domena tuke.sk (was Re: user maxx)

[Matus Uhlar]

At 26 Sep 1996 13:05:19 +0200 Ales Cepek <cepek at fsv.cvut.cz> wrote:
-> pokusim se odpovedet na dva nasledujici prispevky Matuse Uhlara.

pokusim sa na ne odpovedat.

-> Dne 16.9.96 jsem v tomto listu informoval, ze na nasem serveru byl
-> pristizen student TU Kosice Peter Rusz (jehoz oblibeny
-> nickname/username je `maxx', drive tez `megasatan'), jak monitoruje
-> pakety a zaznamenava uzivatelska hesla.

-> Na tomto miste se priznavam ke svemu dilu zodpovednosti. Muj doktorand
-> Martin Jerabek umoznil pristup Peteru Ruszovi na nas pocitac, jako
-> jednomu ze spravcu prazskeho mudu LIT.  To byla prvni a zakladni
-> chyba, pocatek vsech naslednych problemu. Omlouvam se vsem slusnym
-> lidem v siti, ktere jsem takto neprimo ohrozil (nemohu se za dane
-> situace pochopitelne vymlouvat, ze to byl muj doktoranda a ne
-> ja). Podobnou chybu jiz vicekrat rozhodne neudelam.

Pan Rusz mal na danom pocitaci account a cez chybu v programe perl sa dostal
na roota. (Tak mi to povedal on, osobne). Odchytaval pakety to je fakt a to
nemal. Ako sa vyjadril, jeho chybou bolo ze nechal spusteny proces, a nechal
vo svojom adresari program. pri naslednom talku s adminom danej masiny (vy
pan Cepek?) sa k tomu priznal.

Neskor doslo na stroji k vymazaniu diskov (neviem ci len /home, aj /var,
alebo vsetko... raz som pocul to raz ono z roznych zdrojov) o ktore on nemal
zaujem, pretoze tam mal nejake veci.

Podla vyjadrenie pana Rusz-a nebol jediny kto mal hacknuty ucet roota na
pocitaci, dozvedel som sa o dalsich dvoch ludoch, z ktorych vraj jeden
vymazal takisto Infima BBS.

Takze o tom, ci pan Rusz naozaj vymazal disky na danom pocitaci, mam iste
pochybnosti.

-> To, ze na TU Kosice jsou pruniky studentu do cizich systemu jistymi lidmi
-> benevolentne tolerovany doklada sam pan Matus Uhlar (#1)

to teda nie je pravda, zrejme ste si zle precitali alebo vysvetlili moj
prispevok, vid vyssie.

-> Ptam se pana Matuse Uhlara, zda povazuje za prokazane, ze jejich
-> student monitoroval na nasem pocitaci pakety a zaznamenaval hesla.

-> Jestlize ano, pak se ptam, zda podobne aktivity jako jeden z
-> administratoru SANETu toleruje?

- nesuhlasim s crackovanim pocitacov, ani kont beznych uzivatelov ani roota,
  a nepaci sa mi ked dakto vymaze disk.
- nemyslim si ze admin je vinny za to ze mu crackli stroj, ale casto sa da
  posudit 'miera zavinenia'.

-> Pokud bychom se shodli, ze Peteru Ruszovi bylo dokazano monitorovani
-> hesel v cizi domene pak existuje jasna kauzalni souvislost s naslednym
-> vymazem disku. Uvahy pana Matuse Uhlara o dobe konani inkriminovaneho
-> cinu a pripadnem alibi Petera Rusze jsou nevyznamne.

s tymto nesuhlasim, tiez vid vyssie, navyse ak ste daco uz dokazali, pan
Rusz by si vymazanim disku iba prihorsil a preto myslim ze v ziadnom
pripade nemal zaujem na tom aby sa to stalo.

-> Pan Matus Uhlar zjevne vi o cele veci mnohem vic, nez kdokoliv v
-> Praze.  Mohl by tedy potvrdit ci vyvratit, ze Peter Rusz se po
-> Kosicich vychvaluje svym povedenym kouskem (kousky?) a take informace,

nie, pan Rusz hovori ze crackol masinu a teraz nemoze Inet-ovat, a toto sa
hovori tiez po Kosiciach a IRC.

-> ze o vymaz nasich disku pozadal jednoho ze svych schopnejsich kamaradu
-> (tyto neoverene informace pochazeji z IRC) - to, ze se nechal hloupe
-> chytit pri klukovske hre na spiona koneckoncu nasvedcuje tomu, ze
-> opravdu neni zadne velke eso. Jistota se kterou Matus Uhlar haji
-> Petere Rusze evokuje dojem, ze zna skutecneho pachatele. V teto
-> souvislosti bych rad slysel, zda administratori tuke.sk prohledli vcas
-> jeho soubory - pokud ne, pak jsou jejich pochybnosti veru na miste.

Nuz ci kolegovia ktori sa staraju o pocitace kde ma pan Rusz ucty,
prezreli jeho adresare, neviem ale mozem ich o to poziadat. Aj to urobim.
Takisto mozem potvrdit ze pan Rusz sice crackol masinu, co vsak s
prislusnymi informaciami moze hocikto, a teda to nedokazuje vyspelost
crackera.

-> Protoze ocekavam zvyseny zajem `mstitelu' o nas pocitac, rad bych
-> slysel odpoved na nasledujici otazku. Jakou ochranu pro nas
-> predstavuje zarazeni domeny tuke.sk mezi `hosts.deny'?

minimalnu. Mnoho ludi si vie zohnat ucty aj inde ako na tuke.sk. crackeri o
ktorich som pisal tiez nie su z tuke. Pan Rusz tiez posobil aj mimo tuke z
*.cz ako ste sam pisali. Takze odporucam ine sposoby ochrany.
Dokonca by ste toto (zvyseny zaujem...) mohli vyuzit na zistenie dalsich
(potencialnych) crackerov na okoli. ak mate odvahu...

Skusim to prediskutovat s ludmi v talk at cert.sk.
navrhujem aby sa vsetky cracky a moznosti crackov prediskutovavali
tam...takisto sposoby ochrany proti nim a podobne.

To je vsetko pre teraz, nemam uz vela casu... ale ozvem sa zas.
--
 Matus Uhlar, sysadm at Regional node of SANET in Kosice, Slovakia
 E-mail: Matus.Uhlar at tuke.sk WWW: http://ccsun.tuke.sk/users/uhlar
 IRC: fantomas, uhlar   PGP: finger uhlar at ccnews.ke.sanet.sk | pgp
 The 3 biggest disasters: Hiroshima 45, Tchernobyl 86, Windows 95