domena tuke.sk (was Re: user maxx)

[Ales Cepek]

Vazeni pratele,

pokusim se odpovedet na dva nasledujici prispevky Matuse Uhlara.

#1> From uhlar at ccnews.ke.sanet.sk Thu Sep 26 09:32:52 1996
#1> .........
#1> Ano, ale finta je v tom ze hacker crackol roota...
#1> A pokial viem (od hackerov, nie sysmanov poskodenej masiny) hacklo ju viac
#1> ludi a na roota, vdaka deravemu perlu...
#1> ..........
#1

#2> From uhlar at ccnews.ke.sanet.sk Thu Sep 26 09:33:00 1996
#2> ...........
#2> -> > Nuz, podla vyjadrenia pana Rusz-a on nezmazal disk, urobil to niekto iny kto
#2> -> > paralelne s nim nabural dany system, alebo sa to cele stalo inac...
#2> ->                                        ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
#2>
#2> -> .... zajimave (zvlaste bych rad slysel podrobnejsi vysvetleni
#2> -> podtrzeneho textu). A pakety taky snoopoval nekdo uplne jiny, kdo se
#2>
#2> Napriklad by ma zaujimalo ako ste zistili ze pan Rusz nabural vas system.
#2> Kedy ste na to prisli, kedy Vam vymazal disk a podobne informacie o tom
#2> vsetkom. Pretoze ked viete ze odchytaval pakety a potom vam to vsetko
#2> vymazal, musel by tu cas ked bol na Vasom systeme, vy ste o tom vedeli a
#2> nezabranili ste mu v tom...
#2> --
#2>  Matus Uhlar, sysadm at Regional node of SANET in Kosice, Slovakia


Nejprve strucna rekapitulace.

Dne 16.9.96 jsem v tomto listu informoval, ze na nasem serveru byl
pristizen student TU Kosice Peter Rusz (jehoz oblibeny
nickname/username je `maxx', drive tez `megasatan'), jak monitoruje
pakety a zaznamenava uzivatelska hesla.

Na tomto miste se priznavam ke svemu dilu zodpovednosti. Muj doktorand
Martin Jerabek umoznil pristup Peteru Ruszovi na nas pocitac, jako
jednomu ze spravcu prazskeho mudu LIT.  To byla prvni a zakladni
chyba, pocatek vsech naslednych problemu. Omlouvam se vsem slusnym
lidem v siti, ktere jsem takto neprimo ohrozil (nemohu se za dane
situace pochopitelne vymlouvat, ze to byl muj doktoranda a ne
ja). Podobnou chybu jiz vicekrat rozhodne neudelam.

Nebyl to prvni incident, ktery jsme meli se studenty TU Kosice. Zhruba
pred rokem jsem jinemu studentu kosicke elektrofakulty zridil konto na
jednom z nasich pocitacu a on toho asi po pul roce vyuzil k pruniku do
systemu (tusim, ze tehdy byla dira ve ftpd). Tehdy se jednalo o to, ze
do "message of the day" napsal celkem vtipnou zpravu (kterou de facto
podepsal) - problem byl v tom, ze tento nevinny zertik pro nas tehdy
mohl mit nanejvis neprijemne dusledky. Vynadal jsem mu, ze se neumi
slusne chovat a konto jsem mu zrusil. Durazne jsem jej tehdy
upozornil, ze jakykoliv incident obdobneho druhu budeme hlasit primo
dekanovi jeho fakulty. Celou tuto zalezitost povazuji za uzavrenou (s
dotycnym jsem od te doby nekolikrat komunikoval a nemam nejmensi duvod
ho jakkoliv zostouzet). Proc se ale o teto veci nyni zminuji? Protoze
to byl kamarad Petera Rusze a Peter Rusz velmi dobre o cele veci
vedel.

Kdyz jsme pristihli Petera Rusze pri zaznamenavani hesel, reagoval
zpusobem, ktery vylucoval jakoukoliv pochybnost.  Skemral, abychom
neinformovali jeho fakultu a mimo jine rekl: "...  ja vim, nejprv
******** a ted ja". S odstupem casu je zrejme, ze si nedelal nejmensi
starosti s pripadnym postihem.  To, ze na TU Kosice jsou pruniky
studentu do cizich systemu jistymi lidmi benevolentne tolerovany
doklada sam pan Matus Uhlar (#1) - u sysadmina at Regional node of
SANET in Kosice je to ovsem mirne receno zarazejici (pokud Vasi
studenti experimentuji v domene tuke.sk, je to pouze Vase vec a muze
to koneckoncu souviset i s jejich studijnim zamerenim - kdekoliv jinde
je to ale cinnost zavrzenihodna).


Nyni k druhemu bodu.

Matus Uhlar (krome nekolika dalsich pisatelu) naznacil, ze si vlastne
za vsechno muzeme sami, protoze hackeri byli chytrejsi nez my. S timto
nazorem nehodlam polemizovat - moje zamereni je zcela jine a
pochopitelne, ze i prumerny student se zamerenim na CS vi o dane
problematice nesrovnatelne vic. Trpkou ironii je, ze jsem nebyli
jedinou obeti pouze my - patri podle pana Matuse Uhlara i kolegove z
Liberce mezi smesne tulpasy? Podle teto logiky by pak na vinne byla
stara babka, kterou na ulici zkope do bezvedomi ozraly grazl, protoze
nebyla dostatecne fyzicky na vysi. Ale k veci ....

Ptam se pana Matuse Uhlara, zda povazuje za prokazane, ze jejich
student monitoroval na nasem pocitaci pakety a zaznamenaval hesla.

Jestlize ano, pak se ptam, zda podobne aktivity jako jeden z
administratoru SANETu toleruje?

Pokud bychom se shodli, ze Peteru Ruszovi bylo dokazano monitorovani
hesel v cizi domene pak existuje jasna kauzalni souvislost s naslednym
vymazem disku. Uvahy pana Matuse Uhlara o dobe konani inkriminovaneho
cinu a pripadnem alibi Petera Rusze jsou nevyznamne.

Pan Matus Uhlar zjevne vi o cele veci mnohem vic, nez kdokoliv v
Praze.  Mohl by tedy potvrdit ci vyvratit, ze Peter Rusz se po
Kosicich vychvaluje svym povedenym kouskem (kousky?) a take informace,
ze o vymaz nasich disku pozadal jednoho ze svych schopnejsich kamaradu
(tyto neoverene informace pochazeji z IRC) - to, ze se nechal hloupe
chytit pri klukovske hre na spiona koneckoncu nasvedcuje tomu, ze
opravdu neni zadne velke eso. Jistota se kterou Matus Uhlar haji
Petere Rusze evokuje dojem, ze zna skutecneho pachatele. V teto
souvislosti bych rad slysel, zda administratori tuke.sk prohledli vcas
jeho soubory - pokud ne, pak jsou jejich pochybnosti veru na miste.

Student Peter Rusz uz ale dnes neni mym problemem ale TU
Kosice. Informaci do konference jsem poslal proto, protoze jeste
nasledujici tyden po napadeni naseho systemu bylo mozne ho zastihnout na
ruznych pocitacich v domene CZ.

Protoze ocekavam zvyseny zajem `mstitelu' o nas pocitac, rad bych
slysel odpoved na nasledujici otazku. Jakou ochranu pro nas
predstavuje zarazeni domeny tuke.sk mezi `hosts.deny'?


Ales Cepek

-------------------------------------------------------------------
katedra mapovani a kartografie                  <cepek at fsv.cvut.cz>
fakulta stavebni CVUT                           tel. (02) 2435 3881
Thakurova 7
166 29 Praha