BJamesB se spopada z vdiralci in o/ob tem napiše članek
Pozdravljeni sobivajoči! Decemberski mesec, ki je za nami je prinesel precej veselja, zabave, novosti, norosti, na drugi strani pa tudi stresa in preobremenitev. December je vsako leto nor mesec. Pa ne le zaradi vsesplošnega rajanja. V decembru se navadno pojavi največ novosti v računalniški branži in zato je potrebno biti stalno čuječ, prisoten in oprezajoč.
Zame je bil december, še posebno pa zadnji dnevi, predvsem izredno naporen. Na enem od strežnikov, kjer sem webmaster, smo začeli opažati čudna sesuvanja WWW servisov. Ker je sesuvanje postajalo vse bolj pogosto, smo začeli sumiti na vdor v sistem. Kmalu se je v elektronski pošti znašla kratka notica, da servise na določenem operacijskem sistemu lahko zrušiš s posebnim zaporedjem ukazov. Na internetu je bil o tem skoraj popoln molk, tudi proizvajalec in njegova tehnična podpora nista bila bogvekaj razsvetljena.
Kot sem že povedal v enem od prejšnjih člankov, se na internetu vsaka akcija zapiše v več logov. Na www strežniku je log takle (primer tega loga je le informativen in ni povezan z dejanji, opisanimi v članku):
…
193.2.30.149, -, 12/22/96, 0:14:13, W3SVC, WEBMASTER, 193.138.45.35, 0, 385, 72, 304, 0, GET, /gekko.htm, -,
193.2.30.149, -, 12/22/96, 0:14:13, W3SVC, WEBMASTER, 193.138.45.35, 0, 385, 72, 304, 0, GET, /pas-l.gif, -,
193.2.30.149, -, 12/22/96, 0:14:13, W3SVC, WEBMASTER, 193.138.45.35, 0, 387, 72, 304, 0, GET, /marquee.htm, -,
193.2.30.149, -, 12/22/96, 0:14:13, W3SVC, WEBMASTER, 193.138.45.35, 4086, 341, 5693, 200, 0, GET, /index.htm, -,
…
Ko log analiziramo vidimo naslednje:
- je IP številka, s katere je prišel paketek.
12/22/96 0:14:13 je datum in ura, ko je paketek dospel
W3SVC je servis, ki je paketek sprejel, v tem primeru WWW strežnik
WEBMASTER, 193.138.45.35 pove, na kater server je bil paketek naslovljen
GET je akcija, ki jo je paketek zahteval od streznika
/gekko.htm je datoteka, ki jo je paketek zahteval in strežnik vrnil
-, so dodatni parametri zahtevka
Iz tega vnosa vidimo, da je dne 22. decembra 1996 ob 0:14:13 uporabnik na IP številki 193.2.30.149 zahteval datoteko gekko.htm brez dodatnih parametrov z WWW strežnika.
Ker nas jasno zanima, kdo je 193.2.30.149, naredimo traceroute, ki nam pokaže naslednje:
Tracing route to ppp7-kr2.arnes.si [193.2.30.149]
over a maximum of 30 hops:
1 140 ms 105 ms 103 ms xxx.xxx.xxx.xxx cenzura
2 168 ms 147 ms 150 ms xxx.xxx.xxx.xxx cenzura
3 208 ms 155 ms 194 ms xxx.xxx.xxx.xxx cenzura
4 234 ms 191 ms 156 ms xxx.xxx.xxx.xxx cenzura
5 170 ms 159 ms 159 ms xxx.xxx.xxx.xxx cenzura
6 199 ms 162 ms 192 ms six.arnes.si [193.2.141.33]
7 218 ms 161 ms 163 ms rpttlj.arnes.si [193.2.31.69]
8 198 ms 214 ms 182 ms rpttkr.arnes.si [193.2.125.70]
9 196 ms 259 ms 195 ms rpttkr2.arnes.si [193.2.30.130]
10 478 ms 332 ms 348 ms ppp7-kr2.arnes.si [193.2.30.149]
Trace complete.
Tam kjer piše “xxx.xxx.xxx.xxx cenzura” so paketki potovali po mojem računalniku in mreži ter po mojem providerju in teh IP številk pač ne bom objavljal. Zanimivo pa pride potem:
six.arnes.si [193.2.141.33] pove, da je to uporabnik iz ARNESa. Poglejmo naprej…
rpttlj.arnes.si [193.2.31.69] je ARNESovo Ljubljansko vozlišče, iz njega pridemo naprej na rpttkr.arnes.si [193.2.125.70] Kranjsko vozlišče, z njega na rpttkr2.arnes.si [193.2.30.130] nek drug ARNESov računalnik ali router v Kranju, ki je končno posredoval paket naslovu ppp7-kr2.arnes.si [193.2.30.149].
Torej, IP številka 193.2.30.149 pripada sedmi point-to-point dial-in vstopni točki na ARNESovem vozlišču v Kranju.
Če sedaj pošljem to informacijo s primerno obrazložitvijo ARNESovim sistemcem, ki tudi logirajo vsakega uporabnika, mi lahko točno povejo, kdo je bil takrat uporabnik te dostopne točke. Navidezna anonimnost interneta se tako prav hitro in enostavno razblini in podatek, kaj je kdo počel na strežniku, postane zelo transparenten.
Žal v našem primeru sesuvanj servisov iskanje storilca ni bilo tako enostavno. Ko je storilec sesul W3SVC le-ta namreč ni končal opravila pravilno ampak se je zaradi hrošča (ki je tudi omogočil vdor) enostavno sesul in prav čisto nič zapisal v log. Take situacije so na srečo redke (pravtako taki hrošči, za katere se navadno izredno hitro najde zdravilo).
Popravek za hrošča je bil na voljo šele čez nekaj dni, zato smo si morali izmisliti zasilni ukrep. Na WWW smo takoj dali opozorilo, da je strežnik napadan in grožnjo, da bomo proti storilcem ukrepali. To naj bi preprečilo nadaljne napade na strežnik in nudili delno pojasnitev, zakaj ostali uporabniki včasih ne morejo dosegati do strežnika.
Jasno pa grožnja brez primerne palice ne zaleže. Zato smo med vhodni router in www strežnik postavili analizator paketov. Packet Analyzerji so najbolj koristno orodje za odkrivanje nepravilnega delovanja mreže. V bistvu so to enostavni programi, ki prisluškujejo mreži in zapisujejo vse paktetke, ki potujejo po mreži na disk. Zapiše se celoten paketek, ki sploh ne ve, da je bil logiran. Tako početje generira gromozanske količine podatkov (v našem primeru povprečno 6MB/uro). Na WWW strežniku smo postavili auditing, ki je takrat, ko se je W3SVC sesul, zapisal datum in čas sesutja v log.
Ob sesutju servisa smo tako pogledali, kdaj se je to zgodilo in pregledali vse paketke, ki so v približno tistem časovnem obdobju prišli iz mreže. Ker smo vedeli, kakšno akcijo iščemo (katere podatke je storilec poslal in s tem sprožil sesutje mreže), je bilo potrebno samo pognati sito, ki je vse logirane paketke preiskalo in javilo IP številke in pot po katerih so le-ti prišli v našo mrežo.
Med webmasterji in internet ponudniki v primeru vdorov v sisteme vlada zgledno sodelovanje, saj vsi vemo, kako neprijetne so posledice in da pred njimi ni nihče varen, ne glede na to, kakšno opremo uporablja. Zato je bilo nadvse enostavno razdeliti naloge in poiskati primeren mehanizem detekcije.
V dotičnem primeru lahko storilcem dokažemo namerno povzročanje gospodarske škode. Z normalno in pravilno uporabo W3SVCa ne moremo povzročiti sesutja, saj je zanj potrebna posebna sekvenca ukazov. Dejanje torej ne more biti naključno, ampak je lahko samo namerno. Ker je strežnik, na katerem smo opažali vdore, komercialen in zato njegovo delovanje stane precej denarja, njegova zatajitev pa lahko povzroči precejšnje sitnosti ostalim uporabnikom, je evidentna tudi gospodarska škoda, nastala zaradi vdora. K skupnim stroškom pa je potrebno prišteti še stroške odkrivanja storilca, ki tudi niso zanemarljivi.
Naša približna ocena je, da je podjetje skupno utrpelo za približno 500K SIT škode. Vodstvo podjetja se more sedaj odločiti, ali bo storilce sodno preganjalo! Če se odloči za to in če sodišče (po verjetno dolgotrajnem procesu) odloči, da je šlo za kriminalno dejanje (kar je precej verjetno) bo moral storilec nositi stroške škode, ki jo je utrpelo podjetje, ter jasno skupne sodne stroške. Nedolžno ali namerno nagajanje bo v tem primeru storilca stalo tam blizu enega milijona SIT, za nagrado pa dobi še kartoteko na policiji.
Verjetno se vsi vprašamo, kakšen je naš odnos do takih vdorov. Je to le nedolžna zafrkancija? Izkaz premoči spretnih (na kateri strani je premoč, je očitno videti iz gornjih odstavkov)? Ali pa je to kriminal? Vdiralec je v tem primeru izkoristil slabost operacijskega sistema. V mojih očeh je enak vlomilcu, ki najde stanovanje nezaklenjeno. Poštenjak bi opozoril lastnike, vlomilec pa se je razveselil lahke priložnosti, vstopil in odnesel vse kar je videl.
Kevin Mitnick, verjetno najbolj znan heker.
Težava pa pri mrežnem in sploh vsem digitalnem kriminalu je v tem, da na je digitalni kriminal manj poznan, včasih glorificiran. Navadnim smrtnikom, ki razmišljajo o atomih (npr. atomi v obliki avtoradia, zlatnine, nemških mark) je težko razumljiv, saj nepridiprav pri mrežnem kriminalu ne odnese ničesar, edino kar vidimo je pretok bitov. A ta pretok bitov povzroči škodo. V našem primeru je zaradi tega ostalo brez nujnih informacij precej ljudi. Če bi bil vdor drugačen in bi na strežniku obstajal seznam kupcev in njihovih kreditnih kartic, bi “neznanec” enostavno povzročil povsem materialno škodo.
Nikoli ne neham poudarjati, da obstaja med hekeriranjem in mrežnim kriminalom ostro določena meja. Heker si postavi lasten strežnik, vdre vanj, razišče njegove šibke in močne točke. To počne iz radovednosti, iz želje po znanju. Tudi ko mu uspe, ne gre po mreži izrabljati te prednosti, ampak navadno svoje izsledke objavi in s tem pomaga izboljšati sistem. Zakaj? Zato, da izziv premagovati ovire ostane naprej, zato, ker z javno objavo doseže slavo in spoštovanje. Če bi vdrl v sistem, mu to ne prinaša posebnega zadoščenja: sistemec, ki za vdor ne ve, ne zapre luknje, kar pa je za našega hekerja isto, kot če bi stalno jedel isto pogreto juho. Kje je tu izziv? In še, če vdre v sistem, mora biti o tem tiho, saj si noče nakopati policije na glavo. Kje je tu slava?
Kaj pa cyberkriminalec? O njem nimam posebno dobrega mnenja. Prvič, navadno ne odkriva lastnih načinov dostopa ampak uporablja tiste znane, ki jih je našel heker. To je podobno, kot če bi namesto dobro treniranega čefurja ki teži tvoji bejbi v diskaču na ulici pretepel invalidno babico, ki si sama ne more pomagati. Je to herojstvo? Očitno ne! Drugič, zakaj to dela? Ker želi nervirati ostanek prebivalstva, ki ga navadno izloči? Je zaradi tega kaj bolj cool in pomemben? Hej, vsak trileten mulc zna odkleniti najnovejši mercedes, če mu daš ključ v roke.
Edini razlog, ki bi ga normalen človek imel za vdor v sistem je adrenalin, ki ga čutiš ko vdiraš. Podobno kot pri vožnji 200km/h na avtocesti. Te bodo dobili? Čimbolj je sistem zavarovan, toliko več adrenalina. Je potem čudno, da so prvovrstni vdori tisti, ki so spremenili spletne strani CIA in ameriškega ministrstva za pravosodje? Pa mislite, da jih ne bodo odkrili? Osebno sem skoraj prepričan, da jih bodo. Če že ne v digitalnem svetu pa v realnem. In kakšna bo kazen? Verjetno jo vdor ne bo prekosil.
Zakonodajalci bodo zelo hitro postali občutljivi na primere cyberterorizma. Več kot se informacij in mehanizmov, nujno potrebnih za funkcioniranje družbe kot celote seli na računalniška omrežja, toliko hujši bo pritisk po primernih metodah za varovanje. Poglejmo, kakšna paranoja že vlada v ZDA, ko imajo agenti FBI in Secret Service-a takorekoč neomejena pooblastila, ko gre za primere računalniškega kriminala. Če se bo računalniški kriminal preveč razpasel, potem je zelo verjetno, da bo internet iz svobodnega teritorija postal popolnoma policijska država, kjer še tisto malo svobode ne bo mogoče prosto izrabiti. V zgornjih odstavkih je primer, kako enostavno dobimo podatke o uporabniku. Enake in še boljše metode (bog obvaruj) si lahko zmislijo za obvaldovanje mrežne divjine. In če bo dovolj ljudi, razjarjenih zaradi vdorov v sisteme, ki jih potrebujejo za normalno življenje, zahtevalo večji nadzor, potem predvidevam, da bo naše mrežno življenje popolnoma pregledno, transparentno in pod nadzorom.
Nauk te pripovedi je, da se vdiranje v računalnike ne izplača, da je nevarno in večino izsledljivo. Če hočete vdirati, si postavite sistem, ga maksimalno zavarujte in povabite prijatelje na zaboavo. Kdor zruši zaščite, naj postane operater, postavi svoje zaščite in zopet pusti vdirati drugim. Na ta način je izziv lahko zabaven, je neškodljiv in nekazniv. Še enkrat in še tisočkrat pa povem: pustite tuje računalnike pri miru. Posledice lahko čutite vse življenje in taka potegavščina SE ENOSTAVNO NE IZPLAČA!
Zaskrbljen,
BJamesB