Hackeri v internetovej sieti ST od leta 2002, vyhlásenie ST s vážnymi trhlinami
Peter Polakovič / 09. 06. 2003, 00:00
"Ak by sme mali záujem tú sieť položiť, mohli sme tak urobiť kedykoľvek v období od cca. augusta 2002 do marca 2003!" / Z aktuálneho oznamu na hysteria.sk vyplýva, že aktivity na sieti ST sú dátované už od leta minulého roka. V auguste 2002 mali mať hackeri plný prístup k takmer všetkým aktívnym prvkom siete ST a od decembra 2002 mali prístup na niekoľko unixových serverov ST. Hackeri tak reagovali na aktuálne vyhlásenie ST, ktoré uvádza že o prieniku hackerov sa dozvedeli ST pred dvoma mesiacmi a urobili všetky opatrenia na zabezpečenie siete. Vyhlásenie ST k tomuto hackerskému prieniku tak nadobúda vážne trhliny.
(aktualizácia v závere článku)
Aktuálny oznam sa nachádza na http://hysteria.sk/prielom/oznam.html. Možno povedať, že hackeri takto reagujú na zverejnené stanovisko ST k tomuto hackerskému útoku. Podrobne o hackerskom útoku informoval Disk.sk v tomto článku.
Podľa spomínaného oznamu vykonávali "hackeri" svoje aktivity na sieti ST už od leta 2002.
- V auguste 2002 mali dokonca plný prístup k takmer všetkým aktívnym prvkom siete ST (cisco smerovače),
- od decembra 2002 aj prístup na niekoľko unixových serverov ST,
- v marci 2003 prostredníctvom hysteria.sk upozornili priamo ST na nedostatky v zabezpečení ich internetovej siete,
- reakcie sa im dostalo po zhruba týždni - ST začali podnikať kroky na zvýšenie bezpečnosti spomínaných zariadeni
- približne v strede mája "hackeri" prišli o posledný prístup na zariadenie ST.
Ako sa ale v ozname na hysteria.sk zdôrazňuje, počas prienikov hackerov neboli zničené ani modifikované žiadne zariadenia ani dáta ST.
Vyhlásenie, ktoré ST dnes poskytli aj Inet.sk a väčšiu časť z neho sme uverejnili tu, tak dostáva vážne trhliny. Poďme si porovnať tri najdôležitejšie časti vyhlásenia ST s tým, čo tvrdia hackeri:
1. stanovisko ST: "ST nezaznamenali tento víkend žiadne vniknutie do svojej internetovej siete. Zverejnené informácie – technické parametre siete Slovenských telekomunikácií, a.s., vrátane IP adries niektorých routerov boli získané nezákonným vniknutím do internetovej sietej spoločnosti asi pred dvomi mesiacmi. „Naša spoločnosť vtedy prijala okamžité optarenia – zamedzila aktívne prístupy do boxov a zaviedla obmedzenia na prihlasovanie, následne sme upravili overovanie z externého prostredia“, povedal Ján Kondáš, viceprezident pre korporátnu komunikáciu. ST urobili aj ďalšie opatrenia, ktoré viedli k eliminovaniu prípadného pokusu o narušenie siete ST IP."
Komentár: ST sa naozaj dozvedeli o prieniku do svojej siete pred dvoma mesiacmi, podľa všetkého ale až z upozornenia samotných hackerov, nie teda odhalením činnosti na strane ST. Dla oznamu na hysteria.sk sa ale v sieti ST hackeri pohybovali už od leta 2002, čo znamená vyše trištvrte roka (!!!). Pokiaľ ST postupne obmedzovali prístup hackerov na zariadenia ST až od marca, predtým mohol jednotlivé "trhliny" využiť ktokoľvek.
2. ST zodpovedne prehlasujú, že potenciálni hackeri sa nedostali na aktívnu časť siete spoločnosti (teda do privilegovaného módu na backbone).
Hackeri sa k tejto časti konkrétne nevyjadrili, môže z toho vyplývať že sa naozaj do privilegovaného módu na backbone nedostali, ale pokojne mohol nastať aj opak. Totiž, ako sme už písali na začiatku článku, hackeri mali v auguste 2002 plný prístup k takmer všetkým aktívnym prvkom siete ST (cisco smerovače) a od decembra 2002 aj prístup na niekoľko unixových serverov ST.
3. Už spomínaným vniknutím do internetovej siete spoločnosti neboli ohrozené komunikačné aktivity klientov ST nakoľko naša spoločnosť vyššie uvedené opatrenia prijala takmer okamžite po zistení vniknutia do internetovej siete.
Toto je najvážnejšia časť vyhlásenia ST. Ponúkame komentár pajkusa, jedného z tvorcov hysteria.sk, ktorý bol uverejnený v diskusii na hysteria.sk:
"logy v článku jasne dokazujú, že triuhorky (pozn.editora: ide o prezývku autora článku o hacku ST, nikto z editorov hystrie ale nepozna jej/jeho pravú identitu) mali pod kontrolou všetky kľúčové cisca a množstvo serverov od leta 2002 do marca 2003. Ak by boli vymazali všetky cisca a servre, nefungoval by internet ST niekoľko dní, podľa môjho odhadu cca 3-4 dni. Teoreticky mohli odpočúvať dátové prenosy na všetkých linkách, aj keď je to technicky náročnejšia vec."
V samotnom článku sa aj podľa vyjadrení niekoľko ďaľších ľudí ktorých som rýchlo oslovil - oborníkov z danej oblasti - vyjadrilo, že ST Online naozaj mohlo byť podľa daných informácií niekoľko dní "ST Offline". Pokiaľ zoberieme v úvahu spomínané názory, tretiu časť vyhlásenia ST je možno považovať za "veľmi nezodpovednú" voči zákazníkom služieb ST Online.
---
Pre komentár sme sa pokúšali telefonicky spojiť s Jánom Kondášom, viceprezidentom pre komunikáciu ST, aj vzhľadom na sviatočný deň sa nám to zatiaľ nepodarilo.
AKTUALIZOVANÉ
Tlačová správa ST zjavne spôsobila veľmi negatívnu odozvu u hackerov, ktorí na ňu veľmi rýchlo dokázali reagovať a priniesli k nej ďaľší veľmi podrobný komentár. Ešte včera večer autor článku o hacku internetovej siete ST, pod prezývkou triuhorka, poskytol pre www.hysteria.sk podrobné porovnanie tlačovej správy ST s jeho skutočnosťou.
Text je umiestnený na http://hysteria.sk/prielom/oznam.html, pre jeho závažnosť ho uverejňujeme aj v tomto článku:
tlačová správa ST:
Slovenske telekomunikacie, a.s. nezaznamenali tento vikend ziadne vniknutie do svojej internetovej siete. Zverejnene informacie - technicke parametre siete Slovenskych telekomunikacii, a.s., vratane IP adries niektorych routerov boli ziskane nezakonnym vniknutim do internetovej siete spolocnosti asi pred dvomi mesiacmi
triuhorka:
- v clanku sa o tomto vikende nehovorilo, hodnotena bola situacia za posledneho cca tristvrte roka,do siete sme sa nedostali pred dvoma mesiacmi, pred dvoma mesiacmi st obrdzali 500kb log z telnet sessiony ktora bola taky maly trip po ich routeroch a vtedy az zacali podnikat kroky. od st sme sa ziadnej odpovede nedockali ani nic typu "dakujeme za upozornenie"
"Nasa spolocnost vtedy prijala okamzite opatrenia - zamedzila aktivne pristupy do boxov a zaviedla obmedzenia na prihlasovanie, nasledne sme upravili overovanie z esterneho prostredia"
- v tejto organizacii trva pri takejto situacii prijat okamzite opatrenia cca tyzden...
Slovenske telekomunikacie, a.s. urobili aj dalsie opatrenia, ktore viedli k eliminovaniu pripadneho pokusu o narusenie siete ST IP
- opatrenia boli bezpredmetne, ak by sme mali zaujem tu siet polozit mohli sme tak urobit kedykolvek v obdobi od cca augusta 2002 do marca 2003
Slovenske telekomunikacie, a.s. zodpovedne prehlasuju, ze potencionalni hackeri sa nedostali na aktivnu cast siete spolocnosti (teda do privilegovaneho modu na backbone)
- pravda je ze sme nemali enable mod na vsetkych routeroch, ale mali sme enable na vsetkych dialup routeroch cez ktore sa pripajaju uzivatelia st online a na niektorych dalsich (linky pre markizu, vub, urad pre jadrovu bezpecnost, fond ochrany vkladov, atd.)
Uz spominanym vniknutim do internetovej siete spolocnosti neboli ohrozene komunikacne aktivity klientov Slovenskych telekomunikacii, a.s., nakolko nasa spolocnost vyssie uvedene opatrenia prijala takmer okamzite po zisteni vniknutia do internetovej siete.
- ospravedlnujem sa za vyraz ale toto su uplne dristy, pol roka im lozime po routeroch v enable mode potom im to povieme, im trva tyzden nez s tym nieco urobia a este povedia ze prijali okamzite opatrenia a ze nic nehrozilo... to je smiesne a ze neboli ohrozene komunikacne aktivity ? mohli sme namiesto pozornenia zacat davat shutdowne na linkach mazat IOS a reloadovat tie routre, to by bolo urcite re jednu aj druhu stranu lepsie.
Hackeri sa pri svojich nezakonnych aktivitach dostali k niektorym mailom administratorov siete prostrednictvom tzv. logservere. "Tento server patri iba medzi podporne servre, nesluzi pre potreby zakaznikom, ale len pre vnutorne potreby technickych specialistov nasej spolocnosti. Prevadzka zakaznickych servrov je dostatocne chranena najmodernejsimi technickymi prostreidkami. Udaje, ktore boli publikovane ako vysledok hackerskeho utoku boli starsie zalohy telefonneho zoznamu a nemaju ziaden podstatny vyznam pre nasu spolocnost. Su dokonca volne dostupne na strankach slovenskych telekomunikacii", dodal Jan Kondas.
- logserver je nepodstatna vec, ved sa tam ukladaju len logy z celej siete pre spatnu analyzu toho co sa kedy kde dialo, pre funkcnost a bezpecnost siete nema vobec vyznam (tieto slova boli pochoopitelne satiricke), este by sme odporucili osetrit bug v at daemone na tom serveri (da sa tam pod ktorymkolvek uzivatelom zmazat akykolvek subor na disku) je to race condition v atd, nastroj na mazanie by ste mali najst niekde v /tmp/.../at-del ak sa dobre pamatame. logserver.telecom.sk je bezvyznamny pre zakaznikov, ale myslime, ze dost vyznamny pre administratorov. "starsie zalohy telefonneho zoznamu a nemaju ziaden vyznam pre
nasu spolocnost" jasne /etc/shadow v ktorom je 82000 + nieco uzivatelov urcite nema ziadnu cenu (mame zacat zverejnovat tie hesla alebo co ?) nabuduce ked backupujete /etc tak aspon spravte potom chmod 600 etc.tar ;) aby niekto zas niekde v nejakej zalohe nenasiel 82000 hesiel.
Utoky hackerov na internetove a firemne siete velkych spolocnosti a institucii su celosvetovym problemom, Slovensko nevynimajuc. V niektorych krajinach su zakony nekompromisne voci neautorizovanym pristupom do siete inych spolocnosti. Bohuzial, na Slovensku legislativa v tomto smere zaostava. Slovenske telekomunikacie, a.s. disponuju velmi kvalitou a hlavne bezpecnou IP sietou, ktorej
prevadzka je systematicky monitorovana a kontrolovana z hladiska bezpecnosti a integrity.
- a zasa dalsie hluposti, by ma zaujimalo cim monitorovana, podla mailov co sa posielali medzi adminmi to skor vyzeralo ze ked sa nieco niekde udeje tak sa o tom dozvedia az zo staznosti zakaznika, ze nieco nefunguje. Najmodernejsiu sietou, iste hardware sa da, este keby to vedel niekto konfigurovat.A hladisko bezpecnosti ? Ak by niekto v tej sieti len trochu dbal na bezpecnost tak si vsimnu ze sa im pol roka niekto prihlasuje po routeroch a necakaju az kym im to ten navstevnik oznami.
Cela tlacova sprava je zmes vyhovoriek a mam pocit, ze clovek co ju daval dokopy, ten clanok ani necital a nevie ani celkom k comu sa to vlastne mal vyjadrit. A prirodzena rekacia, vyhovorit sa na stat ved on moze za to ze vsetci ti zli "hackeri" robia vsetkym velkym monopolnym firmam zle. My sa len snazime upozornit na situaciu ktora je.
--
Triuhorka priložila k článku ešte jeden log z tripu po st
-----------
V prípade aktuálnych informácií Vám ich okamžite na Inet.sk prinesieme!
Súvisiace články:
V čom (zrejme) urobili ST chybu...
Atuálne stanovisko ST k nelegálnemu prieniku do internetovej siete hackermi
Internet pre všetkých k hacku internetovej siete Slovenských telekomunikácií
Slovenské telekomunikácie hacknuté!