| Hrátky s CzERTem |
Českým a slovenským webem prochází temný přízrak? Ne, to snad ne... CzERTovo "řádění" je jenom taková legranda - pobavte se s ním i s námi, patřičný background nasajte zde... Část z tohoto se dočtete v Internetu 3/97, kéž by ovšem ze stránky byla přece jenom patrná jakási snaha o přidanou hodnotu. I linky budou časem přibývat... možná. :-)
| CzERT a MaMedia | Votava vs. CzERT | CzERTovské kousky - www portfolio | CzERTovské linky |
| CzERT a MaMedia |
Ani jsme nemuseli čekat, až nám CzERT hákne www.tlp.cz, stačilo CzERTovo extempore v polovině února na www.mamedia.cz, pár emailů sem a tam, několik zpráv skrze MaMedia poštu a pokec je tady. Nejspíš pár lidí v doméně *.cz naštve. To jsou ti, kterým CzERT smazal jejich stroje - ano, CzERT se nezabývá jenom mírumilovným hákováním webových serverů. Přečtěte si a zařiďte se podle toho sami jak chcete.
O co v případě hacku MaMedií šlo? CzERT přebarvil titulní stránku načerno, umístil na ni obrázek pekelného démona (byl to sám satanáš) a zveřejnil seznam lidí, které obvinil z rozšiřování kradeného - warez - software.
P: CzERT, SERT a RWSXWX jsou skupiny hackerů? Máte nějakou hiearchii? Nebo jste volné sdružení a kdo se pod vaší značkou podepíše, ten se podepíše?
Jsme skupiny hackerů. Žádná hiearchie. Ten druhý popis celkem sedí. Nepředstavuj si bandu adolescentů jako ve Foglarových knížkách.;)
P: Jak jste početní? Nacházíte se fyzicky na nějakém trochu konkrétnějším místě, nebo jste roztroušeni po celém internetu?
CzERT je skupina lidí, kterou dohromady drží pouze přátelství a společné hobby. Náš počet, národnost a geografické umístění jsou detaily, do kterých bych nerad zacházel. CzERT není organizace, je to pouze akronym, který používá několik lidí, když podepisuje vytvářený software, utility - především na operační systém Linux - a v poslední době i hákování www. Pokud se týče právě hákování web serverů, tak to je většinou moje individuální práce, ovšem za velké softwarové a mentální podpory kolegů.;)Na hákování www servrů platí staré pořekadlo, že za málo peněz je hodně muziky. ;) Nejsem na tyhle hacky nijak zvlášť hrdý a ani u nich netrávím nějaké podstatné množství mého času. Je to pro mě čistě víkendová recese. Nedělej si o mě prosím dojem jenom na základě těch hacků, je to vážně takové příležitostné zpestření života.;)
P: Soutěžíte mezi sebou?
Nepopírám, že moje hobby není zrovna nejtradičnější, ale soutěžení, nahánění ega, machrování a podobné věci patří do jiné věkové kategorie. Proč si o mě myslíš, že jsem infantilní fanatik? :)
Soutěžení v žádném případě ne, spíš jsem rád, že znám lidi s podobnými zájmy. Spolupracujeme spolu na programech, hackování, potkáváme se téměř denně virtuálně (IRC a podobně) a čas od času i osobně.
P: Pořádáte taky srazy v reálu, třeba někde po hospodách?
Ano, míváme srazy, které jsou docela veřejné a na které chodí dost lidí. Ale často se setkáme i na malých soukromých setkáních, občas jenom pro radost, občas pracovně.
P: Co je cílem vašich hackerských útoků na web? Upozorňovat na nebezpečí od
"zlých" hackerů ale sami zlo nepáchat?
Nemyslím, že existuje "hodný" a "zlý" hacker. Záleží na situaci. Já si v žádném případě nechci hrát na Robina Hooda, mám celkem dost za ušima.
P: Proč uplynula tak dlouhá doba od posledních podzimních hacků?
Hacky www neuskutečnuji pravidelně třikrát denně vždy po jídle. Je to náhodný žert. Nedá se najít nějaká chronologická souvislost mezi načasováním jednotlivých hacků. Teď jsem možná vyrazil proto, že byly zimní prázdniny, dovolené, a tak.
P: Proč byly vybrány právě MaMedia? Co bylo nejdůležitějším cílem při háknutí MaMedií?
Asi protože je to tak populární server. Ale v zásadě nepoužívám na výběr žádný klíč.Cíl leží někde v oblasti drsných studentských žertíků. Dá se těžko mluvit o důležitých cílech...
P: Bylo háknutí MaMedií těžké?
Nemyslím, že by to bylo příliš složité. Chyba byla v tom, že se pan Votava logoval většinou na www.mamedia.cz přes PPP konto o pár sítí vedle, a tak bylo potřeba najít stroj mezi ním a MaMédii a zachytit na něm příslušný packet. To ani není chyba administrace daného serveru, ale spíš problém v TCP/IP, i když se teď dost rozšiřují síťové programy podporující šifrovanou komunikaci - např. SSH - Secure Shell - které tento problém vyřeší. Spíš je podle mě těžší potom nepozorovaně vniknout na stroj a kompletně zůstat neviditelný. Čištění textových logů je lehké, ale binární logy (wtmp, lastlog, acct..) jsou už složitější, a opravování access time atributů všech přečtených souborů může být občas pěkná otrava. Také může být dost obtížné zneviditelnění před systémovými utilitkami jako jsou ps, top, netstat a podobně. Bližší detaily útoky by asi nebylo rozumné rozebírat, protože by takové informace mohly být zneužitelné, a taky je to trochu divný pocit, když má kouzelník prozradit jak vytahuje králíka z klobouku.
P: Jak dlouho se takový hack jako MA připravuje?
Neexistuje obecný recept. Scanuji pravidelně doménu *.cz a *.sk na problémy v bezpečnosti, zvenčí využitelné bugy, špatné NFS konfigurace a podobně. Divím se, že někdo v cz-sk dávno nedělá něco podobného, například Cesnet/Sanet/Eunet. Takže občas mě scannovací script upozorní na problém a pak je to otázka zhruba půlhodinky pomocí automatických scriptů kompletně se přemístit na cizí stroj, vytvořit backdoory a vyčistit logy. Ale když člověk jde po určitém stroji, jako v tomto případě, může to trvat i pár dní. Tady šlo konkrétně o pět dní.
P: Jak háknutí MA probíhalo?
Já jsem v sobotu večer Votavu asi ve 20:00 odblokoval z www.mamedia.cz, kde byl lognutý, a zablokoval jsem mu heslo. On se však za pár minut dostal zpět přes backdoor ve WWW a shodil stroj i mě na něm a předělal nazpět všechny html soubory do původního stavu. Ale já jsem je zase dostal zpět před 21:00, shodil jsem stroj a tentokrát kompletně zablokoval přístup přes telnet (hosts.deny), neboť jsem věděl, že stroj je fyzicky u Cesnetu a pan Votava k němu nemá přístup (jinak by se dal získat root nabootováním z diskety). Mezitím mě Votava kontaktoval na MA, navázali jsme hovor (vzhledem na okolnosti musím říct, že relativně přátelsky naladěný :-) Tak jsme se místo bitek a rebootů dohodli na kompromisu - já jsem ho pustil na stroj a on mi nechal moje stránky do pondělí.
MaMédia jsou jinak velmi bezpečný server. Pokud někdo získá heslo uživatele MA, tak je to pravděpodobně zachycením paketu na cestě do www.mamedia.cz, lehko uhádnutelným heslem, apod. Ale co bych si myslel o někom, kdo krade uživatelům hesla a čte jejich soukromou poštu? To samé co o naší pošťačce, která čte všechny moje pohlednice - mávnul bych rukou a zasmál bych té slaboduchosti.
P: Nejpochybnější mi na celé akci připadá ten seznam "pirátů"... Jak byl seznam sestavován?
Seznam byl vytvořený člověkem z RWSRXRX, který se mnou na hacku spolupracoval, extrahováním údajů z MaMedia o frekventovaných uživatelích auditorií "Warez, Gamez...". Ale zveřejněním jsme nesledovali žádné "vyšší cíle". Seznam nebyl sestavovaný s úmyslem je poškodit, koneckonců na základě tohoto seznamu je nikdo stíhat nebude. Je to veřejný výsměch, nic víc. Vždyť jaký by byl svět smutný, kdybychom se nemohli zasmát takovým sosákům warezu, celé té "kultuře" okolo warezování, '0-day 3lit3 warez' skupinám, 'Warez FTP s1tez', a nad ic|-| 3l1t3 m3nAm1. Pohrdám jimi.
Proto z naší strany nebyla žádná snaha o získání více adres logováním serverů, záznamem trafficu na warez sajtech. Mezi 20:00 a 0:00 jsem změnil jejich ikony těch uživatelů na obrázek penisu...
Můj názor na lidi, kteří se ohrazují, že newarezí, a přesto jsou na seznamu? Říká se, že potrefená husa se ozve. Kdyby doopravdy newarezili, tak by se teď celí rozklepaní nekrčili doma pod pohovkou, ale jednoduše by se tomu zasmáli. Tak, jako se směju já.
P: CzERT se staví jako celek proti pirátství?
Myslím, že ani ne. Každý z nás je jiný. Nenávist proti pirátství je můj osobní fetiš. ;-) Zhruba řečeno, každý kdo trochu ví o tvorbě software a práci programátora, každý, kdo má respekt k lidské práci a její ochraně, nemůže sympatizovat se softwarovým pirátstvím.
Na softwarové piráty jsem alergický z dob studií. Měli jsme jako studenti na jisté akademické instituci přísné 1Mb quoty na unixových kontech, restrikce počet běžících FTP programů, otevřených shellů, atd. Přitom samotný administrátor denodenně stahoval stovky megabyte komerčního software a ukládal ho na školní server. Zdálo se mi, že je to hrozné svinstvo. Když mě jednou přistihl administrátor školní sítě, jak mám otevřené dva FTP programy místo jednoho a zrušil mi konto, začal jsem studovat UNIX. Řekl jsem si, že to přece nemůže být nic těžkého, přechytračit člověka, který celý den tráví taháním windows warez softu a jehož znalosti systému UNIX jsou dost limitované.
Později, když jsem někde v Česku nebo na Slovensku narazil někde na síti na školní počítač s kradeným software, vždycky jsem ten software vymazal. Vymazal jsem stroje, jako například diana.troja.mff.cuni.cz (dnešní lucy.troja.mff.cuni.cz), které byly financované z peněz daňových poplatníků na používání studenty, ale které byly zneužívané na distribuci kradeného software. Častokrát (například na kmotr.zf.jcu.cz) bylo víc jak 90 procent hard disku warez. Šokovalo mě, když jsem sledoval statistiku na školních sítích, ve kterých byly instalovány warez sajty. Neuvěřitelně veliké procento provozu spočívalo v tahání a uploadování softwaru z různých koutů světa. Tak veliké procento provozu, že třeba v případě domény *.cuni.cz jsem přesvědčený, že o existenci tohoto warez serveru museli vědět všichni kompetentní administrátoři sítě. To je alarmující!
P: Jak vypadá temná budoucnost internetu podle CzERTA?
Díky mému koníčku mám možnost nahlédnout do bezpečnosti počítačových systémů v Čechách a na Slovensku. Většina společností komerčně aktivních na internetu se žene mumutími kroky za vidinou rychlého zisku na "informační superdálnici" a ignoruje všechno ostatní, včetně bezpečnosti vlastních serverů. Reklamy v českých počítačových periodikách nabízají předinstalované servery, které stačí vyndat z krabice, zapnout do zásuvky a firma má "zabezpečený přístup k internetu za 15 minut". A potom to tak vypadá s bezpečností.
Scannování domén *.cz a *.sk dělám zhruba jednou do měsíce. Většinou si všimnu, že nepř. jeden server si proti předchozímu měsíci zlepšil bezpečnost, ale místo něho tu máme dva úplně nové servery, které jsou poměrně snadno nabouratelné. Velý přírůstek serverů je podle mě jedním z důvodů špatné bezpečnosti, dalšími důvody jsou špatné vzdělání a minimální praxe administrátorů. Vinu má koneckonců i obrovský boom internetu v tomto období "třetí vlny", jak ho nazvali futurologové manželé Tofflerovi. Je alarmující, když si uvědomíte, kam všude po světě se může dostat usilovný student dnes, a co teprve za pár let, až budou informační technologie zasahovat opravdu do všech sfér našeho života!
P: Co má Čert za záliby?
Při toulání sítí poslouchám většinou tvrdší elektronickou hudbu typu Front 242, Laibach, Clock DVA a podobně, celkem se to tematicky hodí. ;-) Když nesedím u počítače, tak běhám po horách s batohem a přítelkyní, snažím se konečně vyhrát v šachu nad svým sousedem, čtu sci-fi literaturu a mám seriózní závislost na oříškové čokoládě. ;-) WWW moc nenavštěvuju, jsem spíš zvyklý na svět ASCII a UNIXu. Ale pravidelně čtu Neviditelného psa (http://pes.eunet.cz/), zprávy na CNN (http://www.cnn.com/) a dost často se zastavím na MaMédiích.
P: Jaký máš z toho celého dojem?
Začínám mít pocit, že to celé nabírá takový divný absurdní rozměr. Jsem zvyklý na maximální krytí a celý hack jsem dělal tak, aby mě na stroji nikdo nemohl najít, abych nezanechal žádné stopy a abych byl neviditelný. A nakonec jsem v situaci, že diskutuju s lidmi o tom, co jsem udělal, včetně samotného admina. Je to nezvyk a připadá mi to celé tak trochu komické...
P: Jsem si jistý, že když budeš chtít, vypaříš se beze stopy a nikdo o tobě již víc neuslyší...
I zaprášilo se od kopyt muly a prérie se zavřela za Pohotovým Billem. V osadách u táborových ohňů se budou zpívat táhlé songy ještě několik zim.
| Votava vs. CzERT |
V případě MaMédií CzERT nejspíš nejvíc krůpějí potu na čele přivodil správci serveru - Milanu Votavovi. Votavův náhled na celou šlamastyku kolem MaMédií máme v bodech zde:
Něco takového jsem už dlouho čekal a to mnohem dříve. Byl jsem tudíž psychicky připraven.
Hackeři jsou vždy krok vpřed před
JAKÝMKOLIV pokusem o zabezpečení. CzERT (budu mluvit v singuláru,
i když vím, že je to grupa lidí) mě překvapil tím, že ZCELA
zvrátil mé dosavadní představy o člověku, jenž se zve hacker.
Doposud jsem si myslel, ze oni šílenci, pseudogeniální jedinci,
které jsem vídal v amerických krimi/action filmech, kde vládli
ničím a nikým neomezenou mocí, ve skutečnosti neexistují a jsou
pouhým blbým výplodem blbých scénaristů. Teď už je tomu jinak.
Teď už vím, že blbost scénaristů se nezměnila, ale že ti
hackeři opravdu EXISTUJÍ a jejich moc je ještě větší, než si
kdokoli z nás myslí!
Vysoce si cením morálních hodnot CzERTa,
neboť i přes svou neomezenou faktickou moc nerozpoutal na našem
serveru Armagedon, ale pouze přesně cílenou marketingovou akci,
z níž profitoval nejen on, ale především my (viz. zpráva ČTK
atd.)...
Z bezpečnostího hlediska je pro nás důležitý fakt, že
CzERT považuje zabezpečení serveru za nadprůměrné a v budoucnu
se pravděpodobně stane jakýmsi naším konzultantem na otázky
bezpečnosti...
Děkuji CzERTovi a všem spřízněným mediím za
spolupráci na této velkolepé akci a doufám, že se všichni dobře
pobavili. A o to nám přeci jde, ne!?
| CzERTovské kousky - www portfolio |
Kolem 1. listopadu 1996 poprvé vstoupil do života obyvatelů čekého webu CzERT - pokud jste v těch dnech dokočírovali brousidlo na www.army.cz, z prohlížeče na vás něžně vykoukla čínská armádní stránka spravovaná Dobrým vojákem Švejkem. Já osobně - ve své nebetyčné naivitě - jsem za tímhle kouskem hledal povedený vtípek pacifistických správců armádního serveru. Johoho - teprve o den až dva později mi z Neffova Neviditelného Psa bylo do hlavy vtlučeno: kdepák, jednalo se o hack a stojí za ním CzERT.
Potom poskytl CzERT Neviditelnému Psovi interview. Potom háknul pár dalších serverů. O armádním serveru psaly noviny, armáda utnula své webové prezentaci tipec. Potom se Neffovi ozval správce armádního serveru. Potom snad CzERT provedl nějaké další hacky, potom dlouho nic.
A hle - 15. února 1997 se po delší době CzERT ozývá znova, tentokrát nabouráním MaMédií - jednoho z nejpopulárnějších serverů u nás. K Mamediálnímu žertíku se vztahuje podstatná část tohoto dokundamentu, takže jenom rýpnu: až to tak vypadá, že MaMedia si háknul Votava sám kvůli publicitě! Kdepak, byl to skutečně CzERT...
Snad aby zájem tisku o MaMédia nepřišel Ivo Lukačoviči, majiteli Seznamu, líto, o necelý týden později si CzERT dvakrát počíhal i na jeho server: v pátek a v sobotu. CzERTovo nedělní menu: Union banka.
Vypadá to ale, že CzERT je mírumilovný hacker - na všech serverech prý hacknuté stránky zálohoval a i když by mohl, neničil. CzERT ale taky není jediný, kdo se toulá doménami .cz .sk - pár dnů po MaMédiích kdosi jiný způsobil veliký poprask na www.mobil.cz. Z tohoto kousku byl nepřímo Ondřejem Neffem, vydavatelem Psa, obviněn CzERT. CzERT byl vyzván Neffem k vyjádření se, leč nevyjádřil se a Neff za trest smazal svůj Psí hackerský archív. Škoda... CzERT se vyjádřil - malinko opožděně a v auditoriu na MaMediích... ;-) Na www.mobil.cz se někdo cizí podepsal CzERTovým jménem. Otázka zní: kdo?
Seznam
| CzERTovské linky |
...a tady se majitelé MaMédií málem rozplakali...
mirror dalších CzERT-related (ehm;-) materiálů, m.j. starých Neffových rozhovorů
Tuhle pekelnou stránku sestavil Pavel Pospíšil
Copyright © 1997 Trade & Leisure Publications. All rights reserved.