Co dělat, když na dveře klepe policie

Agent FBI vystopoval, odkud útočil dosud neznámý hacker. Z Mathiasovy firmy. Byl pachatelem zaměstnanec? Takový telef...


Agent FBI vystopoval, odkud útočil dosud neznámý hacker. Z Mathiasovy firmy.
Byl pachatelem zaměstnanec?

Takový telefonát, to je prostě skvělá věc. Prožíval jsem báječný den. Dokonce
jsem přemýšlel o tom, že z práce odejdu dříve a zajedu si odpoledne na pláž,
když se ozvalo zvonění telefonu na mém stole a po zvednutí sluchátka jsem
uslyšel hlas recepční. Říkala, že za mnou přišel nějaký vyšetřovatel a chce se
mnou hovořit.
Přišel jsem na recepci, kde mne uvítal muž oblečený v tmavě šedém obleku a v
rudé kravatě. Představil se jako agent z oddělení počítačové kriminality a
sdělil mi, že vyšetřuje incident, při kterém došlo k neautorizovanému přístupu
do počítačové sítě finančního ústavu.
Zamával přede mnou odznakem a pověřovacími listinami. Bylo mi jasné, že je z
jednoho z oněch vládních úřadů, které mají zkratku sestávající ze tří písmen.
Ukázal jsem mu cestu do naší malé konferenční místnosti, kde mi předložil
soudní obsílku a povolení k domovní prohlídce, týkající se již zmíněného
bezpečnostního incidentu.
Zdálo se, že mi důvěřuje, a dokonce bylo možné, že mě nebude považovat za
viníka nebo spolupachatele. Pokud byste nemohli věřit firemnímu manažerovi
bezpečnosti, pak tedy komu? Ještě předtím, než pokračoval, zavolal jsem našemu
firemnímu právníkovi, se kterým se shodou okolností velmi dobře znám. Vysvětlil
jsem mu situaci a on se mě zeptal, zda jsem schopen to zvládnout. Odpověděl
jsem mu, že ano. Souhlasil a vyzval mě, abych se v případě potřeby znovu ozval.

O co jde?
Agent mi stručně vysvětlil, že 4. srpna z počítače s jistou IP adresou, která
byla následně vystopována až do naší firmy, došlo k hackerskému útoku na DNS
server jisté malé finanční instituce. Pachatel se naboural do DNS serveru a
získal přístup k Oracle databázi obsahující údaje o kreditních kartách.
Předpokládám, že onen peněžní ústav nevěnoval přílišnou pozornost nastavení
vztahů důvěryhodnosti mezi servery. Většině administrátorů je známo, že DNS
server by nikdy neměl být na stejné síti nebo být nastaven do vztahu důvěry s
ostatními částmi kritické IT infrastruktury.
Asi v deset hodin večer kdosi získal root přístup k DNS serveru oné instituce a
odtud se přihlásil k oraclovské databázi, kde vytvořil archiv tisíců kreditních
karet. Tento archiv následně přenesl pomocí FTP na jiný server. Agent mi
nesdělil žádné detaily o napadeném systému. Později jsem ale zjistil, že
server, kam hacker data přenesl, byl napadený univerzitní server na americkém
Středozápadě. Agent potřeboval informace o počítači v naší firmě, který hacker
k útoku využil. Z toho, co jsem pochopil, se obsílka vztahovala na informace o
účastníkovi či zaměstnanci, zatímco povolení k prohlídce se týkalo systému a
všech záznamů spojených s daným incidentem. Podobné dokumenty jsem neviděl
poprvé. V mém předchozím zaměstnání jsem mnohokrát spolupracoval s orgány
činnými v trestním řízení.
V každém případě jsem poznal, že IP adresa je jednou z těch 28 IP adres, kterou
používáme k zajištění telefonického (dial-up) internetového přístupu do naší
sítě. Tato připojení využívají naši prodejci, konzultanti a další zaměstnanci
při svých služebních cestách. Nepoužíváme žádný NAT, prostě máme malou část
veřejně dostupných IP adres přidělenou pro tento účel. Vysvětlil jsem agentovi
výše uvedenou skutečnost. K tomu, abych zjistil, komu byla daná IP adresa v
daném čase přidělena, jsem potřeboval zadat dotaz našemu RADIUS serveru. Šli
jsme proto do místnosti, kde má naše firma umístěny servery. Přihlásil jsem se
a nechal si vypsat všechna připojení mezi 21.-23. hodinou 4. srpna. Objevilo se
jediné uživatelské jméno: jharris.

Podezřelý
James Harris (jméno bylo z pochopitelným důvodů pozměněno) je jedním z členů
týmu prodejců u naší firmy. Znám ho, a proto vím, že je zcela vyloučeno, aby se
snad mohl do jakéhokoli systémy nabourat. James je schopný obchodník, ale jeho
technické znalosti ohledně počítačů se omezují na e-mail, prohlížení stránek na
Internetu a používání AOL Instant Messengeru. Vysvětlil jsem to agentovi, ale
zdálo se, že ho to nezajímá.
Po chvíli diskuse jsem zkopíroval log soubory serveru a současně zablokoval
Harrisův uživatelský účet, dokud nedojde k objasnění situace. Byl bych raději
ponechal tento účet aktivní, abychom mohli chytit pachatele, ale firemní
politika to nedovoluje.
Poté jsem zavolal firemního právníka a stručně mu přiblížil aspekty případu.
Navrhl, abychom nejprve kontaktovali Jamesova nadřízeného. Naplánoval jsem si s
ním schůzku na 14 hodinu a odešli jsme s agentem na oběd. Věci se pohnuly
Když jsme hovořili s Gregem, který byl Jamesovým nadřízeným, věci konečně
začaly dávat smysl. Jeho laptop mu byl odcizen z auta zhruba přede dvěma týdny.
Případ byl nahlášen policii, ale laptop nebyl nalezen a náhradní laptop mu
dosud nebyl poskytnut.
Jamesův jediný přístup k Internetu v inkriminované době tedy byl z jeho
stolního počítače, který je připojen pevnou linkou, ale nemá žádné připojení
přes dial-up. Přesto chtěl agent s Jamesem mluvit. Je možné, říkal, že se James
připojil na síť přes modem z domova.
V 15 hodin jsme se já, James, Greg a agent sešli v konferenční místnosti. Agent
se představil, vytáhl odznak a pak požádal mne a Grega, abychom opustili
místnost. James s ním zůstal sám přinejmenším hodinu a půl. I po této době se
zdál agent jen částečně přesvědčen o tom, že někdo používá Jamesův odcizený
laptop k připojení na Internet.
Podle všeho James nastavil svůj laptop tak, aby si pamatoval hesla (výborná
funkce Windows), takže se kdokoliv mohl připojit k naší síti, aniž by znal
uživatelské jméno a heslo. Agent si mě poté odvedl stranou a zavedl řeč na
možnost odposlechu, kterým by bylo možné vystopovat pachatele, pokud se znovu
pokusí připojit pomocí odcizeného uživatelského konta. Odpověděl jsem mu, že to
musím konzultovat s naším právníkem.

Co nám hrozí
V následujících dnech jsme obdrželi soudní příkaz k odposlechu. Z toho, co jsem
pochopil, tento příkaz dovoluje orgánům činným v trestním řízení monitorovat
komunikaci, aniž by o tom třetí strana věděla. V tomto případě se jednalo o
monitoring příslušného dial-up připojení po dobu deseti dnů. Náš právní
zástupce potvrdil, že příslušný příkaz je platný a že jsme povinni plně s
vyšetřovateli spolupracovat. Potíž byla v tom, že z naší strany spočívala
jediná účast na celé záležitosti v hackerově dial-up přístupu k oddělené části
naší sítě. Chtěl jsem se ujistit, že hacker nezískal přístup k dalším,
kritickým částem firemní infrastruktury, ale neměl jsem dostatek pracovníků,
abych to byl schopen rychle ověřit. Po rozhovoru s výkonným ředitelem jsem
dostal jeho souhlas k tomu, abych najal konzultanty k provedení důkladného
zhodnocení bezpečnosti. Jakmile jsem tento souhlas měl, začali ihned s
prověrkou. Jejich tým strávil tři dny (při ceně 150 dolarů za hodinu)
posuzováním našich routerů, switchů, konfigurace modemů, RAID a dalších
přístupových serverů a účtů. Dá se říci, že odvedli vynikající práci a skutečně
zjistili mezery v zabezpečení dalších částí naší sítě, o kterých jsem dosud
nevěděl. Zejména pak objevili chybnou konfiguraci terminálové ho serveru, který
umožňoval bez jakékoliv autentizace přístup k některým kritickým poštovním a
DNS serverům. Terminálové servery používáme jako prostředek přístupu k našim
unixovým systémům, pokud dojde k výpadku internetové konektivity. Porty
terminálových serverů jsou připojeny přímo k sériovým portům našich unixových
serverů. Zmíněný terminálový server nebyl nakonfigurován tak, aby vyžadoval
autentizaci přístupu k portu, a tak dovoloval přímý přístup k unixovým
serverům. Taková věc je velmi špatná, obzvláště pak v případě, kdy se správce
zapomene odhlásit, a ponechá tak přístupný příkazový řádek s právy roota.
Problém jsme rychle odstranili a vrátili se k dalším úkolům.
Chtěl jsem si být jist, že vetřelec kromě dial-up infrastruktury nezískal žádný
přístup k dalším částem systému. Naštěstí podle konečného zjištění skutečně k
jinému neautorizovanému přístupu nedošlo. A protože naše síť byla využita jen
jako startovací bod pro další útoky, neměli agenti nic, co by mohli na
počítačové síti monitorovat.
Agent se rozhodl, že chce být vyrozuměn jen v případě, že se hacker skutečně
přihlásí k firemní síti, aby mohl podniknout příslušné kroky.
O tom, jak celá záležitost dopadla, vás budu informovat v některém z
následujících zápisníků manažera pro bezpečnost.

RadiusRADIUS (Remote Authentication Dial-In User Service) je de facto standard
pro autentizaci při dial--up připojení, vytvořený firmou Lucent Technologies.
Server RADIUS využívá Mathiasova firma k autentizaci a k tvorbě záznamů o
dial-up přístupech k její infrastruktuře.
Řadu užitečných informací o serverech RADIUS (zde s odkazy na produkt
NavisRadius) naleznete na webové adrese: http://www.lucentradius.com/faq.html.
1 1562 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.