Aktualizováno 24.7.
V odborných kruzích je již dlouhá léta znám slovenský server Hysteria.sk, který publikuje informace ze slovenské undergroundové scény. Byl to server, určený výhradně pro komunikaci této undergroundové komunity a dalších osob, zabývajících se počítačovou bezpečností na obou stranách barikády.
Na Hysterce vycházel pravidelně i hackerský občasník "Prielom - ezin binarnych
sxizofrenikov". Čas od času se tam objevily i nějaké zajímavé informace ohledně všech možných aspektů (nejen) počítačové a síťové bezpečnosti. Tam také byly publikovány celkem podrobné informace o tom, jak se podařilo proniknout do sítě slovenského Národného bezpečnostného úradu (ovšem není to jediné místo, dá se to najít třeba také zde).
Hack NBÚ byl gigantický průšvih. Paradoxně ovšem nikoli pro administrátory a jejich slavné uživatelské účty nbusr s heslem nbusr123, ale slovenská státní správa dospěla k závěru, že je nezbytné patřičně ztrestat pachatele, kteří do sítě NBÚ pronikli. A protože žádný rozumný hacker jednak takovou činnost nevykonává z IP adres, které jsou mu přiděleny,
ale z cizích probořených strojů a kromě toho po sobě také uklidí, neměla se policie
prakticky čeho chytit. A tak bylo rozhodnuto použít starou známou a oblíbenou metodu, kterou
už v protektorátě po Heydrichiádě s úspěchem použil Horst Böhme (na rozkaz Karla Hermanna
Franka, samozřejmě) - když nemáme viníky, alespoň exemplárně potrestejme nevinné. Böhme s
Frankem si vybrali Lidice a Ležáky, nový ministr vnitra Kaliňák a slovenský policejní
prezident Kulich zase server Hysteria.sk. Pravda, důkazní řízení není de iure
trestem, nicméně pro vlastníka věci to může být celkem vážná újma. Zvláště když víte, v
jakém stavu policie, alespoň v Čechách, zabavené věci obvykle vrací (pokud vůbec).
Každý, kdo má všech pět pohromadě, ví, že na Hysteria.sk, podobně jako třeba na tomto
serveru, žádné důkazy o tom, kdo se probořil do sítě slovenského NBÚ, nebudou. Ale je tam spousta zajímavých informací, nejen v databázích toho serveru, zajímavé budou pochopitelně i logy, což umožní evidovat nebezpečně smýšlející existence. A samozřejmě, před hloupými a neinformovanými voliči (a celkem s jistotou se odvážím říci, že jiní stávající slovenskou vládní koalici nevolili) se také dá zabavení Hysterky presentovat jako obrovský úspěch v boji proti informační kriminalitě.
Update z 24.7.
Podle tohoto materiálu je populární heslo nbusr123 na některých zařízeních NBÚ SR stále používáno.
FSM part 4.5: Jak se bránit sebrání serveru
Třeba také provozujete server, který je někomu nepohodlný. Existuje vůbec nějaká možnost, jak se bránit takové aktivitě státních orgánů? Odpověď zní, ano. Nečekejte právní analýzu, celý systém je nastaven tak, že jako občan jste oproti policii ve značně nerovném postavení a pokud vám zákony nepomůžou z tohoto důvodu, tak také často proto, že na ně policie kašle nebo je účelově obchází.
Budeme se tedy bránit technickými prostředky. Síla není na naší straně, síla je na straně státu. Proto musí na naší straně stát důvtip. Co je cenné na takovém serveru? Jednak informace na něm uložené, druhak samotný hardware. Ochránit chceme obojí. Jak na to? Je to prosté. Ne každý hardware je cenný. Staré počítače sice nejsou příliš výkonné, ale stojí dnes pakatel.
Policie je schopna náš server dohledat podle jeho IP adresy. Bloky IP adres jsou přiděleny
poskytovatelům. Nečekejte, že vás váš poskytovatel neudá. Pravda, někteří tak učiní pouze na
základě soudního příkazu, není to však pravidlem. Udá, stát mu to ukládá jako povinnost.
Nakonec do té serverovny policisty zavede a ukáže prstem na vaše železo.
Štěstí však přeje připraveným. Policista si tedy radostně odnáší náš hardware - nějaký starý
střep, na kterém žádná data nejsou. Ideálně třeba stroj bootující z CD-ROM. Řešení existuje
spousta - od prosté HTTP proxy až server, který si po nabootování přetáhne všechna potřebná
data (zejména skripty) na RAM disk (a bude používat vzdálenou databázi), NFS klient atd.
atd. - vše záleží od našich potřeb a možností.
Jistě, tento stroj musí odněkud získávat data, která dále předává. Při forensní analýze by
mohla být zjištěna IP adresa stroje, kam onen zabavený počítač posílal HTTP requesty nebo
odkud si stahoval data. Jak tomu zabránit? Jednoduše. Dotyčný počítač IP adresu onoho
'ostrého' serveru vůbec nesmí znát. Ale může znát DNS záznam. Jistě, tento DNS záznam budete
znát jen vy a onen stroj, celá zóna bude mít zakázený AXFR a o jeho existenci nebude mít
nikdo jiný ani tušení. Policie možná tento DNS záznam najde a pokusí se o resolving. Může -
tou dobou onen záznam totiž už dávno nebude existovat, nebo bude vtipně vracet třeba IP
adresu stroje www.mvcr.cz. Pro větší zábavu je vhodné všechny DNS dotazy logovat a
zjistit, odkud bude dotyčný DNS request odeslán.
Ano, přijdeme o starý střep za pár korun. Data i ostrý hardware, který koná většinu práce,
nám nadále zůstanou. Splašíme někde nějaké další bazarové železo, zase ho někam připojíme,
nakonec třeba i na původní místo, vytvoříme si nový maskovací DNS záznam pro náš server s
ostrými daty (a nikomu ho nebudeme co? Správně, říkat) a pár hodin po razii jedeme bez
nejmenší ztráty dat dál... A policie? Ta má jen bezcennou hromadu šrotu.