Connect with us

technokrata

Újabb nyílt levél a hackertől

Dotkom

Újabb nyílt levél a hackertől

A Terminalon nyílt levél formájában szólt a magyar internetező közösséghez egy hacker, melyre több reagálás is érkezett. Az eredeti levél írója úgy érezte, válaszolnia kell azoknak, akik reflektáltak az ő által előadottakra.

˝A Symanteces kolléga nem értett meg. Mi a tudásunk birtokában nem teszünk kárt egy rendszerben sem, nem törlünk, nem gátolunk semmit. Könnyedén megtehetnénk, hogy töröljük, vagy módosítjuk egy szerver adatait, de sem nekünk, sem a cégnek, sem a rendszergazdáknak nem lesz ettől jobb. Mi a lehetőségeket keressük. Az autós példa egyébként nem illik ide és megjegyzem, naiv az, aki azt hiszi, hogy külföldön minden más. A külföldi hackerek sokkal kegyetlenebbek. Rengeteg betörés van, és szinte mindegyik következménye deface (pl. az URLre kattintva egy módosított lap jelenik meg). Nyugaton többet foglalkoznak a biztonsággal, de úgy látszik, még ott sem mindig eleget.

1. A biztonsági védettség minden cégnél kötelező. Az, hogy a hacker kívülről ne tudjon a belső hálózaton kutakodni, nagyon kevés beállítást igényel, amit egy jó rendszergazda már meg tud csinálni. Ahol ez a lehetőség adott, ott nincs jó rendszergazda. Egy minimális tűzfalbeállítás, és pár futó alkalmazás konfigurálása már elegendő ahhoz, hogy senki se tudjon belépni kintről. A belső hálózati biztonság más kérdés. Az minket kevésbé érdekel.

2. Az lenne a fontos, hogy a pénzt hasznosan fordítsák a védelemre, már ahol egyáltalán költenek. Nem elég egy csillogó-villogó csomagolású szoftvert venni – megjegyzem az ingyenesen letölthetőek magasan verik azokat, gondolok itt oprendszerekre, tűzfalakra, kiszolgálókra, mert a lényeg a nyílt forráskód, és a finomhangolás. Ha valami nem működik jól, át lehet írni. Azt viszont elismerem, hogy nagyon nehéz egy olyan szoftverrendszert kifejleszteni, ami a felhasználók ˝ellen˝ is véd. Nehéz betanítani minden felhasználót, hogy milyen jelszava legyen, mit tegyen, és mit ne a számítógéppel.

3. Az, hogy egy cég belső gépéről támadnak, az szakmailag azt jelenti, hogy egy routeren keresztül bejutnak az egyik belső gépre, pl. SSH-val. Onnan a belső gépen root jogot szerezve, vagy akár e nélkül támadnak. Egy jól konfigurált router nem engedi át a kívülről érkező SSH kéréseket. Vagy ha át is engedi, akkor is csak előre megadott IP címeket. Ezeket beállítani pár napba telik. Egy gyakorlott gurunak maximum egy nap. Egyébként nagyon gyanús, hogy milyen ˝lakossági kutatás˝(!) mutatja ki, hogy a támadás Mo.-ról indult? Ezt max. néhány jó(?) rendszergazda tudhatja, akiknek a felkészített gépeik logolták az eseményeket. A Sulinet úgy gáz, ahogy van, de szerintem egy ddos támadás inkább az USA-ból, és a nagyon elhanyagolt Ázsiából érkezik Mo.-ra.

4. A csillogó-villogó tűzfalakkal tele a hócipőm. Egy UNIX alapú szerveren kernel oldali IP csomagszűrés, és egy, a portokat figyelő tűzfal bőven elég. És ezek a programok ingyenesek. Csak a szakértőket kell kifizetni.

5. A rossz fiúk előtt nem lehet járni! Honnan tudja egy biztonsági cég vezetője/alkalmazottja, hogy a hackerek milyen biztonsági rést fognak holnap felfedezni, és milyen hiba lesz annak az oka, hogy kikerül megint egy Internet-szolgáltató shadow file-ja visszafejtve a Webre? Sehonnan. Ezt nem lehet előre tudni. A hackerek mutatják meg, hogy milyen hibák léteznek, és erre reagálva a cégek kifejlesztenek egy védelmet, vagy javítják a hibát.

És még egy-két példa, miért akartam a tényekről beszélni, a biztonság fontosságának ködösítése helyett:

– PHP hiba miatt az egyik Internet-szolgáltató szerverén user jogosultságokkal lehet olvasni mindent. Mivel a hozzáértő rendszergazda ismerte a backup lehetőséget, csinálta is szorgosan. Arra viszont nem figyelt, hogy a backup file-ok is azonos jogokkal legyenek tárolva. A shadow file backup-ját meg kellett keresni (minimális PHP tudás szüks.), letölteni, és a jó öreg John The Ripper visszafejti. Mellékesen rengeteg olyan user/pass volt, amiben csak néhány karakter volt különböző
– Bementem egy könyvtárba, ahol volt egy debian szerver. A gép egy router volt a “net” és a belső háló között, rajta a könyvtár levelezése, és weblapja. Bekapcsolom a monitort, root shell. Had ne folytassam. ld. sulinet 🙂
– Volt egy BME-s szerverre accom. Belépek, nézelődök, benéztem a root könyvtárba. Nézem, van shadow file, ami olvasható volt. Innen már gyerekjáték a hack.
– Egy másik Internet-szolgáltató belő szerverein a rendszergazda saját login nevéhez (nem root!) minden szerveren u.a. volt a jelszó.˝



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek