(Nie)bezpieczny rząd

Serwery WWW polskiej administracji rządowej były wielokrotnie celem ataku komputerowych włamywaczy. Dwa z nich były udane. Wiadomo że hakerzy nieustannie ponawiają ataki na sieci instytucji centralnych.

Serwery WWW polskiej administracji rządowej były wielokrotnie celem ataku komputerowych włamywaczy. Dwa z nich były udane. Wiadomo że hakerzy nieustannie ponawiają ataki na sieci instytucji centralnych.

Paradoksalnie sieci administracji rządowej były najbezpieczniejsze wtedy, kiedy ich w ogóle nie było. Jedyną możliwością zdobycia "rządowej" informacji była napaść na któregoś z kurierów, który krążył między ministerstwami. Kilka lat później sieci centralnych instytucji również należały do najbardziej bezpiecznych na świecie, ponieważ do włączonych do prostej sieci LAN komputerów nie było dostępu z zewnątrz.

Najlepsze dla prawdziwych włamywaczy lata właśnie mijają. Rządowe sieci podłączone są już bowiem do świata za pośrednictwem łączy dzierżawionych i modemów, a nie wszyscy jeszcze ich użytkownicy zdają sobie sprawę z funkcjonowania ustawy o tajemnicy państwowej, która nie pozwala m.in. przesyłać drogą elektroniczną informacji opatrzonych klauzulą "tajne" lub "poufne". Inni, dla których włamanie nie jest środkiem do zdobycia cennych informacji, a jedynie chęcią zaprezentowania światu własnej osoby bądź poglądów, przeżywają "złoty okres". W ramach skromnych budżetów administratorzy centralnych LAN-ów nie mogą sobie bowiem jeszcze pozwolić na kosztowne firewalle, a użytkownicy i decydenci zmuszają ich do jak największego otwarcia sieci na informacje z zewnątrz.

Znana prawda o administracji rządowej mówi, że im mniej strategiczny urząd, tym słabszy poziom zabezpieczeń. Zasada ta sprawdza się praktycznie bez wyjątków.

Apel o dobre serce

Zbigniew Jabłoński, szef informatyki w Sejmie, Jarosław Deminet, dyrektor Departamentu Informatyki w Senacie i Włodzimierz Marciński, dyrektor Departamentu Informatyki Ministerstwa Spraw Zagranicznych nie liczą na pobłażliwość włamywaczy. "Cały czas mówimy o wyścigu z czasem - oni próbują włamać się kilkanaście razy w tygodniu, ja sam niemal za każdym razem, kiedy przychodzę do pracy, usiłuję wychwycić słabe punkty systemu" - twierdzi Zbigniew Jabłoński.

Tak jak Zbigniew Jabłoński, tak i Jarosław Deminet nie chcieli rozmawiać o bezpieczeństwie sieci przez telefon. "Jest serwer WWW, firewall, są modemy dostępowe, a najbardziej strzeżoną informacją w sieci jest lista płac, objęta tajemnicą służbową" - mówi Jarosław Deminet. W MSZ tajne dokumenty przygotowuje się na maszynach do pisania lub odłączonych od sieci komputerach PC, ale - jak twierdzi Włodzimierz Marciński - o tym nie trzeba pisać, bo przecież jest ustawa o tajemnicy państwowej. Ministerstwo nie jest podłączone do zewnętrznej sieci oprócz PEAR, poczty rządowej zakładanej jeszcze przez InterAms. Nie ma serwera WWW, usług Telnet, FTP, HTTP czy SMTP. "Najpierw firewall na Unixie, później IIS - serwer WWW Microsoftu i jeden dostawca usług, czyli warszawski ATM" - mówi Włodzimierz Marciński.

Borys Czerniejewski, dyrektor Departamentu Informatyki w Komitecie Badań Naukowych, zdaje sobie sprawę z niewystarczających środków przeznaczanych w urzędzie na informatykę. Toteż zwraca się z apelem do ludzkiej uczciwości. "Ja wiem, że na razie włamanie się do serwera WWW Komitetu nie nastręcza zbytnich problemów, dlatego proszę tego nie robić" - apeluje Borys Czerniejewski, zapowiadając jednocześnie, że gdy zakończą się prace nad tworzeniem systemu do obsługi grantów, włamanie się nie będzie już takie łatwe.

Rząd "fachowców"

"Fachowcy" - tak określa się hakerów w polskich ministerstwach. "Fachowcy z Białegostoku próbowali w zeszłym tygodniu wyłączyć nasz serwer i zamiast niego podstawić własny" - mówi Zbigniew Jabłoński.

Większość informatyków rządowych zdaje sobie sprawę, że nie są wszechmocni, iż włamanie do zarządzanej przez nich sieci jest tylko kwestią czasu i dobrych chęci. "Najwięcej prób wejścia notujemy w tzw. długie weekendy, kiedy ktoś może przypuszczać, że nas nie ma w pracy" - wyjaśnia Zbigniew Jabłoński. Dlatego dobry administrator cały czas nosi przy sobie telefon komórkowy i jeśli serwer z jakiś powodów odmawia posłuszeństwa informacja o awarii trafia bezpośrednio do niego. "Jeśli fachowcom z Białegostoku udałby się ten manewr, a ja byłbym na wakacjach, to wiem, że nie miałbym pewnie po co przychodzić do pracy" - uważa szef sejmowej informatyki.

Na razie Zbigniew Jabłoński nie widzi możliwości włamania się do sejmowej sieci, ale - jak sam mówi - "człowiek cały czas się uczy". Inni informatycy też mają świadomość zainteresowania hakerów własnym systemem, ale nie przyznają się do tego otwarcie. Paradoksalnie włamywaczy informatycy rządowi, poza może jednym wyjątkiem, nie odsądzają od czci i wiary. W sposobie komentowania poszczególnych włamań dominuje nuta profesjonalizmu.

Serwer WWW w Ministerstwie Pracy i Polityki Socjalnej jeszcze nie został postawiony. Na razie w wieloserwerowej sieci MPiPS działa wewnętrzna poczta elektroniczna MS Mail. Jedynym ewentualnym punktem zagrożenia są modemy dostępowe dla osób będących w delegacji. Jednak - jak twierdzi Gustaw Pietrzyk, dyrektor Departamentu Informatyki w Ministerstwie Pracy i Polityki Socjalnej (poprzednio kierownik Zakładu Informatyki w Centrum Szkolenia Policji w Legionowie) - poczta internetowa działa jedynie w wydzielonej fizycznie sieci LAN. W najbliższym czasie nakładem ministerstwa i wybranej w przetargu firmy ATM powstanie bezpieczny dostęp do Internetu w postaci serwera usług pocztowych, WWW i firewalla. "Firewall będzie przez nas kupiony za znaczne pieniądze" - nadmienia Gustaw Pietrzyk.

Tanie, bo darmo

Z braku funduszy administratorzy otwartych rządowych sieci wspierają się darmowymi rozwiązaniami. Jednym z nich jest unixowy system Linux, na którym najczęściej - jak w przypadku sieci w Sejmie czy Ministerstwie Finansów - "stoi" darmowy firewall.

Niektórzy informatycy, jakby przeczuwając krytykę tego typu rozwiązań, ograniczają się do stwierdzenia, że używają unixowego firewalla, co w 99% przypadków oznacza, że używają właśnie Linuxa. Komercyjne rozwiązania są bowiem bardzo drogie, dobry firewall kosztuje zazwyczaj więcej niż 10 tys. USD. Instalacja darmowej wersji Linuxa istnieje na przykład w Ministerstwie Finansów, gdzie cała sieć pracuje pod kontrolą Boss Unix autorstwa Bulla, serwer pocztowy działa na Windows NT, a firewall na Linuxie. W Ministerstwie Finansów pracuje ponad 700 maszyn, podzielonych na grupy robocze.

"Czy są modemy dostępowe? Czy realizowane są usługi FTP, Telnet? Czy działa serwer pocztowy" - na te wszystkie pytania Michał Zalewski, dyrektor Departamentu Informatyki Ministerstwa Finansów, odpowiada twierdząco. Piotr Osóbka, odpowiedzialny m.in. za bezpieczeństwo ministerialnej sieci, zdaje sobie sprawę, że w niekomercyjnych rozwiązaniach, od których nie można żądać całkowitej pewności, dużo łatwiej jest np. podejrzeć (sniffing) port Telnetu i w ten sposób atakować sieć. "Staramy się nie narzekać" - dodaje. Wspomina też, że unixowy LAN ma poziom bezpieczeństwa C2.

Pistolet TP SA i inne

Najczęściej wykorzystywanym narzędziem przez polskich hakerów jest bezpłatny numer Telekomunikacji Polskiej SA. Majowe włamanie do serwera WWW Biura Informacyjnego Rządu odbyło się właśnie za pośrednictwem centrali TP SA, która wszystkich chętnych łączy z Internetem, nie żądając przy tym identyfikacji. "Oczywiście prowadzimy monitoring wszystkich operacji na serwerze, ale mamy świadomość, że na niewiele to się zdaje, gdy ktoś dzwoni do nas, korzystając właśnie z bezpłatnego numeru Telekomunikacji" - tłumaczy Zbigniew Jabłoński.

W sejmowych archiwach informacje o poszczególnych operacjach składowane są 2 miesiące. Jednak Sejm i Senat należą do wyjątków. Sporządzanie audytu jest czasochłonne i kosztowne, gdyż tylko na ten cel należy wygospodarować megabajty wolnej powierzchni dyskowej.

Włamywacze korzystają też z niefrasobliwości użytkowników. Co prawda sieć KBN (Novell NetWare, IPX) i serwer pocztowy (POP) pracują w zupełnie innych protokołach, to jednak nikt nie może z całą pewnością stwierdzić, że każdy użytkownik korzysta z różnych dla obu systemów zestawów haseł. "Nie da się bowiem - jak słusznie zauważa Borys Czerniejewski - stać nad użytkownikiem, kiedy wprowadza nowe hasło".

Haker nie dba o to, czy dane ministerstwo ma serwer WWW. Zawsze może sprawdzić, czy użytkownicy np. Ministerstwa Finansów korzystają z usług SMTP, Telnet lub FTP.

Walkę z hakerami jeden z przedstawicieli administracji rządowej określił "wojną łat". Ocenia się bowiem, że na każde 100 linii kodu systemu operacyjnego, bezbłędnie napisanych jest mniej niż 10. Włamywacze starają się poznać słabe miejsca w systemie, a administratorzy "załatać" je za pomocą nadesłanych przez producentów aplikacji tzw. patchy. Dobry administrator pracuje podobnie jak dobry haker. Na bieżąco sprawdza serwisy informacyjne w poszukiwaniu wykrytych "dziur" systemowych i sposobów ich "załatania". "Łaty" jednak czasami również zawierają błędy, z czego zdaje sobie sprawę Zbigniew Jabłoński, którego specjaliści wdrożyli wersję Linuxa z własnoręcznie poprawionym kodem źródłowym. Pytanie, które zapewne zadają sobie teraz sejmowi informatycy, brzmi: "Ile poprawiona wersja zawiera błędów".

Mechanizm wykorzystania "dziury" w systemie łatwo zrozumieć na przykładzie serwera IIS Microsoftu, który stosuje specjalne programy Active Server Pages, np. formatujące strony WWW. Jeszcze do niedawna po podaniu adresu z nazwą pliku .asp i znakami "/." serwer natychmiast umożliwiał przejrzenie kodu źródłowego aplikacji. Jeśli ktoś dobrze trafił, w pliku .asp mógł znaleźć odwołanie do serwera SQL, zawierające hasło i login użytkownika mającego prawo dostępu do tej bazy.

UOP nie odpowiada

"To był zwykły hacking " - komentuje majowe włamanie do serwera WWW Biura Informacyjnego Rządu Andrzej Karp, kierownik sekcji ds. przestępczości komputerowej w Komendzie Głównej Policji. Przyznaje, że sprawę zna z gazet i krążących po mieście plotek, ale nie wydaje mu się ona zbyt poważna. "Merytorycznie się tym nie zajmujemy, bo od tego są odpowiednie służby" - twierdzi Andrzej Karp. Urząd Ochrony Państwa na pytanie o bezpieczeństwo sieci i instytucji centralnych, odmawia odpowiedzi.

Klasa Mitnick

W Polsce nie ma jeszcze włamywaczy klasy Kevina Mitnicka lub Kevina Poulsena. Nawet gdyby tak było, to nie wypromowała ich do tej pory prasa ani nie wytropiła prokuratura. Brak też specjalistów od bezpieczeństwa sieciowego, ponieważ do br. nie było poważniejszych włamań do instytucji centralnych.

Na świecie przełomem w bezpieczeństwie sieci było stworzenie przez Dana Farmera i Wietse Venema, jego kolegę z Eindoven Iniversity of Technology w Holandii, unixowej aplikacji o przewrotnej nazwie Satan, która pełni funkcję skanera dowolnego serwera sieci Internet lub intranet. Satan działa na podstawie bazy błędów, dziur systemowych, na obecność których testuje podany serwer w sieci. Jego poprzednikiem był stworzony 8 lat temu program Cops, którego działanie było jednak ograniczone do jednego, lokalnego serwera.

W grudniu ub.r. Dan Farmer skorzystał z uaktualnionej wersji Satana, by sprawdzić ponad 1700 serwerów banków, towarzystw ubezpieczeniowych, agencji federalnych i producentów pornografii na okoliczność występowania błędów w zabezpieczeniach. Dwie trzecie z nich - zdaniem Dana Farmera - zarządzane było przepełnionym błędami oprogramowaniem, które narażało właściciela i użytkowników serwera na poważne straty.

Dan Farmer nigdy nie opublikował listy sprawdzanych przez siebie domen. Nie przeszkodziło to jednak jego krytykom zwrócić uwagę, że sprawdzanie bezpieczeństwa cudzych serwerów nie jest w porządku. Dziś Farmer przyznaje, że "gdyby ktoś zwiedzał jego ulicę w poszukiwaniu dających się otworzyć drzwi, nie byłby zachwycony". Ktoś - dodaje Farmer - musi to jednak zrobić, aby udowodnić ludziom, komu wysyłają numery swoich kart kredytowych. Akcja "internetowego guru" - jak nazywają go teraz Amerykanie - udowodniła, że 68% serwerów bankowych i 70% wydawnictw nie jest bezpieczna w Internecie. Na 1700 testowanych przez Farmera domen, administratorzy jedynie czterech z nich zainteresowali się, że ktoś próbuje podglądać ich sieć.

Obecnie Dan Farmer pracuje nad oprogramowaniem, które nie tylko będzie testować domenę w poszukiwaniu ewentualnych "dziur", ale również ściągać z sieci odpowiednie oprogramowanie do ich "załatania".


TOP 200