\"/
\"/ \"/    

Škodná v počítačové síti MU

Luděk Matyska, FI MU, ÚVT MU
Ročník V - číslo 5, květen 1995
Citace: L. Matyska. Škodná v počítačové síti MU. Zpravodaj ÚVT MU. ISSN 1212-0901, 1995, roč. V, č. 5, s. 1-3.
Tematické zařazení: Počítačové sítě na MU
 předchozí číslo | následující článek 

Počátkem roku 1995 došlo v počítačové síti MU k jevům, které nikdo nepřivolával, leč každý s obavami očekával: byla dešifrována hesla některých uživatelů a jejich účty zneužity. Přestože správci sítě, především na ÚVT MU a PřF MU, zaznamenali již v minulém roce některé nežádoucí aktivity, ke skutečně závažné příhodě došlo až v tomto roce.

Causa

Nejprve byl upozorněn správce sekce Matematika PřF, že účty na jím spravovaných počítačích se objevily na jedné severoamerické BBS centrále (jedné z mnoha, které používají hackeři1 pro předávání informací) spolu s plnými hesly. Informace přišla z Kanady spolu s dotazem, zda se jedná o záměr či výsledek nelegálních akcí. Obdobné varování přišlo i správcům počítačů ESF.

Po konzultacích na ÚVT byly koordinovány akce jednotlivých správců s cílem zjistit totožnost pachatele (či pachatelů) a získat dostatek usvědčujícího materiálu. Protože se jednalo o de facto první skutečně potvrzený případ "nabourání" uživatelských účtů, bylo nutno celou metodiku teprve vytvářet.

Bližší kontrola počítačů na PřF MU ukázala, že došlo k poměrně rozsáhlému zneužití celé řady účtů, včetně zaměstnaneckých (bez oprávnění byl dokonce použit i účet vedoucí katedry). Vše nasvědčovalo tomu, že šlo o účty chráněné pouze velmi jednoduchým heslem a že tato hesla byla "uhodnuta" prostřednictvím vhodných programů. V síti Internet jsou dnes běžně k dispozici dva typy programů pro dešifrování uživatelských hesel2. Oba pracují "hrubou silou" (tj. kombinatoricky), přičemž první typ používá slovníku a množiny transformačních pravidel, jejichž pomocí kombinuje či pozměňuje slova ve slovníku (jednoduché pravidlo může být např. "vyměň všechna i za 1" či "vyměň liché výskyty i za 1". Druhý typ zkouší všechny kombinace a permutace zadané skupiny znaků. Oba typy programů pro svou činnost potřebují kopii souboru /etc/passwd ve verzi obsahující texty (byť zašifrované) uživatelských hesel. Vzhledem k použití "hrubé síly" je dešifrování výpočetně velmi náročnou úlohou, takže hackeři většinou hledají v počítačové síti dostatečně silné počítače, na nichž by mohli tyto programy (nejlépe pod "nabouranými" účty) spouštět.

Podrobný průzkum adresářů napadených účtů ukázal, že se jedná právě o tento typ zneužití. Byly nalezeny jak příslušné programy, tak i kopie souboru /etc/passwd z počítačů z Izraele a při bližším sledování činnosti na jednotlivých účtech bylo zjištěno, že pachatel(é) využívají výpočetní kapacitu počítače především v noci a přes víkend právě pro pokusy o odhalení dalších hesel.

Sledování aktivity na napadených účtech ukázalo, že prakticky všechny zásahy jsou vedeny přes terminálový server univerzity. Byl využíván účet, se kterým byly obecně negativní zkušenosti vzhledem k neúnosně vysokému zatížení terminálového serveru (více jak pět hodin denně). Současně se zjistilo, že tento účet je používán i k několikanásobnému současnému přihlášení na terminálový server, což samo o sobě svědčí o porušení pravidel provozu (je velmi nepravděpodobné, že by běžný uživatel měl k dispozici dva modemy a dvě telefonní linky, jedná se tedy nejspíše o situaci, kdy buď majitel účtu sdělil své heslo další osobě, nebo mu bylo heslo nějakým způsobem zcizeno). Protože zmíněný účet na terminálovém serveru patřil studentu, s nímž byly asi před třičtvrtě rokem určité problémy při dodržování pravidel provozu, domnívali jsme se, že jsme pachatele odhalili. Po osobním pohovoru, ve kterém student jakoukoliv nelegální aktivitu popřel a především uvedl, že již více jak půl roku nemá modem a tedy nemá ani jak terminálový server používat, jsme se zaměřili na možné zneužití účtu na terminálovém serveru třetí osobou.

Pečlivé srovnání aktivity na podezřelém účtu s aktivitami na účtech ostatních uživatelů ukázalo, že tento účet byl skutečně po dlouhé době nečinnosti reaktivován cca jednu hodinu poté, co byl jinému studentu pro zneužívání kapacity terminálového serveru zrušen účet. Tento poznatek nás pak přivedl ke skutečnému pachateli, studentu Přírodovědecké fakulty K.D. Student byl předvolán před kárnou komisi děkana Přírodovědecké fakulty a vzhledem k tomu, že svou aktivitu posléze přiznal a projevil ochotu spolupracovat při odstraňování následků, byl mu uložen pouze podmínečný trest: Podmínečné vyloučení ze studia na dobu jednoho roku.

Poučení

Z celé příhody lze vyvodit několikeré poučení. To základní pro uživatele zní: Kontrolujte si své účty. To znamená nejen ochránit si svůj účet netriviálním heslem, které nikomu (ale skutečně nikomu) nesdělíme, ale především sledovat, co se na účtu děje. Většina operačních systémů vypisuje informace o posledním přihlášení: alespoň zběžně kontrolujme čas a datum, protože hackeři se většinou přihlašují v pozdních nočních hodinách. Všímejme si podivně pojmenovaných souborů: v UNIXu pak především těch, které začínají tečkou (nejsou běžně vypisovány) či které mají jména typu "...", ".. " (dvě tečky a mezera). Rovnež je třeba kontrolovat obsah souboru .rhosts (a pokud možno znemožnit jeho čtení kýmkoliv kromě majitele účtu). Při podezření na zneužití je třeba neprodleně změnit heslo (a to na všech počítačích, na kterých máme účet chráněn stejným heslem), zkontrolovat soubor .rhosts a neprodleně informovat správce systému (je velmi pravděpodobné, že nejsme jediní postižení). Pokud účet nebudeme delší dobu používat, je vhodné domluvit se správcem systému buď dočasné uzamčení účtu (účet se pak stane bez administrativního zásahu zcela nepoužitelným) nebo alespoň zajistit občasnou kontrolu: aktivace účtu je automatickým důvodem ke kontrole.

Pravidlo pro správce je obdobné: Kontrolujte spravované účty. Především je třeba poučit všechny majitele účtů o elementárních pravidlech ochrany a spolupracovat s nimi při překonávání počátečních potíží (kontrola přihlášení, "podezřelé" soubory, ...). Pokud to verze operačního systému umožňuje, neměly by být texty hesel (i zašifrovaných) běžně přístupné neprivilegovaným uživatelům (v UNIXu je vhodné použít souboru shadow, který je čitelný pouze superuživatelem). Je rovněž nezbytně nutné pečlivě sledovat jakoukoliv aktivitu privilegovaných a administrativních účtů (hackeři rádi používají účty adm, sys, bin, ale též lp a další). Kromě toho je třeba začít aktivně používat monitorovací prostředky: přinejmenším informace o čase a místě posledních přihlášení (last), aktivně vyhledávat soubory s "podezřelými" jmény, případně používat pokročilejší systémy (wrapper). Podle možností je vhodné zaktivovat účtovací subsystém (accounting) a využívat informací, které poskytuje.

Je třeba mít připraven určitý scénář činností, které by měly následovat bezprostředně po prokázaném "nabourání" spravovaného systému. Především doporučujeme se okamžitě obrátit na pracovníky ÚVT (v prvé řadě na autora tohoto článku, současně též na dr. Černohlávka a systémové programátory). Vzhledem k tomu, že se v podstatě jedná o trestnou činnost, je vhodné pokusit se odhalit totožnost pachatele (pachatelů). To by však nemělo narušit a především ohrozit činnost uživatelů spravovaných počítačových systémů - nejsme policie a mělo by pro nás být podstatnější udržet jednotlivé systémy v chodu při zaručení alespoň minimální bezpečnosti než za každou cenu odhalit totožnost pachatelů. Dojde-li však k odhalení, je třeba vyvodit nekompromisní důsledky a zároveň o této skutečnosti informovat uživatele. Doufejme, že tak jednak zvýšíme určitou obezřetnost běžných uživatelů a současně odradíme další potenciální hackery od úmyslu "nabourat" počítačovou síť Masarykovy univerzity.

Závěr

Neexistuje žádná zaručená metoda, která by nás ochránila před opakováním popsané příhody (kromě odpojení se od sítě Internet). Vhodnou kombinací elementárních pravidel "osobní bezpečnosti" a poměrně jednoduchých systémových opatření lze však dosáhnout stavu, kdy je neautorizovaný průnik do počítačové sítě dostatečně rychle odhalen a nežádoucí následky minimalizovány. Přestože to vyžaduje určitou disciplinu jak na straně správců systému, tak i jednotlivých uživatelů, je třeba si uvědomit, že průnik do počítačových účtů je velmi nebezpečnou činností, která nemůže být bagatelizována a která by mohla mít i velmi nepříjemné důsledky (ztrátu dat, zfalšování informací nejrůznější závažnosti, zničení techniky, ...).

setting
1 Toto slovo nemá nutně pejorativní nádech: jedná se především o počítačové workaholiky, kteří jsou schopni se svými počítači trávit šestnáct i více hodin denně. Vzhledem k této zátěži je však mezi hackery vysoké procento sociálně nezralých jedinců, jimž komunikace s počítačem nahrazuje styk s okolním světem a zároveň počítač a především celosvětová síť Internet představují ohromnou hrací plochu, na které mohou prokázat svůj intelekt a schopnosti. K jejich nejčastějším zájmům patří odhalování hesel uživatelů počítačové sítě a nelegální používání těchto účtů, často ovšem k v podstatě "nevinným" aktivitám (např. hraní globálních her). Z jistého (socialistického?) pohledu se skutečně nic tak špatného neděje, používá-li někdo váš počítač v době vaší nepřítomnosti (kdy se na něm stejně nic nepočítá), ovšem na druhé straně by úplně stejný argument mohl být použit i při krádeži vozu a jeho následném vrácení na původní místo.
... zpět do textu
2 Přestože není příliš složité zjistit, o jaké programy se jedná, jejich názvy záměrně neuvádíme, abychom nepodporovali pokušení, kterému by mohli být někteří uživatelé vystaveni.
... zpět do textu
Zpět na začátek
ÚVT MU, poslední změna 14.11.2011