Autor: Jacek Piskozub (piskozub_at_ocean.iopan.gda.pl)
Data: Thu 20 Apr 1995 - 14:27:32 MET DST
Witam wszystkich na grupach: NET-L oraz POLIP. Bedzie to tzw.
cross-posting, przepraszam jesli ktos dostanie dwie kopie.
Chce tu opisac atak pirata (unikam sporu: hacker/cracker) na nasz server
ocean.iopan.gda.pl. Atak byl dosc prymitywny ale i tak skuteczny.
Uwaga: nie zdradzam tu "ksywki" pirata - po co go reklamowac -
tytulowy Sztukmistrz z Lublina jest jedynie nazwa opisowa.
Administratorzy: zachowajcie czujnosc!!!
Zaczne od poczatku:
W czasie swiat wielkanocnych wykrylem istnienie ukrytego podkatalogu
katalogu /pub/upload na naszym serwerze ftp. (ftp.iopan.gda.pl -
co zreszta jest po prostu aliasem ocean.iopan.gda.pl). Katalog
natychmiast zlikwidowalem, zachowujac jedynie liste podkatalogow.
Byly tam pirackie kopie szeregu programow i gier.
Zaczalem sledzic pliki z historia logowan. Okazalo sie, ze od
24 marca do 16 kwietnia wystapilo 91 logowan ftp z maszyny
ajax.umcs.lublin.pl. Godziny logowan zgadzaly sie z godzinami
zalozenia podkatalogow. Od 4 kwietnia zaczely pojawiac sie
liczne logowania anonimowego ftp, glownie z zagranicy. Najwyrazniej
pirat zaczal rozpropagowywac "swoj" serwer. Sadze, ze przez IRC.
Na szczescie katalog pirata dzialal od tego momentu tylko 12 dni.
Niestety pirat mial kupe szczescia: zaczal gdy bylem w rejsie
badawczym a nastepnie konczylem artykul na konferencje. Skonczylem
tuz przed swietami i natychmiast zainteresowalem sie dziwnie
duza iloscia anonimowych logowan ftp z roznych egzotycznych domen.
Stad wlasnie trafienie katalogu pirata w tak nieprawdopodobny dzien
(Niedziela Wielkanocna), zreszta dokonane z domu przez modem.
Po swietach skontaktowalem sie z administratorem ajaxa. Dzieki jego
wspolpracy ustalono juz sprawce. Zaapelowalem o ukaranie go
bez przesady biorac pod uwage prymitywnosc ataku. Oczywiscie,
z drugiej strony bezkarnosc byla by wysoce niepedagogiczna. Sa
w komcu kraje, gdzie za cos takiego grozilby proces karny. U nas
z tym bylby juz chociazby taki problem, ze watpie aby emaile,
i pliki logow mogly byc dla naszych dedziow dowodem. W dodatku
wyobrazam sobie prokuratora sieciowego analfabete, ktory rozpoczalby
od zapieczetowania (a najlepiej demontazu) roznych serverow tu
i w Lublinie jako dowodow rzeczowych :-)
Wnioski (wielu z was wie ale zawsze sa tacy, ktorzy i tak to
lekcewaza - jak ja dotad):
- nie mozna zostawiac zadnych katalogow z prawem zapisu w drzewie
dostepnym dla anonimeowego ftp. Nasz mial sluzyc naszym pracownikow
dla wygodnego przekazywania sobie plikow (nie kazdy umie posluzyc
sie uudecode). Posluzyl w koncu komus innemu. Teraz katalog jest
pozbawiony praw zapisu (umiescilem tam krotki opis zdarzenia po
angielsku i polsku - dla przestrogi). Jesli przywrocimy prawa
zapisu, to tylko z dokladnym logowaniem wszystkiego i wlaczonym
na przyklad pakietu TCP Wrappers, korzystajacym z protokolu
ident (ftp://galaxy.uci.agh.edu.pl/pub/security/tcp_wrapper.txt.gz)
dla rozpoznania loginu uzytkownika anonymous ftp.
- radze przejrzec wszystkie takie katalogi na waszych serverach ftp
(jesli ktos tego nie robi). Nazwy pustych plikow z przechwalkami
pirata glosily m.in., ze jest to "jego" Server #1. Moze zdarzyl juz
powstac np. #2. Sa tez na pewno inni o podobnych pomyslach.
- prosze uwazac na polaczenia z ajax.umcs.lublin.pl (i pewnie innych
maszyn z lublina uzywanych przez studentow a nawet uczniow. Zacytuje
(pozwolil na te przestroge) administratora ajaxa:
>
> Ostrzezenie o hoscie ajax.umcs.lublin.pl jest calkiem na miejscu.
[...]
> W rozmowach z kolega administratorem z Krakowa radzilem
> kiedys, by odcial dostep do swoich maszyn z tego hosta.
> Z uwagi na swobode dostepu do sieci w Lublinie likwidowanie hosta
> ajax nie ma najmniejszego sensu - stanowiska tego bronilem publicznie
> na liscie irc-admin_at_uci.agh.edu.pl.
>
- Jeszcze jedno ostrzezenie dla administratorow: ograniczcie kopie
pliku z uzytkownikami dostepna dla anonymous ftp (nie pisze dokladniej bo
po co dawac komus instrukcje gdzie co i jak) do linii z uzytkownikiem
ftp. Wlasciwienie ma nic bardzo niebezpiecznego w tym pliku ale
jesli nie chcecie przedstawiac komus listy swoich userow to lepiej
jednak ten plik przerobic. Widac nie wszyscy administratorzy wiedza
o jego istnieniu. W czasie swiat wielkanocnych nie majac sie z kim
w Lublinie skontaktowac sciagnalem takie pliki z ajaxa i jeszcze
jednego hosta (dla porownania listy uzytkownikow). Gdy poslalem
temu drugiemu administratorowi probke dla pokazania co jego uzytkownicy
maja zamiast nazwisk (wlos sie jezyl na glowie), z wrazenia zdazyl
w panice zmienic sendmaila zanim mu wyjasnilem skad to mam.
Na koniec prosba (glownie do dziennikarzy czytajacych liste): nie
robcie wokol tej i podobnych spraw zbyt duzo rozglosu POZA siecia.
Im mniej ktos wie o tych sprawach tym bardziej wpada na wiesc
o takich sprawach w panike, co jesli jest decydentem odpowiedzialnym
za cos moze zaszkodzic nam wszystkim.
Jesli kogos interesuja jakies szczegoly: sluze, ale raczej poza lista.
Nie pisalem tu jakie bledy popelnil pirat (a popelnil pare zaliczajacych
go w jego wlasnej terminologii do "lamerow") gdyz nie chce instruowac
nastepcow. Nie zamierzam tez rozpowszechniac nazwiska sprawcy. I tak
zostanie ukarany, a ogloszenie o tym nie jest juz moja sprawa. Byla by
to zreszta kara dodatkowa i prawdopodobnie nielegalna w swietle polskego
prawa, wobec ktorego pisze sie np. o Przemyslawie W., synu Prezydenta RP
w ten wlasnie, dosc komiczny sposob.
Jacek Piskozub
Lidar Laboratory
Institute of Oceanology
email: piskozub_at_iopan.gda.pl Polish Academy of Sciences
tel: (++48 58) 517281 ext.202 ul. Powstancow Warszawy 55
fax: (++48 58) 512130 81-712 Sopot, Poland
My WWW HomePage: http://www.iopan.gda.pl/jacek.html
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 15:50:50 MET DST