Když se správce serveru místo obvyklé výzvy k zadání hesla zjevilo toto logo složené z ASCII znaků, věděl, že je zle...
SERT, předchůdci CzERTu. Mazali servery s ilegálním softwarem, hackovali na Slovensku, v Čechách, v Maďarsku a v Polsku. Vydali o sobě i oficiální agenturní zprávu.
Jak už víme, americké federální autority ustanovily v roce 1988 organizaci CERT, která měla pomoci s řešením počítačové bezpečnosti ve státní správě i v soukromém sektoru. CERT dostal za úkol shromažďovat a rozšiřovat všechny informace o útocích na počítačové systémy a informace o chybách (angl. bug) v bezpečnosti. Organizace vydala od té doby stovky zpráv (advisory) o bezpečnostních chybách, které každý zodpovědný správce serveru pravidelně prochází a chyby ze svého systému odstraňuje3.1. 25. března 1996 napsal Pajkus, slovenský hacker a pravidelný čtenář advisories CERTu, parodii na jedno takovéto oznámení. Ve svém lehce laděném textíku popisuje žargonem počítačové bezpečnosti závažnou chybu (bug) v bezpečnostním systému jahodového sirupu. Plastovou láhev s jahodovým sirupem můžeme totiž otevřít tak, aby „bezpečnostní pásek“, normálně při otevření lahve odtržený od zátky, zůstal se zátkou v jednom celku. Dosáhneme toho tak, že celou zátku i s páskem pevně uchopíme a otáčením lahev otevíráme. Pokud bezpečnostní pásek tiskneme k zátce dostatečně silně, v průběhu procesu se neoddělí. Do otevřeného systému nyní můžeme vložit cizí objekty, nazývané občas viry či trojské koně, jako jsou žížaly, kamínky, slimáci a podobně a celý systém znovu uzavřít, takže se tváří jako neporušený. (originální text Sirup bug SERT Advisory najdete v příloze sec:sirup-bug).
Pajkus text ukázal svým kamarádům Dzajrovi, Dzimimu a Bebetovi, kterým se zalíbil, stejně jako myšlenka jeho použití jako hlavního motta hackerské skupiny. Zbýval už jen název. Rozhodovali se mezi Sirupem a SERTem, druhý návrh nakonec vyhrál.
Hackeři se pustili do svých útoků, převážně na systémy Unix a zvlášť Linux.
Linux je unixový operační systém, vyvinutý studentem Linusem Torvaldsem a zcela volně šiřitelný na základě Obecné veřejné licence (GNU GPL)3.2. Jeho oblíbenost a vysoká efektivita a stabilita je dána především tím, že zdrojové kódy celého operačního systému jsou volně k dispozici a proto si je může upravovat podle svého a samozřejmě i zefektivňovat každý, kdo se alespoň trochu vyzná v jazyce C. Na jeho vývoji spolupracují zcela volně nezávislí vývojáři z celého světa. Linux je typickým operačním systémem nejen studentských a školních serverů, ale i některých komerčních společností. V době psaní této knihy je Linuxu přikládán stále větší význam právě i v komerční sféře. Pro svou velkou dostupnost stal také jedinečným způsobem, jak poznat systémy typu Unix a není se co divit, že na něm pracuje většina hackerů. Linuxy jsou totiž velmi stabilní a jejich volné pojetí je velice vzdáleno strategii Microsoftu, který velké množství hackerů upřímně nenávidí.3.3 Avšak stejně jako Linux sám o sobě není synonymem bezpečnosti, neznamená to, že hackeři útočí pouze na linuxové stroje či na všechny Linuxy.
Když se správce serveru místo obvyklé výzvy k zadání hesla zjevilo toto logo složené z ASCII znaků, věděl, že je zle...
Protože Internet na Slovensku se tehdy skládal z relativně malého množství serverů, pracovali hackeři ze SERTu většinou v zahraničí - v Maďarsku, Polsku a Čechách. Tyto tři státy si vybrali, protože byly blízko a spojení s nimi bylo tedy rychlé, ale nebyly zase tak blízko, aby je to ohrozilo. Vždycky je lepší pracovat někde dál od domova, tvrdí s úsměvem Pajkus.
Pro útoky v Maďarsku používal Dzajro docela klasickou metodu - slovník neboli wordlist. Ta je založená na faktu, že většina lidí používá všeobecně známá a uhodnutelná hesla. Existuje slovník nejčastějších hesel, které na daném serveru a pro určitého uživatele zkouší speciálním programem tak dlouho, než heslo uhodne. Když hacker tímto způsobem získá nějaký přístup do stroje, může získat soubor s dalšími hesly, rozšifrovat je a přihlásit se jako správce systému.
![\includegraphics[width=1\columnwidth]{4_Users_klokanek_data_zdz_img_sert2.eps}](img6.png)
Další „SERTovská“ ukázka takzvaných ASCII Art - log a obrázků poskládaných z různých znaků ASCII (American Standard Code for Information Interchange). Pozkládat obrázky z písmenek je dávný způsob, jak zobrazovat „grafiku“ na čistě textových konzolích. Jednou bude patřit do učebnic folkloristiky.
zdroj: SERT
Když má hacker root shell, chce po sobě samozřejmě co nejdříve zamazat stopy. V tom si pomůže automatickou úpravou záznamů o činnosti systému (logů) a upravenými systémovými programy, které nezobrazují jeho přítomnost v systému. Server je získán, plně pod hackerovou kontrolou. Většinou z něj podniká výpady dál, uchovává si na něm své hackerské utility nebo jej používá k přesměrování útoku (většina útoků je přesměrována přes 3-6 strojů, takže útočník je jen těžko zjistitelný). Může na něm také nainstalovat utilitu zvanou sniffer, která zachytává vše, co přeběhne po TCP portu, tedy i hesla do dalších a dalších strojů, ke kterým putují pakety přes nabouraný server.
Kromě Polska a Maďarska si SERTi oblíbili ještě dvě země - Finsko a Taiwan. Hlavně kvůli jejich rychlým linkám a velkému počtu špatně zabezpečených linuxových serverů. Některé znich byly dokonce umístěny v domácnostech, s rychlým připojením a slabým dohledem. „V tychto dvoch krajinach sme mali casto stroje, ktore sme volali stargate`, alebo redirektory`, z nich sme utocili na cielove masiny (vo Vychodnej Europe),“ vzpomíná s odstupem let Pajkus. „Tiez sme z nich spustali skenovacie roboty (jednoduche skripty, casto pisane len v bashi nad nmap-om, ktore hladali zranitelne masiny). V Taiwane a Finsku sme na hacknutych masinach prevadzkovali aj vlastne BBS, niekedy dokonca pod vlastnou domenou tretej urovne, ked sme hackli nejaky DNS server.
Okrem Internetu bola vtedy stale silna scena BBSiek po telefonnych linkach. Na tie sme chodili z hacknutych masin, ktore boli pripojene na Internet, ale ktore mali v sebe aj modem. Jeden taky casto pouzivany sme mali na Madarskej Akademii Vied v Budapesti. Telefonovali sme odtial na BBSky po celom svete.“
SERT je dnes velmi známý kauzou kolem českých serverů s tzv. warezem. „Warez“ je v internetovém slangu nelegální software a na Internetu jsou celé servery, kde si počítačoví piráti warez zadarmo stahují. Tato praktika je samozřejmě ilegální a o to horší je, když zálibu ve warezu mají správci školních serverů, zakoupených za nějakým bohulibým účelem například z grantu. Archív ilegálního software na stroji znamená nejen úbytek diskového prostoru na úkor běžných uživatelů, ale i snížení přenosové kapacity z důvodu neustálého stahování programů lidmi zvnějšku. Správce takového systému většinou nejprve omezí diskový prostor pro běžné uživatele (sníží kvóty) a kvůli přenosové rychlosti zakáže například stahování více souborů najednou. Sebemenší přestupky pak razantně trestá.
zdroj: http://hysteria.sk/sert
|
SERTi při svém „běhu po mašinách“ občas narazili na školní server plný warezu. To byl případ například serverů diana.troja.mff.cuni.cz a kmotr.pf.jcu.cz.
Správcům obou serverů poslali v dubnu 1996 email tohoto znění:
„Cau ty zasrany warezak,
Ludia ako ty su mi odporni... Za statne peniaze si na skolskych servroch budujete warez sajty a userom prikazujete prisne quoty. Polka tvojej masiny je posrany winblows warez. Rooti ako ty spinia vzduch, kazia linky a zasravaju hard disky warezom.
Mas tam peknu masinu, slusny hardware, pekne nakonfigurovany.. tak preco namiesto normalnej prace furt warezujes ? Chod do pice a zer Sirup bratku,
S pozdravom,
m0dus
PS: nie si prvy ani posledny“3.4
Hackeři smazali archívy ilegálního software a upozornili správce, že v případě jeho obnovení smažou celý stroj. Uživatelé, kteří se k systému připojili, dostali následující hlášení: „Vazeni uzivatelia, Na tomto servri bol doteraz velky archiv s nelegalnym licencnym softwarom, co je v rozpore so zakonom. Tento archiv bol odstraneny. Je mozne ze bude tento server nejaku dobu mimo prevadzky z dovodu vysetrenia priciny zmiznutia tohoto nelegalneho softwaru. Za tento vypadok sa ospravedlnujeme, S pozdravom, Modus“
To bylo něco u nás zcela bezprecedentního. Hackeři vzali „spravedlnost do svých rukou“, stali se jakýmisi Janošíky digitálního věku. Root „Kmotra“ jménem Ludvík Friebel se omlouval tím, že ve školství nejsou peníze, někde software brát musí. Archív obnovil. Hackeři oponovali tvrzením, že má na serveru i spoustu her a v srpnu 1996 ze SERT party v Košicích „Kmotra“ veřejně přes satelitní linku smazali.
Pajkus (aka m0dus, vlevo) a Dzajro (aka Debo, vpravo) hackují z internátu v Mlynskej doline v Bratislavě (léto 1996)...
zdroj: http://hysteria.sk/sert
Není pochyb o tom, že na smazání cizího serveru neměli hackeři nejmenší právo. Ani o tom, že správci školních (ale ani žádných jiných) serverů už vůbec nemají žádné právo umísťovat na univerzitní počítače ilegální programy. Představa, že někdo kontroluje legalitu vašeho software tak, že vám sám a hezky natvrdo smaže všechen ilegální, je trošku drsná.
Pajkus však popírá, že by se se svou skupinou stavěl do pozice nějakých moralistů či ochránců autorských práv. Sám přiznává, že také používal warez, když měl MS Windows a dodnes si sem tam něco ilegálního stáhne. Na Linuxu ale nejčastěji ani žádný ilegální software není zapotřebí, protože jsou k dispozici (kvalitnější) volné programy.
SERT se prý na warez servery nespecializoval, ale když se nějaký naskytl...
Tato kauza vyvolala na Internetu celkem zajímavý poprask, ale veřejně se ke smazaný serverům raději nikdo příliš nehlásil. SERTi mezitím seděli na nabouraných serverech a pozorovali korespondenci správců dumajících společně o tom, jak se nejspíš hackeři do jejich systémů dostali a o tom, kam schovali své utility a jak je asi používají. Jen občas hackeři připsali ironický komentář do soukromé korespondence, aby se na ně nezapomnělo.
18. září 1996 se objevila na webové stránce Tiskové agentury Slovenské republiky (TASR, http://www.tasr.sk) tato zpráva o slovenských hackerech ze SERTu:
„Niekolko slovenskych pocitacov a serverov napojenych na sieti Internet bolo tento tyzden tercom utokov skupiny hackerov, nazyvanych Syrup Emergency Reaction Team (SERT). Dovodom ich utoku bolo upozornit na rozmach zneuzivania Internetu na rozsirovanie kradnuteho licencneho softwaru. Medzi napadnutymi pocitacmi boli aj servery firiem zaoberajucimi sa poskytovanim sluzieb suvisiacichs pripojenim k sieti Internet, ako napriklad Slovak Academic Network (SANET), alebo Netlab s.r.o., ale aj mnoho skolskych servrov, o ktorych je zname ze su zneuzivane na distribuciu nelegalneho softwaru. Na napadnutych serveroch bol vymazany vsetok najdeny nelegalny software a boli na nich instalovane propagacne stranky povzbudzujuce k boju proti sireniu kradnuteho softwaru.“ Text se tvářil jako zcela normální agenturní zpráva, podepsán pod ním byl redaktor Roman Kebisek a některé noviny jej také přejaly. Teprve když Pavol Mederly (o kterém ještě uslyšíme později) z výpočetního centra Komenského University v Bratislavě zavolal do „oddělení slovního zpravodajství“ TASR, zjistil, že pan Kebisek ma tou dobou dovolenou. Zjistil také, že server TASR běží na relativně staré (a tedy i nepříliš bezpečné) verzi Linuxu. Když Mederly na článek agenturu upozornil, byl z Internetu stažen.
Ano, je to tak, hackeři ze serveru zfalšovali dokonce i zpravodajství oficiální tiskové agentury svého státu!
Tou dobou provedli Pajkus, Dzimi, Dzajro a Bebeto a další jejich přátelé mnoho útoků a změn stránek například slovenského poskytovatele Internetu NetLab; Slovak Academic Network (SANET), či deníku SME (na jeho titulní stranu umístli nápis „Boli SME, ale už NIE sme“). Pořádali SERT Parties, odkud podnikali další výpady, scházeli se tajně po nocích v prezentačním středisku Zdennyho zaměstnavatele v Košicích...
Jejich konec se však neodvratně blížil.
V červnu 1996 už byly aktivity skupiny tak rozsáhlé, že to nemohlo zůstat bez povšimnutí, tím méně ze strany výpočetního centra University Komenského v Bratislavě. Na události, které bezprostředně vedly k pádu SERTu vzpomíná dnes Pajkus takto: „SERT vtedy sniffoval kompletne UK v blave a okrem ineho mal pristup aj na novell siet na MFF UK. mali administratorske heslo na novell, tak si debo a bebeto dali na novell napevno doom... riadna somarina.. vsetci o tom vedeli.. a dmin na to prisiel a zacal vysetrovat.. zistil ze utoky pochadzaju z masiny cicero.fmph.uniba.sk ktory administroval ruuto, dalsia spriaznena dusa. cicero.fmph.uniba.sk bol vtedy nieco ako hlavny stan SERT... takze prisli do kancelarie Mederly este s niekym, odpojili cicero zo zasuvky (nedali ani shutdown), schytili ho pod pazuchu a odniesli si ho do vypoctaku asi na tyzden a tam ho studovali.. odtial mali tolke dokazy..“
Hackeři známí jako Dzajro a Dzimi dostali děkanskou podmínku, neboli byli podmínečně vyloučeni. Ve skutečnosti dostala zřejmě (neoficiální) podmínku Univerzita Komenského od Sanetu, přes který byla připojená k Internetu. Buď vyhodí hackery, nebo Sanet prostě odstříhne dráty. Tak velké riziko si nemohl Sanet dovolit. Dzajro a Dzimi vyletěli od první zkoušky, ke které přišli.
„Raději vás necháme vyhodit, než abychom riskovali, že ztratíme připojení,“ řekl jeden z univerzitních pedagogů hackerům.
Po této ráně pokračoval SERT stylem „od deseti k pěti“.
Dzajro šel na elektrofakultu a po nějaké době přestoupil na Matfyz.
Dzimi chodil s „nějakou podivnou holkou,“ jak říká Pajkus, která ho stěží pouštěla s kamarády do hospody a ještě méně mu byla ochotná tolerovat noční hackerské eskapády.
Bebeto si našel práci v počítačové společnosti, ze školy mířil rovnou do práce, vracel se večer.
„Byl do toho strašně nadšenej,“ říká se smíchem Pajkus, když si vzpomene na okouzlení svého kamaráda nad tím, jak snadno si může v komerčním sektoru vydělat peníze. Bebeto sám byl expertem hlavně na Windows 95, které dokázal geniálně zneužívat a elegantně po nich „běhat“.
Zdenny šel na vojnu.
Pajkus osaměl.
V každém případě se SERT zapsal do československé počítačové historie jistým průkopnictvím. Vytvořil jedny z prvních místních hackerských nástrojů - české a slovenské slovníky nejčastěji používaných hesel pro tzv. wordlisty, vydával vlastní rootkity, tj. modifikované části Linuxu určené k vytváření „zadních vrátek“ do serverů a skrývání hackerů, kteří v nakažených strojích operovali. Mezi tyto nástroje patřily i „skenery“ a skripty na automatické vyhledávání strojů s bezpečnostními dírami.
