeľkou NBÚ, nerada by som vyhadzovala ľudí z práce.:o)
    publikované: 26.07.2006 11:08:06 | autor: Modranka (e-mail, web, neautorizovaný)
  3. 2 modranka
    Pri urovni zabezpecenia, ake tam bolo, by tu stolicku a odmenu ziskal skoro hocikto. Ich stastie je skor v tom, ze to najskor nikto neskusal. Respektive nikto, co by sa verejne priznal, okrem tych hladanych hackerov.
    publikované: 26.07.2006 11:24:51 | autor: dmiba (e-mail, web, neautorizovaný)
  4. Výmena politických stráži
    Vôbec by som sa nedivila ak by všetko bolo vopred pripravené, pre tzv. "apolitickú" vymenu vedenie NBÚ... ale k tomu by sa mohli hádam vyjadriť iba hackeri. Veď čo si už myslieť ak NBÚ mal také trápne heslo. Možno si mysleli, že také jednoduché heslo nikoho nenapadne... (ale toto si mohol myslieť iba hlupák.)
    Ak sa to v tichosti ututlá, asi tu niekde bude pravda. Veď ako inak by sa mohli dostať do najvyšších štruktúr NBÚ dnešné politické špičky?
    publikované: 26.07.2006 11:40:53 | autor: Modranka (e-mail, web, neautorizovaný)
  5. Heslo
    Na prelomenie hesiel sa používajú špeciálne programy, ktoré skúšajú všetky možné kombinácie. Ako dlho to programu potrvá, je záležitosť zložitosti hesla. Napr. heslo nbusr123 mohol hacker zistiť za hodinu, ale heslo K/j-9*4~oG=73\zY2#hT@^ by zisťoval dajme tomu pol roka. Tie odhady času sú úplne z brucha, to len na ilustráciu, ako to asi funguje.
    publikované: 26.07.2006 13:29:31 | autor: Mona (e-mail, web, neautorizovaný)
  6. zistovanie hesla
    Ono to hackovanie bezi tak, ze najprv sa testnu prave stupidne kombinacie typu nbusr123 a ak tieto nezaberu nastupuje system, ktory opisujes. Avsak, pokial admin nie le lama a obcas sa pozrie do log suborov, tak na to velmi rychlo pride a moze tomu zabranit.

    Tu vsak slo o hrube diletanstvo jednak ludi z NBU jednak ludi z Netlabu. Osobne by som tejto spolocnosti do spravy nezveril ani pavuka co mam doma pod radiatorom. Nie to este nejake zariadenia s obsahujuce udaje hoci aj minimalneho utajenia.
    publikované: 26.07.2006 14:31:45 | autor: dmiba (e-mail, web, neautorizovaný)
  7. x
    ked bude znamy vyznam skratky IDS a nad systemami bude trvaly dohlad, potom sa mozeme bavit o skutocnej bezpecnosti.

    a 24/7 dohlad je mozny, nemusi byt nad 1 servrom, moze byt na celou skupinou a vyjde to lacnejsie ako deklarovanie bezpecnosti projektu, co ja osobne nebudem nikdy deklarovat, pretoze by som musel klamat :-)
    publikované: 26.07.2006 15:06:48 | autor: rony (e-mail, web, neautorizovaný)
  8. 2 rony
    Mas pravdu, problem je v tom, ze to Goldsmith, Kalinak alebo Spisak nikdy nepochopia, lebo su IT negramotni = funkcne negramotni.

    Lenze ukaz mi ludi, ktori ti za 15.000 hrubeho mesacne budu v Blave robit technicky dohlad. Nehovoriac, ze musia byt prevereni a perspektiva rastu je = 0, perspektiva rocneho narastu mzdy je takmer vysmechom, lebo ak podskoci inflacia, tento naras im ani tuto nevykompenzuje. Mozno sa taky idealista najde, ale ten viac zarobi ako putova atrakcia.
    publikované: 26.07.2006 15:42:03 | autor: dmiba (e-mail, web, neautorizovaný)
  9. x
    ten dohlad ma mat v prvom rade netlab.
    publikované: 26.07.2006 15:49:33 | autor: rony (e-mail, web, neautorizovaný)
  10. Este jeden bod do navrhu riesenie
    Aj ked neide priamo o riesenie, ale myslim ze je nacese zmenit heslo ;-)
    publikované: 27.07.2006 20:09:48 | autor: Modroocko (e-mail, web, neautorizovaný)
  11. LAMA nevie spravovat server
    1) za prve: stupidne heslo, no ale dobre - uradnik si zrejme myslel ze niekto ho musi rucne napisat a napadnut ho - poznam vela ludi co si to mysli, vacsinou su to dievcata
    kedze sa crackovanim hesiel zaoberam, nbusr123 by trvalo s dobrym wordlistom cca pol hodinu, ja by som navrhol rootovske heslo napr. Yu_8AxtrAm21_71 ktore by pri maximalnej rychlosti trvalo miliony - miliardy rokov

    2) hlavnu zasluhu mal admin (toto pomenovanie si uz nezasluzi, nazyvam ho LAMA)
    2.1) heslo nbusr123 by malo byt systemom odmietnute
    2.2) system by mal po troch pokusoch spomalit odozvu a po desiatich pokusoch zablokovat sa
    admin nielenze nevie zaklady bezpecnosti, ale ani spravovat server, pretoze toto sa normalne uci na vyske na informatike, ak ne na gympli
    publikované: 04.09.2006 05:24:33 | autor: 47andy (e-mail, web, neautorizovaný)
Pozor, na konci je potreba spočítať neľahkú matematickú úlohu! Inak komentár nevložíme. Pre tých lenivejších je tam tlačidlo kúzlo.



Prevádzkované na CMS TeaGuru spoločnosti Singularity, s.r.o., © 2004-2014