DLOUHE: Clanek pana Jandy...

[Jan Marek]

Dobrý den,

tak jsem si přečetl článek pana Jandy o nebezpečném Linuxu a
stejně jako loni mě vyprovokoval k odpovědi.

Musím říci, že se mi odpověď píše daleko lépe, než původní
článek, navíc pan Janda oplývá názory, které k odpovědi
takříkajíc přímo nutí. Třeba ze mě svými články vychová odborného
dopisovatele-odpovědníka :-)

Začněmež tedy českým příslovím: "S chutí do toho, půl je hotovo":
<citace>
Je tomu přibližně jeden rok, co na těchto skvělých stránkách
vyšel můj článek s názvem Linux vládne internetu - je to bezpečné?
Pokusím se na text tohoto článku navázat a některé věci upřesnit.
Minulý článek kritizoval Linux v obecné rovině bez konkrétních
důkazů o nebezpečnosti provozu Linuxu na Internetu. Dnes je
situace jiná.
</citace>
Tento zajímavý odstavec nám předkládá velmi podnětný pohled na
způsob autorovy práce: bylo v minulém článku málo důkazů (snad
jsem je dokonce i neměl?) Za poslední rok jsem si Linuxu všímal
daleko více a některé (2? 3?) jsem shromáždil! To je jistě důvod,
proč napsat další článek a trošku ty linuxáky zase popíchnout...
Je potřeba jít trochu více do hloubky, aby se dalo říci, že to
předchozí bylo předběžné varování (samozřejmě s daleko hlubší
znalostí věci, že :-))) no a bude to...
<citace>
Máme tady Binary division!
</citace>
Je možná škoda, že se autor občas nepodívá na stránky, jak je
Binary Division pozmění. Možná by si všiml, že se tam občas
objevují i poznámky k zabezpečení serveru. Snad nebude od věci,
když ocituji část pozměněné stránky jiné, stejně slavné, hackerské
skupiny CzERT: "kolikrát z hacknutých stránek znělo: zabezpečte
si to, co takhle zakrýt notoricky známé rootshelácké bugy..."
(viz http://www.hysteria.sk/hacked/www.gt12.sk.2/) A vůbec na
mnoha zde vystavených stránkách se objevují podobné poznámky
(http://www.hysteria.sk/hacked/). Je s podivem, že ostřílení
hackeři upozorňují administrátory, aby si zabezpečili servery a
nemají nic proti SW (snad s několika vyjímkami, kdy servery běží
nad IIS, k dohledání na stejné adrese :-))
<citace>
Jejich útoky na webové stránky musí i toho největšího příznivce
Linuxu přivést alespoň do rozpaků.
</citace>
Asi se zkusím taky odvolat na svoji odpověď, která byla již minulý rok
zveřejněna na zdejších stránkách: psal jsem v ní, že úroveň
zabezpečení je závislá především na kvalitě správce serveru. A
tedy: proč by mě, jako příznivce Linuxu (a dalších Open Source
systémů) měla přivést práce Binary division do rozpaků, navíc
údajně kvůli kvalitě Linuxu? Snad jsem už před rokem dostatečně
jasně vyjádřil, že je možné, že se dá dobře nastavit IIS od
Microsoftu (ale nejsem si tím jist, poté, co sleduji BugTraq),
zatímco v Linuxu to mám ve svých rukou daleko dokonaleji sám.
<citace>
Nepěkná změna stránek HZDS v minulém roce je křiklavým příkladem
o nebezpečnosti Linuxu. HZDS mělo stránky na Windows NT (2000),
přesto Binary division zaútočili na nameserver pracující nad
Linuxem aby přesměrovali změnou příslušného záznamu uživatele
internetu jinam. Právě nameservery, které pracují nad Linuxem
jsou nějvětší slabinou dnešního internetu. Další a další útoky
Binary division směřovaly na servery s Linuxem, a další a další
útoky na tento systém budou následovat.
</citace>
O "nepěknosti" změny na stránkách HZDS je možné se přesvědčit na
výše zmiňované adrese, kde jsou tyto pozměněné stránky vystaveny.
Domnívám se, že jejich grafická úprava je více než zdařilá a
úvaha o totalitní moci také není od věci. Ale to je mimo téma Linuxu.
Co se týče nameserverů na Linuxu: zřejmě by bylo dobré upozornit,
že převážná většina nameserverů je realizována programem "bind",
který je skutečně neskutečně zatížen chybami. Ale v Open Source
světě existují dobré náhrady, kterým autor dokonce věří tak, že
vypsal odměnu za prolomení tohoto nameserveru (viz.
http://cr.yp.to/djbdns.html). Takže není třeba nutně zůstávat u
jednoho chybami zatíženého SW, když je jeho náhrada kvalitní a
také zdarma. A co se týče počtu nameserverů na Linuxu: není všechno
jen Linux, pane Janda, existují i další Open Source odrůdy Unixu,
např. FreeBSD, nebo dokonce OpenBSD, které má speciální audit na
bezpečnost a chlubí se, že po celou dobu trvání projektu nemá
zatím ani jeden úspěšně napadený server v základní instalaci
(!!!, máte co dělat ve volném čase, pane Janda :-))))
<citace>
Podle informací které mám jde pouze o špičku ledovce.
</citace>
Když pominu chybějící čárky ve větě, tak z ní vyplývá, že se
můžeme těšit na Váš další článek, že? No, jestli bude mít
podobnou kvalitu, tak zřejmě zase zvednete mandle mnoha lidem.
Jestli je to Váš cíl, pak Vám gratuluji, děláte to opravdu dobře.
Ale možná Vás odborná veřejnost donutí i k tomu, abyste si
prohloubil svoje vzdělání v oblasti počítačové bezpečnosti a
třeba z Vás nakonec bude opravdový odborník... Je pravda, že se
taky někdy zveřejňují slohové práce základní školou povinných
dětí, ale od těch se nedá nějaký odborný vhled do různé
problematiky očekávat, takže jejich výtvory lidi tolik
nepřekvapí, ani nenaštvou, jako je to ve Vašem případě...
<citace>
Musíme si uvědomit, že na podobných nameserverech jsou stovky
až tisíce záznamů. Kdyby lidi z Binary division změnili všechny,
způsobili by největší masový hack v dějiných česko-slovenského 
Internetu. Proč to neudělají? Problém může být čistě technický.
Způsobili by tím zvláštní druh DDos útoku na svoje připravené
hacknuté stránky, respektive na www server kde jsou uloženy,
což není jejich záměrem.
Myslím, že je pouze otázkou času kdy tento masový hack obrovských
rozměrů uskuteční.
</citace>
Nad tímto úryvkem zůstává můj rozum stát a myslím pouze na jednu
otázku: čtete někdy po sobě svoje výtvory, pane Janda?
V prvním odstavci napíšete, že masovým hackem by si hackeři
zablokovali servery obdobou DoS útoku a že to není jejich
záměrem, ale obratem se dočteme v další větě, že je jen otázkou
času, kdy to udělají... Hmm... To je opravdu pěkná ukázka slovní
ekvilibristiky. Tady jste me tedy pobavil...
<citace>
Křiklavé útoky na servery ministerstva vnitra, spolu s posledním
útokem na nameserver velkého distributora Linuxu u nás je pouze
třešničkou na dortu. Na serveru underground.cz si každý mohl
přečíst záhadné vyjádření představitele distributora Linuxu.
Hacker údajně odchytil heslo z ssh relace, která by měla být
šifrovaná, ale nebyla. Jak je to možné? Kolik serverů je vlastně
napadených? Kolik programů změněných? Otázek mnoho, ale odpověď
žádná.
</citace>
Asi by bylo vhodné říci, že vyjádření pana Janíka na undergroundu
bylo tak mlhavé, že dovolilo i tuto interpretaci, která je ale
chybná. Heslo nebylo odchyceno v průběhu relace, protože již
autentikace při zahájení relace je kryptovaná, ale díky tomu, že
byl vyměněn program ssh na napadeném serveru, ze kterého se
administrátor hlásil na onen nameserver. Tento pozměněný program
zapsal nekryptované heslo někam, odkud si ho hackeři vyzvedli.
A na otázky, které klade autor v závěru této citace, odpovědi
existují: každý správce si může pomocí různých kontrol, které
byly na serveru underground také zveřejněny, zkontrolovat, zda
jím spravovaný server nebyl napaden. Jen chtít, jen se tomu
věnovat...
<citace>
Navíc, údajný lokální útok na relativně nový kernel, tzv. LKM
hacking je hrozbou, která může znamenat pro internet katastrofu.
Jde o to, že hacker útočí přímo na jádro operačního systému na
kterém jsou závislé další programy.
</citace>
Bylo by dobré poznamenat, že touto chybou netrpí pouze Linux, ale
i další operační systémy, Windows-y nevyjímaje. Ale tohle je jen
půlka tvrzení. Druhá půlka, která by se slušela dodat, by zněla
asi takto: zatímco v Unix-like operačních systémech tuto možnost
má pouze root, ve Windowsech může bežící jádro operačního systému
modifikovat kdokoliv, kdo má možnost spouštět kompilované
programy, což nutně Administrátor být nemusí. (Podrobnosti byly
zveřejněny v Internetovém e-zine Phrack, issue 55, článek č. 5 s
názvem "A Real NT rootkit", http://www.phrack.com)
<citace>
Je pravda, že bezpečnost systému je závislá na admistrátorovi.
Má ten ale čas sledovat obrovské množství chyb? Chyby v ftpd,
bindu, telnetd, amd, sendmailu, procmailu, setuid programů a mnoho
jiných, včetně chyb v LKM je příliš velké sousto pro každého
"roota". A kolik mám na systému programů úmyslně pozměněných?
To je otázka.
</citace>
To, že má adminstrátor každého systému za svoji povinnost
sledovat bezpečnost jím spravovaného systému a včas dělat updaty,
se už objevilo v reakcích na tento článek v době, než jsem začal
psát svoji odpověď. Docela by mě zajímalo, jakou má představu pan
Janda o práci administrátora nějakého systému: nakonfiguruju a pak už
jen beru penízky za to, že to funguje a do práce si chodím hrát
doom, tetris, nebo jiné hry?
A získání odpovědi na otázku položenou na konci tohoto odstavečku
by nemělo dobrému správci trvat déle než 5 minut, které se
zahrnují do běžné kontroly spravovaného systému.
<citace>
Každý kdo má přístup na klíčové místo sítě může odposlechnout
jakoukoli komunikaci. Není-li šifrovaná snadno získá tajné údaje pro
přihlášení do systému. Takové relace jako telnet nebo ftp jsou
dnes z hlediska bezpečnosti naprosto nevyhovující.
</citace>
Tady mě napadá na pana Jandu otázka: jak se získá přístup na
klíčové místo sítě? Skutečne si myslíte, že Vás jen tak někdo
pustí do své sítě? Tady se napojte, tady si dejte tuhle IP adresu
a pěkně si tu odposlouchávejte hesla... Nebo byste snad chtěl i
root-ovské heslo na náš podnikový server? Není problém, tady je
napsané na papírku na monitoru... A náš podnikový SQL server má
tohle heslo na druhém papírku, nechtěl byste nám třeba pozměnit,
případně vymazat data? Buďte tak hodný a poslužte si...
Nicméně o bezpečnosti telnetového nebo ftp přístupu se přít
nehodlám, ale to je snad každému trošku znalému správci poměrně
jasné...
<citace>
Jak je vidět, tak ani ssh není bezpečná.
</citace>
Pročpak je ssh ženského rodu? Víte, pane Janda, co ta zkratka
vůbec znamená?
O bezpečnosti ssh jsem se už zmínil...
<citace>
Kdo za to tedy může? Linux? Administrátor? TCP/IP? Hackeři? Asi
všichni mají svůj podíl včetně Linuxu jako operačního systému.
</citace>
Tohle je tedy opravdová perla... Ale hlavně ten Linux, ten Linux
je skutečně nebezpečný, to je třeba opravdu zdůraznit :-) To je
třídní nepřítel a ubírá chudákovi Billu Gatesovi něco málo z jeho
astronomických příjmů... Je prostě třeba vyhlásit svatou válku za
udržení a zvýšení příjmů pan Williama Gatese. Jen se snažte, pane
Janda, třeba Vám dá nějaký směšný podíl (kačer Donald začínal s
prvním centem, proč byste nezačal s jedním Billovým centem i vy,
že... :-)))
<citace>
Přesto musím vyjádřit obdiv těm mnoha bezejmeným, kteří i u nás
tento systém zpřístupnili široké veřejnosti a vytvořili tolik
potřebnou konkurenci v oblasti operačních systémů.
</citace>
Konec dobrý, všechno dobré, třeba se o mě nebudou ti linuxáci
tolik opírat, že... Ale mimochodem: ti lidé vůbec nejsou
bezejmenní, jejich jména se lze dočíst v dokumentaci, ve
zdrojácích linuxového jádra... Jen chtít. A co by nám mohlo
sloužit ke cti: je mezi nimi poměrně dost Čechů. Co kdybyste si,
pane Janda, dal za úkol pro příští článek shromáždit všechny
Čechy, kteří se podílejí nebo podíleli na vývoji linuxového jádra
a napsal anotaci o jejich přínosu. Bylo by to rozhodně kratší,
než množství kódu, které oni do linuxového jádra napsali a ti
lidé by si to jistě zasloužili.

No a co dodat závěrem? Snad to, že platnost jednoduché zásady:
"jaký administrátor, taková bezpečnost" neztratila ani po roce
nic ze své síly.
Nu a když jsem příslovím začal, mohl bych jím i skončit, že?
Takže třeba takto: "Není dobré vylévat s vodou z vaničky i
dítě"...

Zdraví
Jan Marek
-- 
Ing. Jan Marek
University of South Bohemia
Academic Computer Centre
Phone: +420-38-7772080