Minuly tyzden som stravil na brehu Michiganskeho jazera, v state Wisconsin. Stala sa tam taka vec, ze na Danovom Urade v tomto state sa pokaslala laserova tlaciaren a omylom natlacila ludom dva preplatkove seky namiesto jedneho. Omylom tak bolo vydanych zhruba milion dolarov. Ludia co dostali dva seky si to zjavne vsimli, ale potichucky si ich dali v banke preplatit a modlili sa ze si to nikto nevsimne. Na danovom urade si to veru nikto ani dost dlho nevsimol. Medzi ludmi totiz vladne totalny kult techniky. Pocitace a elektronika su symbolom pokroku a vysokej zivotnej urovne. V nedavnej minulosti, pocas studenej vojny, bol technicky pokrok meradlom uspechu v pretekoch medzi zapadom a vychodom. S tym suvisi nasa totalna dovera voci pocitacom. To co povie pocitac je vzdy pravda. Pocitac sa nikdy nemyli. Ustredna tema tohoto e-zinu je poukazat na to, ze informacne systemy, ktorym vsetci tak slepo doveruju, vobec nie su take bezpecne a dokonale, ako si ludia myslia.

Roky stravene na internete vo mne vytvorili vztah k uletenemu, vulgarnemu, cierny humoru utociacemu na tuto zaslepenu doveru ludi voci vypoctovej technike. Na tomto humore je postavena cela filozofia CzERTu. O par rokov bude vypoctova technika zasahovat do vsetkych sfer naseho zivota. Je nevyhnutne uvedomit si ze technika moze byt zmanipulovana, hacknuta, modifikovana...

A teraz uplne o inom. Bol by som rad keby sa mi ozvali ludia, ktori by boli ochotni prispiet do prielomu. Uverejnim akekolvek zaujimave clanky, ktore sa aspon jemne dotykaju celkoveho zamerania prielomu. Stalym prispievatelom ponukam priestor na hysterii, anonymne unix konto so sifrovanym diskom a postou a pristup na sukromne diskusne forum uzivatelov hysterie, kde moze komunikovat zo zvyskom posadky o spolocnych konickoch.

tento prielom je trochu kratsi ako zvycajne, planoval som este pridat dva clanky, ale od zajtra budem dva tyzdne dost vytazeny, tak radsej v predstihu vydavam toto kratsie cislo..

pokial xcete dostavat e-mailom oznam ked vyde nove cislo prielomu, poslite mejl s textom "subscribe prielom" na adresu prielom(at)hysteria.sk.

tagze.... eagle firewall ako iste secia tusite je software na vytvaranie softwarovej ochrany pocitacovych sieti. moze byt konfigurovany ako paketovy filter alebo sietovy zataras. tiez umoznuje vytvaranie virtualnych privatnych sieti a tunelov medzi dvomi pevnymi IP adresami alebo medzi jednou pevnou IP addx a jednou dynamickou IP adresou (eagle-mobile). sucastou balika eagle je samotny firewall, proxy aplikacie pre sluzby ftp, telnet, http, cifs, nntp a dns. ten kus co som mal k dispozicii bol na platformu m$ windoze nt ale firma raptor systems dodava tento balik aj pre unix.

hw a sw naroky

podla manualu su min. hw a sw poziadavky pentium 133, 32mb ram, 1gb hd, mys, rozlisenie obrazu 1024x768 a podstatne su najmenej 2 sietove karty. disk by mal byt formatovany na ntfs a mal by byt vytvoreny aspon 200mb swap file. na tejto konfiguracii vsak firewall chodil velmi pomaly. na p166mmx, 64mb ram, 2gb hd chodil eagle celkom svizne a dalo sa s nim pracovat. samozrejme ze operacny system by mal byt winnt4 server a nemal by byt priradeny do ziadnej winnt domeny ale mal by byt clenom pracovnej skupiny. tiez je nanajvys vhodne mat winnt skonfigurovane ako standalone server ktory ma nainstalovany len protokol tcp/ip ktory je boundovany na vsetky sietove interfasy.

instalacia

pred instalaciou je nutne poziadat vyrobcu o aktivacny kluc. bez tohoto kluca sa neda soft instalovat ani pouzivat. takze ked vyplnime papier zvany license key requirement a odfaxujeme ho na iste americke alebo nemecke cislo mozeme cakat v e-mail-i odpoved kde nam oznamia cislo produktu (chybne :-)) a aktivacny kluc ktory sa zadava pri instalacii firewallu. instalacia spociva vo vlozeni instalacneho cd do drajvu a spusteni skriptu ktory spusti dalsiu instalaciu. tu sa urci ktore sietove interfasy budu na vonkajsej sieti a ktore na vnutornej sieti, zada sa seriove cislo eaglu ktore je napisane na krabici a zada sa aj aktivacny kluc bez ktoreho je software nepouzitelny. potom prebehne posledna cast instalacie ktora spociva v skopirovani suborov na hd, registrovani virtualnych eagle adapterov, vytvorenie skupiny v start-menu a restarte kompu.

funkcnost softwaru

po restarte kompu zacina eagle pracovat. ked mate stastie tak sa vam na obrazovke neobjavi odporna hlaska ze najmenej jedna sluzba alebo zariadenie nenastartovalo spravne a ze treba pouzit event viewer a mozete si gratulovat. tak a hor' sa konfigurovat... spustime prostredie 'hawk' ktore sluzi na pohodne ovladanie firewallu ktory je bindovany na port 418 a tade sa odohravaju vsetky transakcie (zeby namet pre sniffery? :-)) je to riesene ako zvisle okno v ktorom su tlacitka pre ovladanie gateway, monitoring, vytvaranie sietovych entit, ... cize mozem povedat ze software JE funkncny :-)

skusenosti s konfiguraciou

konfiguracia nebola zo zaciatku vobec jednoducha aj ked som mal za ulohu nastavit tento softik tak aby zvonku dovnutra ale aj znutra von pustal oficialne len smtp traffic. ukazalo sa totiz ze bez detailneho prestudovania manualu je spravne nastavenie naprvykrat skoro nemozne... totiz aby som veci uviedol na pravu mieru, nemal som original aktivacny kluc, ktory som dostal az skoro 5 tyzdnov po odoslani license key requirementu. posta sice dovnutra chodila ale von ani za ten svet ani paket neisiel. po prestudovani manualu a zadani definitivneho kluca sa vsetko zazracne rozbehlo na prvy krat (ale to som stihol 4x reinstalovat winnt ;-)). chyba bola tam kde by to clovek najmenej cakal. totiz v logfile som stale videl hlasku ze nemoze urobit dns lookup pretoze nie je povoleny transparentny pristup. az po tyzdni som sa v manuale docital ze ked sa nepouziva vnutorny dns, je treba vypnut dns proxy !

potom uz len stacilo len urobit presmerovanie sluzieb z vnutorneho interfasu eaglu na externy majlovy relay host, smtp poziadavky na vonkajsi interfas presmerovat na interfas vnutorneho majloveho servera, majlovemu serveru nastavit ako default gateway vnutorny interfas eaglu a vsetko bolo vybavene...

pouzivanie

no takze pouzivanie... akoze myslim ze samotne pouzivanie firewallu v takom zmysle ako pozname pouzivanie inych softov nie je az take dolezite pretoze vacsinou kompik kde bezi ten fw sw sa nepouziva na ine ucely a maximalne sa na nom pozru logfiles alebo urobi udrzba firewallu.

vyuzitie v praxi

v praxi je tento firewall celkom dobre pouzitelny ked sa dobre nastavi a ked bezi na dobrom stroji, inac je celkove chovanie softu celkom dobre, konfigurovanie je na slusnej urovni az teda na ten spominany problem s aktivacnym klucom...

Prelet nad kukaccim hnizdem?

Cliff Stoll byl astronom, pracoval v Keckove observatori a vymyslel optiku pro dalekohledy. Myslite si, ze byl hacker? Byl astronom. Jenze pak dosly penize z grantu a Cliff byl prerazen do sklepa Lawrencovych laboratori v Berkeley. Kdyby ve sklepe byly brambory, stare mikroskopy a generatory elektrickych poli, a ne kilometry ethernetovych kabelu, VAXy a IBM s VMS a UNIXem, nepsal bych o nem ve clanku o hackerech.

Jako novacek dostal v pocitacovem oddeleni k vyreseni problem spatne nauctovaneho strojoveho casu za 75 centu. Bylo to docela divny, protoze mnohokrat proverene uctovaci programy zaokrouhlovaly vzdy na cele dolary. Uzivatel, ktery po sobe tento dluh zanechal, se jmenoval Hunter. Lovec neni zrovna bezne prijmeni. Dalsim uzivatelem, jehoz ucet se rozchazel, byl Joe Sventek, vedec, ktery tou dobou odcestoval kamsi do Anglie.

"Mame v systemu hackera?" ptal se Cliff. Vsechny pristupy na tyto ucty byly z externich linek. Tech bylo asi padesat. Jak hackera (je-li to hacker) sledovat a nevyplasit ho? V noci si Cliff pujcil padesat terminalu a tiskaren ze stolu obrylenych vedcu a zapojil kazdy z nich na jednu externi linku. Pak si v podzemni ustredne ustlal na zemi.

Trosku sverazny chlapik? Psal se rok 1986 a v Berkeley stale jeste prebyvali hipici a exhipici, ulitli programatori ve strojaku a studenti nadseni svymi idealy. Cliff nebyl potrhly nebo ztresteny. Byl proste jeden z nich.

Na tricetimetrovem vypisu z jedne tiskarny byl zaznam cinnosti hackera (nejspis studenta z Berkeley), ktery se prihlasoval jako Sventeg a s vyuzitim bugu v programu GNU-EMACS ziskal prava spravce systemu. Pani! Kontroloval celou sit, co chvili cumel, zda neni sledovan, prohlizel postu spravcum...

Ta jedna tiskarna na jedne externi lince ze site TYMNET (pozdeji pohlcen Internetem, jinak byl docela popularni) zustala. Kazdy Hunteruv pohyb byl zaznamenavan. Pozdeji i jeho pristup do vojenske site MILNET a prunik do nekolika vojenskych pocitacu po celem svete.

Cliff zavolal do TYMNETu, pockal, az se Hunter zase logne, a pozadal o vysledovani spojeni. K TYMNETu se hacker pripojoval ze ctvrti par kilometru vzdalene od laboratori. Pak Cliff pozadal soudce o povoleni ke sledovani telefonni linky. Sledovacka vysla, jenze telefonni cislo volajiciho Cliff stale jeste nemel, protoze kalifornsky soudni prikaz nebyl platny ve Virginii. Pani, Virginie, a my si mysleli, ze vola odsud z koleje! Cliff zvedl telefon a zavolal operatorce do Virginie. Hodil s ni rec a zjistil, ze jeji syn se zajima o astronomii, zvlast o takovou tu planetu s tim prstynkem. Takze zabalil par velkych barevnych fotek a plakatu Saturnu a poslal je jejimu synkovi. A dostal cislo. A to nemohl zavolat FBI? rikaji si skalni priznivci naivnich americkych TV serialu. Mohl a taky to udelal. Jenze vysvetlujte hlasu na drate, ze jde o bezpecnost statu, kdyz "nikdo neprisel o vic nez milion dolaru ani o tajna data."

Linka, po ktere se hacker pripojoval, patrila spolecnosti Mitre. Mitre? Dodavatel pocitacovych systemu pro vojenske site?! CO SE TO DO PYTLE DEJE? Hackuje sama Mitre armadni site, nebo pouze nejaky vtipalek pouziva jejich telefonni linku? Cliff zavolal do Mitre a narazil na hlasky typu "U NAS je vse v NAPROSTEM PORADKU, pane!" Ze sveho domaciho Macu se pripojil k TYMNETU a odtud k Mitre. Heslo? Zkusme stisknout enter... Ono to funguje! V menu si vybral volbu MWCC, vytepal
CONNECT 941 486 2984.
BERKELEY COMPUTER CONNECTED.
Skrz linku armadnich expertu na pocitace se dostal do sveho kancliku.
S sefem Mitre vymenil tuhle informaci za telefonni ucty, ktere stejne nikdo necetl.

Vysledoval linku pres satelit az do Nemecka, do Bremske univerzity.
V Nemecku, po nechutne dlouhych hyperbyrokratickych prutazich (na americke strane), zadrzeli Marcuse Hesse, cloveka, ktery ukradene informace prodaval KGB. Cliff se pres noc stal uznavanym odbornikem na ochranu pocitacovych siti.

FBI nebo CIA znate z *americkych* filmu jako okamzite pracujici dynamicke instituce. Opak zda se byti pravdou. Ve skutecnosti jde o celkem byrokraticke organizace, ktere z vas vytahnou vsechno a nereknou vam nic - Cliff se Hunterovo jmeno dozvedel az z nemeckych novin. Jak se ale Cliffovi podarilo, primet je ke spolupraci?

Prohlednete si pozorne jeden vypis, zachyceny na Stollove tiskarne (prelozil Petr Stepan):

   4.2. BSD UNIX (lbl-ux4)

   login: sventek
   password: lblhack

   Last login: Mon Dec 29 13:31:43 on ttyi7
   4.2. BSD UNIC #20: Fri Aug 22 20:08:16 PDT 1986

   % telnet
   telnet> open optimis

  ****** OPTIMIS ******
  Pro pripadnou pomoc volejte 695-5772, (AV)225

  Username: ANONYMOUS
  Password: GUEST

  Vitejte v armadni databazi OPTIMIS
  Jestlize pouzitim teto databaze docilite zkraceni
  projektovaci doby, uspory vladnich vydaju nebo obojiho, 
  zaslete laskave zpravu s podrobnostmi na adresu:
  mjr. Gene LeClair, velitel, OPTIMIS
  
  VITEJTE V OPTIMISU
  DATABAZE BYLA NAPOSLEDY AKTUALIZOVANA 861024 v 102724
  A OBSAHUJE 3316 DOKUMENT

  Tato datova baze je vytahem z AR 25-400-2, Modemoveho armadniho 
  zaznamoveho systemu, k usnadneni identifikace informacnich souboru.

  Zadejte laskave slovo nebo "EXIT".

  /sdi
  Slovo "sdi" nebylo nalezeno.

  Zadejte laskave slovo nebo "EXIT".
 
  /stealth
  Slovo "stealth" nebylo nalezeno.

  Zadejte laskave slovo nebo "EXIT".
 
  /sac
  Slovo "sac" nebylo nalezeno.
 
  Zadejte laskave slovo nebo "EXIT".
  /jadern
 
  Dekuji vam.
  Nalezl jsem 29 doklad(u) obsahujici(ch) frazi "jadern".

  POLOZKA/ZNACKA TITUL
  = = = = = = = = = = = = = = = = = = = =
  1 20-1f IG inspekce (Hlavni stan, Ministerstvo obrany)
  2 50a Jaderne, chemicke a biologicke otazky narodni bezpecnosti
  3 50b Kontrola jaderneho, chemickeho a biologickeho zbrojeni
  4 50d Formulovani jaderne a chemicke strategie
  5 50e Jaderne a chemicke problemy vojenske politiky
  6 50f Jaderne a chemicke pozadavky
  7 50g Predpokladane jaderne a chemicke moznosti
  8 50h Scenar rozvoje struktury jaderne sily
  9 50i Priprava rozpoctu pro jadernou a chemickou vyzbroj
 10 50j Jaderny a chemicky pokrok a statisticka hlaseni
 11 50k Vojensky jaderny, chemicky a biologicky obranny program
 12 50m Analyzy vydaju na jaderne a chemicke zbrane
 13 50n Vedecke a technicke informace o jadernych a chemickych 
        zbranich a biologicke obrane
 14 50p Jaderna velitelska a ridici spojeni
 15 50q Jaderne a chemicke odzbrojeni
 16 50r Jaderne a chemicke plany
 17 50-5a Postup pri jadernych nehodach a incidentech
 18 50-5b Rozmisteni jadernych jednotek
 19 50-5c Soubory k jaderne bezpecnosti
 20 50-5d Obnova jadernych stanovist
 21 50-5-1a Soubory k rekonstrukci jadernych stanovist
 22 50-115a Soubory k jaderne bezpecnosti
 23 55-355FRTd Rizeni vnitrostatni prepravy
 24 200-1c Soubory o nakladani s nebezpecnymi materialy
 25 385-11k Pripady radiacnich incidentu
 26 385-11m Licence na radioaktivni materialy
 27 385-40c Pripady radiacnich incidentu
 28 700-65a Soubory k mezinarodni jaderne logistice
 29 1125-2-300a Vyrobni data
 
 TITUL: Jaderne, chemicke a biologicke otazky narodni bezpecnosti
 POPIS: Dokument se tyka vnitrni, zahranicni a vojenske politiky pri 
 vyuzivani atomove energie, pouziti jadernych a chemickych zbrani a 
 biologicke obrane ve vztahu k narodni bezpecnosti a narodni urovni
 krizoveho rizeni. Zahrnuty jsou studie, akce a smernice vztahujici se 
 k nasledujicim institucim a osobam a jimi vydane:
 prezident, Rada narodni bezpecnosti, poradce prezidenta pro zalezitosti 
 narodni bezpecnosti a meziministerske skupiny a vybory zamerene
 na zalezitosti narodni bezpecnosti ve vztahu k jadernym a chemickym 
 zbranim a biologicke obrane.

Marcus Hess byl hacker na volne noze. Pracoval v male softwarove firme v Hannoveru. Mezi jeho pratele patrili lide s prezdivkami jako HAGBARD, PENGO a BRESINSKY.

HAGBARD (Karl Koch) byl programator a taky fetak a potreboval prachy na koks. A taky byl Hunteruv kamos. PENGO mel kontakt na KGB. Skupoval tajne informace od hackeru v celem zapadnim Nemecku a KGB je prodaval ve vychodnim. Za Hessovy sjetiny a pristupova hesla dostal 30 000 Marek. Podle vseho vsak prodal i svoje pracovni postupy a strukturu Milnetu.

29. cervna 1987 vpadla nemecka policie do Hessova bytu, zabavila asi stovku disket, pocitac a dokumentaci k jeho hackerskym kouskum. Druheho brezna 1989 byl cely hackersky tym obvinen ze spionaze. Hess byl propusten na kauci, po procesu dostal podminku. Hagbard se upalil.

Cliff Stoll se vratil ke svym dalekohledum. Ale bremena sve slavy se uz nikdy nezbavi. O svem pachteni se za hackery napsal knihu Kukacci vejce, ktera vysla i cesky, loni v Mlade fronte.

Takze tentokrat nieco z praxe. Nieco o bezpecnosti skolskych serverov. Musim podotknut ze admini su skutocni lameri len s priemernymi a niekedy skoro ziadnymi znalostami unixu, vacsinou su nimi studenti vysokych skol, ktori zvladaju maximalne tak instalaciu nejakeho toho slackwaru, pre istotu starsej verzie, ved ked uz tam maju byt nejake tie bugy, nech ich aspon nie je malo :-). Shadowovanie passwordov im zvacsa vela nehovori a ak aj nahodou zistia, ktore konto bolo zneuzite na hackovanie, riesia to vacsinou zamedzenim toho konta miesto toho aby sa radsej postarali o objavenie chyby a jej nasledne zaplatanie. Zatial mily hacker veselo vklzne dnu cez jedno zo 100 rozkryptovanych hesiel ktorych decryptovanie zabere zhruba tak pol minuty kedze "dokonale" starsie linuxy povoluju hesla typu: deti, maco, peter a podobne, co su pre dekryptovaci algoritmus fakt "tazkym" orieskom.

Uplnou korunou vsetkeho bol rootovsky password atreides isteho nemenovaneho slovenskeho gymnazia. Na tomto smutnom priklade vidiet ze admin s oblubou hrava Dunu a vzal by som jed na to ze sa nevyhne I takym "bonbonikom" akymi su doom ci quake beziaci pod linuxom, pre istotu uz davno exploitnuti, miesto toho aby radsej sledoval rootshell ci bugtraq. Tieto sajty vsak radsej sleduju studenti (mam na mysli users s accountmi na skolach), ktorych admini priam nabadaju k hackovaniu (ista nastenka na istej bratislavskej skole obsahujuca okrem neskodnych zoznamov irc chatov ci vyhladavacich enginov i sajty pre crackerov a hackerov). Admini su priam posadnuti tuzbou byt hacknuti. Ked uz ide skutocne do tuheho, tak ochranu riesia zamedzenim telnetu z tzv. Untrusted machines, co na tom ze hacker si uz davno odsniffoval hesla dovernych masin a veselo sa vracia nazad z masin ktorym server veri, pre istotu uz ako root :-))). Pre istotu keby tento sposob zlyhal, este vzdy fici secure shell o ktorom akoze "nikto" nema ani paru ani slychu. Nakoniec si nasi "mudri" admini daju tu namahu a preinstaluju distribucie, samozrejme paralelne na vsetkych strojoch o ktore sa staraju a nechaju ich napospas rovnakemu exploitu, ktory zaisto bude o chvilu zverejneny na jednom z adminmi reklamovanych nastenkovych sajtov. Zaverom by som chcel popriat vela stastia a zaloznych kopii (pretoze nie vsetci hackeri byvaju mierumilovni a uspokoja sa so zmenenim stranky a este k tomu jej zalohovanim) nasim adminom a dat im radu do zivota: vonku svieti slniecko, tak napiste radsej shutdown -h NOW a hor sa okopovat zahradku, popr. Si najdite zensku a vyjdite si s nou von, ved nie len pocitacmi je clovek zivy. Absinthu zdar a #holubniku obzvlast :-)