[Eltenet-l] betoresi kiserlet

1999. Ápr. 9., P, 02:04:17 CEST

Tisztelt Urak !

A sok tennivalo mellett most jutott idom arra, hogy valaszoljak
Gal Marcell tevedesektol es pontatlansagoktol igencsak hemzsego
leveleinek nehany gondolatara.
Mentsegere legyen mondva, hogy levelei nem feltetlenul rosszindulatbol
hanem sokkal inkabb tudtalansagbol es a dolgok alapveto meg nem
ertesebol fakadnak.
Mindenekelott megkoszonom azonban Szalay Tamasnak, hogy
helyettunk elmondta azokat az alpveto szempontokat, amelyeket
egy rendszergazdanak figyelembe kell vennie a rendszeruzemeltetes
kozben illetve amelyek alapjan dontenie kell az egyes esetekben.

A tovabbiakban nem logikai sorrendben haladok, hanem Gal Marcell
leveleinek sorrendjeben.

>  Miota minosul a portscan betoresi kiserletnek?
>  Sajnos az sch.bme.hu-nak nincs firewall-ja, sot, meg
>  a router-hez sincs hozzaferese. Persze megoldhato lenne
>  valamilyen szures, de teljesen komolytalan minden ilyen
>  apro hulyeseggel foglalkozni.

Az utobbi mondatbol egyertelmuen kiderul a hozzaertes hianya.
Ez a fenti sorok irojat legalabbis nagyobb szerenysegre
osztonozhetne.

>  Ugy tunik, a nagyhatalmu
>  vidg ur sem ismert megoldast, ugyanis csak a teljes szurest
>  tudta megoldani, ami nem nagy cucc. Akinek kisebbsegi
>  komplexusa van, az menjen orvoshoz, de ne a routerek
>  konfiguralasaval probaljon magabol nagy embert csinalni.

Ez mintapeldaja lehetne annak, hogy milyen hangvetelt nem engedhet
meg maganak senki, sem a valos eletben sem a halozaton keresztul.
A kulturalt viselkedes szabalyai szerint ha valakinek problemaja van,
akkor eloszor illik meggyozodni arrol, hogy tenyleg elegendo
informacioval rendelkezik-e a velemeny nyilvanitashoz, masodsorban
pedig kerdezni es kerni illik.
Amennyiben Gal Marcell megfelelo nevelest kapott volna annak
idejen, kerdezes utan megtudhatta volna, hogy Vidg nem teljes
szurest alkalmazott; igy nem hozza magat abba a kellemetlen helyzetbe,
hogy fenti szavait ezek utan minden hozzaerto csak alap nelkuli
hoborgesnek vegye.

>  tobb problema van a mitugralsz paranoias operatorokkal,
>  mint a betoresi kisereletekbol. Raadasul az ilyen operatorok
>  ellen vedekezni is nehez......

Ha valakinek konkret panasza van, akkor vannak megfelelo
forumok arra, hogy ezt bejelentse nevvel, illetve a konkret
problema leirasaval - legalabbis az ELTE-n ez
igy van -, az ilyen altalanosito kijelentesek (anyazasok)
csak az irot minositik.
Az operatoroknak speciel Vidg a kozvetlen fonoke, mint
halozati rendszergazda, illetve Horvath Gabor, amennyiben
Ludens problemarol van szo.

>  Hogy a portscan betoresi kiserlet-e, azon lehetne vitatkozni, talan
>  (itt most) nem erdemes. (Vannak dolgok, amiket lehet hasznalni jora,
>  rosszra /balta, internet, portscan../;

Szerintem sem szabad olyan dolgokon vitatkozni, amik az elemi
tankonyvekben is olvashatok (security cimszo alatt erdemes keresni).
Ezek altalaban azt allitjak, hogy a betoresi kiserletek avval kezdodnek,

hogy a behatolo informaciot probal gyujteni a rendszerrol. Tobbek
kozott ezert erdemes logolni es a logokat elemezni.
Valoban igaz, hogy a portscan omagaban nem betoresi kiserlet (persze
ezt nem is allitotta senki sem), mint ahogy a root password probalgatasa

sem feltetlenul az.

>  bizonyos orszagokban valaki
>  artatlan, amig be nem bizonyosodik, hogy bunos, mashol pedig bunos,
>  mig be nem bizonyitja, hogy artatlan)

Javasolom, hogy ezekben az orszagokban probaljon meg Gal Marcell
vaktoltennyel lovoldozni rendorokre. Nem josolok 100% tulelesi
valoszinuseget.

Az idezett szoveg tipikus pelda, amelybol kiderul, hogy az ironak
fogalma
sincs a jogrol, es az igazsagszolgaltatas mukodeserol, csak meggondolas
nelkul ismetelget egy szlogent.
Hadd utaljak csak peldakepp az eloallitas, az elozetes letartoztatas
illetve
a vizsgalati fogsag szankciokra. Egyikhez sem kell a bunosseg
bizonyitasa,
hanem eleg annak gyanuja.

>  Fejen talaltad a szeget. Mindenesetre nem mindegy, hogy valaki
>  a sajat ajtajat zarja be, vagy sok mas ember ajtajat. Az ELTE sok-sok

>  diakjat erintheti ez, ezert az ilyen nagyobb kaliberu dolgokban
>  (pl. 152.66.148.0/22 kitiltasa)

Az ELTE sok-sok diakja panasszal elhet, megjelolve azt, hogy miert
fontos az adott halozat elerese. (eddig meg senki nem tette)

>  nem illene egyszemelyes azonnalitelo birosag-kent donteni. Jobb
helyeken
>  van erre egy bizottsag, hogy korrektul lehessen eljarni. Persze az
>  sem biztos, hogy a 10k+ hallgato erdeket total tukrozi, de jobb, mint

>  az egyszemelyes dontes.

Betoresi kiserlet gyanuja eseten a rendszergazda koteles a leheto
leghatekonyabb modon beavatkozni (a biztonsag szinten tobbek
altal ismert egyik alapszabalya) es elharitani a kiserletet. Ezt,
a betoro megfogasanal is fontosabb szempontot ugy hivjak, hogy
a minimalis kockazat elve.
A bizottsaggal vagy a felelos vezetovel valo egyeztetes ezek utan
kovetkezik, es ott eldolhet, hogy az adott szankciot a kockazat,
az elonyok es a hatranyok figyelembevetelevel fenn kell-e tartani.
A konkret esetben ez pontosan igy tortent.

>  Ennek az esetnek a korulmenyei tovabbra sem tisztak, a 'betoresi
kiserlet'
>  nagyvonaluan tomor fogalmazas....

Ujabb alapszabaly : A betores korulmenyeirol csak azok az illetekesek
kaphatnak reszletes tajekoztatot, akik az eset kivizsgalasaban
kozremukodnek.

>  En ilyenkor a kovetkezoket irnam meg:
>  - honnan lehet tudni, hogy betoresi kiserlet tortent.
>  - honnan tudhatjuk biztosan a tamado halozati cime't (lehetett-e
spoofolt?)
>  - hogyan valasztottam meg a tiltas merteket (nem lehetett kisebb
>  tartomanyt, mert...)
>  - ha azonnal kellett lepni, akkor indoklas
>  - mikor ertesitettem az illetekeseket (es kiket)
>  - ha nem jott valasz, akkor megirnam, hogy hany munkanap telt el az
elso
>  ertesites ota. (esetunkben egy sem, ha jol ertettem)
>  - ismert-e valamilyen egyeb korulmeny. (pl. provokaltam valakit IRC-n
:)
>  - kivel beszeltem meg a dontesemet

A rendszergazdanak nem feladata igazolo jelentesek irasa (nincs is ideje

erre), beszamolasi/egyeztetesi kotelezettsege csak a fonokevel szemben
van.
A sajat rendszer felhasznaloit ticket-ben kell ertesiteni a szankcio
tenyerol
es az erintettseg mertekerol.

>  Mindezt azert, hogy a latszatat is elkeruljem annak, hogy valami
>  szemelyes serelmet toroltam meg a router-jelszo segitsegevel.

Hadd emlitsem meg most az artatlansag velelmet. Itt tenyleg helye van.

>  Ennek a 6-szemelyes bizottsagnak pont az etikai problemak
kivizsgalasa
>  a feladata (persze lehet, hogy nem 1/2 munkanap alatt hatarozniuk..)
>  (btw. nem hiszem, hogy kapnak fizetest a munkajukert...)

Termeszetesen joguk van annyi ideig gondolkodni, ameddig akarnak.
Ha fontos nekik a kitiltas megszuntetese, akkor gyorsan reagalnak.

>  Orulhetnenk, ha az onkenyeskedes helyett itt is valami korrekt
>  bizottsag hozna a komolyabb donteseket, HIGGADTAN.

A higgadtsag alapvetoen jellemzo az ELTE ITK-ra. Tobbszor is
megfontoljuk, mielott egy olyan halozat felhasznaloit ujra beengedjuk
az ELTE halozatara, ahonnan sorozatosan betoresi kiserleteket
tapasztaltunk.

>  Mikor valaki begepeli az enable jelszot, jusson mar eszebe a
kovetkezo:
>  Ha egy subnet-et kitilt, azzal tipikusan sokkal tobb artatlan
>  joindulatu halohasznalot (es adminisztratort) buntet meg, mint
>  badguy-t. (ha egy gepet tilt ki, az azert mas).

Az Internet kooperativ alapon mukodo halozat. Tenyleg nem illik
"csak ugy" kitiltani valakit egy publikus halozatrol. Viszont
mindenkinek
adott a lehetoseg, hogy a sajat halozatat ugy uzemeltesse, hogy
senkinek se jusson eszebe kitiltani ot. Ez a lehetoseg a Schonherznek
is adott.

>  Ne altalanositsunk hirtelen felindulasbol.

Senki nem allitotta, hogy a sch.bme.hu gepein csak sotet gazemberek
dolgoznak.

>  Eleg rohejesen hangzana a birosagon a kovetkezo:
>  - birono, azert vertem meg ezt az lakot, kerem, mert ez cigany,
>  mindenki tudja, hogy a ciganyok lopnak, csalnak hazudnak, ezek
>  nem ismerik a torvenyt...

A behatolasvedelem es az eroszak kozott kulonbseg van. Jogos lenne
a pelda, ha a sch.bme.hu gepeire betortunk volna bunteto celzattal.

>  Nekem is okoztak mar gondot betoresi kiserletek, hollandia,
oroszorszag
>  vezetik a mezonyt, valahogy nem jutott eszembe a fel vilagot
kitiltani,
>  mert potencialis betoro.

Termeszetesen a reakciok fuggnek a vedendo rendszer erteketol, a
lehetosegektol illetvea hozza(nem)ertes merteketol is.

>  Az artatlanok vedelme kotelessegunk.

A sajat felhasznaloink vedelme a kotelessegunk.

>  Nem mondtam, hogy a foreign domainbeli felhasznalok erdekeben kell
eljarni.
>  Az ELTE-s felhasznalokat kellemetlenul erinti, ha elvagjak toluk
>  a halozat egy reszet. Hogy kapnak-e cserebe extra biztonsagot, az
igencsak
>  megkerdojelezheto. Ha eddig nem ereztek magukat biztonsagban, ezutan
sem
>  fogjak. Ezer mas helyrol is betorhetnek, nem hiszem, hogy ez vita
targyat
>  kepezheti.

A biztonsag erdekeben hozott intezkedesek legtobbszor kellemetlenul
erintik a felhasznalokat.
Ennel mar csak azt utaljak jobban, ha valaki letorli az eppen elkeszult
disszertaciojuk, programjuk, cikkuk nem mentett valtozatat.
Nekunk az ITK-n a biztonsag novelese a celunk, a rendelkezesre
allo lehetosegeken belul. Ez messze kevesebb az optimalisnal, de
azon az alapon nem engedhetunk meg mindent, hogy ugysem
tudjuk elerni a maximalis biztosagot.

Udvozlettel,

Vonderviszt Lajos

--
===========================================================================

dr. Vonderviszt Lajos                      e-mail:
vondervi at caesar.elte.hu
igazgato
Informaciotechnologiai Kozpont             tel.  : (1)  266 5274
Eotvos Lorand Tudomanyegyetem              fax   : (1)  266 8576
1088. Budapest, Muzeum krt. 4/c            mobil : (30) 561 312
===========================================================================