Do pozornosti / nielen/ novinárom
citujeme:"Kedze prva verzia NBU bola, ze si servery vypol sam, neskor sa vyjadrili ze serverelektronickeho podpisu javil znamky zahltenia a rozne po internete su mystifikovaneniektore fakty, rozhodli sme sa uviest veci na pravu mieru.Ako prve si rozoberme co sa vlastne v celom NBU stalo v aprili. Neslo o nic zlozite,narocne ani namahave a to je na celej situacii najviac zarazajuce. Firma NetLab, ktoraposkytuje NBU konektivitu do internetu s najvacsou pravdepodobnostou dodala a spravuje aj lokalnusiet uradu. Tento zaver sme vyvodili na zaklade faktu, ze na zariadeniach NetLabu a NBUboli pouzite zhodne uzivatelske mena a hesla, co je podla nas prve hrube porusenienajzakladnejsich bezpecnostnych principov, analogicky by sa to dalo prirovnat k pouzivaniukrstneho mena ako hesla k bankovemu uctu, co ako iste uznate je v pripade tejto institucieabsurdne. To ci NetLab len odovzdal predkonfigurovane zariadenia, alebo aj dalej zodpovedal za ich prevadzkuje otazka ktoru by si mal polozit uz niekto iny napr. pani z Vyboru NR SR pre obranu a bezpecnost.V kazdom pripade, jeden z nich za to zodpovednost jednoznacne nesie. Dalsim zavaznym problemomje uzivatel nbusr s heslom nbusr123 a pripojenie na vzdialenu konzolu na zariadenia NetLabua zariadenia v NBU povolene z celeho sveta. Nevieme ci su administratori NetLabu naivni a tvrdohlavoziju v tom ze existuje len dobro a treba mat vsetko od vsadial povolene, alebo su len nekompetentnia proste si nevedia nastavit aspon zakladne obmedzenia pristupu k svojim zariadeniam.Nedokazeme sa vyrovnat s tym ze firma ktora ma takto zabezpecenu vlastnu siet poskytujekonektivitu certifikacnej autorite, NBU a pravdepodobne im aj spravuje siet. O nic osobne nejde,zial tieto uplne zakladne technicke fakty hovoria same za seba.Dalej sa na internete zacalo rozoberat preco sme len neupozornili NBU aby si to dali doporiadkua preco sme sa zaoberali ich sietou. Dovod je velmi jednoduchy, kedze sme objavili takto diletantskyzabezpeceny system, zaujimalo nas ako daleko sa da dostat a co je este kde odflaknute. Jednavec je upozornit na jednu konkretnu chybu, druha vec je zmapovat celu siet a urobit si prehlado tom v akom stave je cela infrastruktura, co cuduj sa svete, bola rovnaka bieda ako zabezpecenievzdialeneho pristupu a uzivatel nbusr. Kedze sme danovi poplatnici a NBU je financovane z penaziktore z nasich prijimov odvadzame statu, myslim ze mame pravo overit si ako sa s nimi nakladaa samozrejme informovat ostatnych ludi o tom, ze nieco nie je v poriadku. Ak by sme z NBU nic neodniesli,vopred ich varovali a az potom sa rozhodli zverejnit tuto udalost, tak by to NBU poprel,klamal a zahmlievalby presne tak ako klame a zahmlieva teraz. Rozdiel je v tom, ze takto mame moznost to aspon ako tak preukazat.Cize nadalej si stojime za tym ze tento postup bol korektny a rozumny.Vratme sa vsak k piatkovemu odpojeniu uradu od internetu. Odpojenie spocivalo v tom, ze sa v slovenskompeeringovom centre (dalej SIX - www.six.sk) na zariadeni firmy NetLab presmerovali adresy vyhradene pre NBU do stratena.To znamena, ze vsetky datove toky ktore smerovali do NBU boli v SIXe automaticky zahadzovane. Ako sme to urobili ?Velmi jednoducho, pani z NetLabu neracili od kompromitacii zariadeni v NBU na ktorych mali rovnake uzivatelskemena a hesla tieto mena a hesla zmenit. Co je uz absolutny vrchol ignorantstva, ved museli pocitat s tymze uz vobec nie je bezpecne pouzivat tie iste mena a hesla, ake mali na kompromitovanych zariadeniach.Neboli ochotni, alebo schopni zmenit hesla a obmedzit vzdialene pristupy ani po takmer 3 mesiacoch.Aby sme dolozili ze to tak naozaj bolo, prilozime aj kratke vypisy zo zariadeni NetLabu v SIXe:takze NBU pouziva na urade adresy z rozsahu 84.245.65.224/29, kam patri napriklad aj www.nbusr.sk,mail server, proste cela ich internetova konektivita, mimo serveru elektronickeho podpisu ep.nbusr.sk: root@tururu:/# host www.nbusr.sk www.nbusr.sk has address 84.245.65.228kedze ministerstvo vnutra sa viac zaobera tym kto to urobil namiesto toho aby sa zaoberali tym preco sa to dalourobit tak hrozne primitivne a jednoducho a pod touto zamienkou sa rozhodli obrat komunitu ludi ktora s tymtoproblemom nema nic spolocne, rozhodli sme sa znova poukazat na to, co je potrebne riesit naozaja tak bol NBU nasmerovany do neznama: rs.ba(config)#ip route 84.245.65.224 255.255.255.248 null 0 rs.ba(config)#^Z rs.ba#wr mem Building configuration... [OK] rs.ba#sh run rs.ba#sh ip route 84.245.65.228 Routing entry for 84.245.65.224/29 Known via "static", distance 1, metric 0 (connected) Redistributing via ospf 1 Advertised by ospf 1 subnets Routing Descriptor Blocks: * directly connected, via Null0 Route metric is 0, traffic share count is 1kedze sme chceli aby to malo aj nejaky dlhodobejsi efekt, zamedzili sme administratorom NetLabu pristup na ich zariadenie,cize sa museli fyzicky odobrat do SIXu, co im nejaky cas trvalo, NBU bol z tohoto dovodu odstaveny minimalne par hodin,preco je odstaveny nadalej cely vikend, tusia len v NBUpovodnu konfiguraciu zariadenia sme administratorom firmy NetLab nechali ulozenu na ich zariadeni v subore, ktoryniesol symbolicky nazov zaloha.peace: rs.ba#dir Directory of flash:/ 2 -rwx 6405156 Mar 1 1993 01:24:33 +01:00 c3750-ipservices-mz.122-25.SEB2.bin 4 -rwx 3924 Jul 19 2006 10:32:58 +02:00 vlan.dat 5 drwx 192 Mar 1 1993 01:14:46 +01:00 c3750-i9-mz.122-20.SE4 90 -rwx 27 Jul 21 2006 16:02:47 +02:00 private-config.text 91 -rwx 17414 Jul 21 2006 15:58:35 +02:00 zaloha.peace 92 -rwx 17409 Jul 21 2006 16:02:47 +02:00 config.text 15998976 bytes total (1801728 bytes free)Samozrejme by nebol problem odstavit aj server elektronickeho podpisu, kedze pristup k nemu vedie opat infrastrukturou firmyNetLab, cielom vsak bolo poukazat na pretrvavajuci problem a co najmenej uskodit, aj preto sme sa rozhodli tento aktzrealizovat v piatok v popoludnajsich hodinach. Kedze sme mali plnu kontrolu nad zariadeniami NetLabu, nebol by ani problempresmerovat data niekde inde, pripadne ich odchytavat, to vsak nebol nas zamer. Ale niekoho ineho zamer by to kludne byt mohol...Z konfiguracie zariadeni ktore patria NetLabu a NBU je evidentne ze ludia ktori ich maju na starosti im bud nevenujupriliz vela pozornosti, alebo nemaju dostatko skusenosti a vedomosti s konfiguraciou takychto zariadeni. Chodte za ktorymkolvek odbornikom, kde kolvek na svete, ukazte mu konfiguraciu niektoreho z ich zariadeni a sme si absolutne istize vam to potvrdi.Pan Kalinak sa bezprostredne po prvej kompromitacii v mediach zmienoval o nedostatku financii. Mozno to pre NBU v niektorychpripadoch plati, ved penazi nikdy nie je dost, ale tato zalezitost rozhodne do tejto kategorie nepatri. Mat takto zabezpecenezariadenia je hlboko podstandardna praca. Je to ako keby vam vyrobca auta predal auto bez dveri, pripadne kolies (tie kolesasu asi lepsi priklad :) ). Ked si clovek kupuje auto, ocakava nejaky standard, ktory najde v kazdom aute.A toto je presne ten pripad, na nastavenie zlozitejsich hesiel a povolenie vzdialeneho prostupu len z niekolkych adriespovazujeme za najzakladnejsi standard zabezpecenia sietovej infrastruktury. Nehovoriac o tom, ze sa jedna o NBU.Na zaver by sme radi spomenuli ze nas prekvapila polozka 3,5 miliona SKK v navrhu uctovnej uzavierky NBU za rok 2005, ktora niesla popisanalyza rizik a bezpecnosti IS. Za tieto peniaze mat taketo hesla a siet otvorenu do sveta je trosku luxus."
P.S. od Sancheza : Ak si myslíte, že dnes o 20.33 stránka : http://www.nbusr.sk/NBU_SEP/default.php bola funkčná, je na omyle.