Újabb nyílt levél a hackertől

1. A biztonsági védettség minden cégnél kötelező. Az, hogy a hacker kívülről ne tudjon a belső hálózaton kutakodni, nagyon kevés beállítást igényel, amit egy jó rendszergazda már meg tud csinálni. Ahol ez a lehetőség adott, ott nincs jó rendszergazda. Egy minimális tűzfalbeállítás, és pár futó alkalmazás konfigurálása már elegendő ahhoz, hogy senki se tudjon belépni kintről. A belső hálózati biztonság más kérdés. Az minket kevésbé érdekel.

2. Az lenne a fontos, hogy a pénzt hasznosan fordítsák a védelemre, már ahol egyáltalán költenek. Nem elég egy csillogó-villogó csomagolású szoftvert venni – megjegyzem az ingyenesen letölthetőek magasan verik azokat, gondolok itt oprendszerekre, tűzfalakra, kiszolgálókra, mert a lényeg a nyílt forráskód, és a finomhangolás. Ha valami nem működik jól, át lehet írni. Azt viszont elismerem, hogy nagyon nehéz egy olyan szoftverrendszert kifejleszteni, ami a felhasználók ˝ellen˝ is véd. Nehéz betanítani minden felhasználót, hogy milyen jelszava legyen, mit tegyen, és mit ne a számítógéppel.

3. Az, hogy egy cég belső gépéről támadnak, az szakmailag azt jelenti, hogy egy routeren keresztül bejutnak az egyik belső gépre, pl. SSH-val. Onnan a belső gépen root jogot szerezve, vagy akár e nélkül támadnak. Egy jól konfigurált router nem engedi át a kívülről érkező SSH kéréseket. Vagy ha át is engedi, akkor is csak előre megadott IP címeket. Ezeket beállítani pár napba telik. Egy gyakorlott gurunak maximum egy nap. Egyébként nagyon gyanús, hogy milyen ˝lakossági kutatás˝(!) mutatja ki, hogy a támadás Mo.-ról indult? Ezt max. néhány jó(?) rendszergazda tudhatja, akiknek a felkészített gépeik logolták az eseményeket. A Sulinet úgy gáz, ahogy van, de szerintem egy ddos támadás inkább az USA-ból, és a nagyon elhanyagolt Ázsiából érkezik Mo.-ra.

4. A csillogó-villogó tűzfalakkal tele a hócipőm. Egy UNIX alapú szerveren kernel oldali IP csomagszűrés, és egy, a portokat figyelő tűzfal bőven elég. És ezek a programok ingyenesek. Csak a szakértőket kell kifizetni.

5. A rossz fiúk előtt nem lehet járni! Honnan tudja egy biztonsági cég vezetője/alkalmazottja, hogy a hackerek milyen biztonsági rést fognak holnap felfedezni, és milyen hiba lesz annak az oka, hogy kikerül megint egy Internet-szolgáltató shadow file-ja visszafejtve a Webre? Sehonnan. Ezt nem lehet előre tudni. A hackerek mutatják meg, hogy milyen hibák léteznek, és erre reagálva a cégek kifejlesztenek egy védelmet, vagy javítják a hibát.

És még egy-két példa, miért akartam a tényekről beszélni, a biztonság fontosságának ködösítése helyett:

– PHP hiba miatt az egyik Internet-szolgáltató szerverén user jogosultságokkal lehet olvasni mindent. Mivel a hozzáértő rendszergazda ismerte a backup lehetőséget, csinálta is szorgosan. Arra viszont nem figyelt, hogy a backup file-ok is azonos jogokkal legyenek tárolva. A shadow file backup-ját meg kellett keresni (minimális PHP tudás szüks.), letölteni, és a jó öreg John The Ripper visszafejti. Mellékesen rengeteg olyan user/pass volt, amiben csak néhány karakter volt különböző
– Bementem egy könyvtárba, ahol volt egy debian szerver. A gép egy router volt a “net” és a belső háló között, rajta a könyvtár levelezése, és weblapja. Bekapcsolom a monitort, root shell. Had ne folytassam. ld. sulinet 🙂
– Volt egy BME-s szerverre accom. Belépek, nézelődök, benéztem a root könyvtárba. Nézem, van shadow file, ami olvasható volt. Innen már gyerekjáték a hack.
– Egy másik Internet-szolgáltató belő szerverein a rendszergazda saját login nevéhez (nem root!) minden szerveren u.a. volt a jelszó.˝