Włamanie w standardzie

Standardowe ustawienia są równie pożyteczne, co szkodliwe. Dzięki nim łatwiej żyje się nie tylko administratorom, ale także włamywaczom.

Standardowe ustawienia są równie pożyteczne, co szkodliwe. Dzięki nim łatwiej żyje się nie tylko administratorom, ale także włamywaczom.

BIOS, setup, password, admin - każdy administrator zna te zwroty. To standardowe hasła otwierające wiele furtek, według niektórych przestarzałe, ale jak pokazują aktualne doniesienia - jednak nie. Haker brytyjskiego pochodzenia Gary McKinnon został oskarżony o włamania i działanie na szkodę systemów informatycznych rządu USA. Groteską jest fakt, że McKinnon włamał się bez użycia jakichkolwiek programów hakerskich, exploitów, backdoorów itp. - po prostu wcisnął przycisk ENTER, który, jak się okazało - jest magicznym kluczem do 5 tys. komputerów w placówkach NASA, Marynarki i Sił Powietrznych USA.

Co znaczy: bezpiecznie

Słowo "password" to standardowe hasło do większości modeli stacji bazowych WLAN i routerów należącej do Cisco Systems firmy Linksys. Nie tylko jej, oczywiście. Przy awaryjnym restarcie ustawień, który może się stać wskutek skoku napięcia, nawet zmienione hasło jest resetowane. Ponieważ skoki napięcia zdarzają się dosyć często, administratorom nie chce się ponownie zmieniać haseł za każdym razem. Hasło standardowe musi istnieć, aby administratorzy mogli bez problemu skonfigurować nowe urządzenie.

Tego faktu nie będziemy potępiać, problem powstaje wtedy, gdy administrator stwierdza, że hasło standardowe go zadowala i nie widzi potrzeby jego zmiany. W takiej sytuacji każdy, nawet najbardziej początkujący haker-amator jest w stanie uzyskać dostęp do sieci bezprzewodowej. Problem standaryzacji w sieciach bezprzewodowych dotyczy także innych opcji konfiguracyjnych. Jeden klucz WEP - identyczny dla wielu urządzeń - może spowodować złamanie zabezpieczeń całej sieci. Takich problemów można i należy unikać.

Standaryzacja staje się problemem na przykład tam, gdzie zmiana hasła jest zawiłą procedurą, a nie prostą operacją. Takim przykładem może być router Cisco, w którym zmiana hasła wymaga pewnej głębszej wiedzy z konfiguracji takiego urządzenia. Standardowo routery Cisco serii 16xx, 17xx nie posiadają hasła na połączenie telnet do poziomu użytkownika. Założenie takiego hasła wymaga pewnej wiedzy i wstukania kilku komend. Bardzo często przerasta to "zwykłego informatyka" w firmie, która na co dzień nie zajmuje się zawodowo informatyką (choć nie jest to regułą). Panuje myślenie defensywne: po co sprawiać sobie więcej problemów, jeszcze przestanie działać...

Im urządzenie jest trudniejsze do konfiguracji, tym większe prawdopodobieństwo standaryzacji haseł. Przykład: telefonia IP firmy Mitel. Centrala typu 3300 posiada standardowo użytkownika "system", hasło "password", ale nawet "chętny" administrator szybko może się zniechęcić w sprawie zmiany hasła, ponieważ jest ono tak trudne do znalezienia. W gąszczu ok. 400 opcji ciężko znaleźć to co nas interesuje. Wielu administratorów rezygnuje po 15 minutach. Nikt nie będzie szukać w handbooku opisu "zmiana hasła", bo nie wypada doświadczonemu informatykowi, a poza tym - nie ma tam opisanej takiej procedury, więc straciłby czas.

Przykład McKinnona pokazuje, że możliwe jest znalezienie 5 tys. komputerów, które posiadają puste hasła. Przy masowych instalacjach wiele osób skupia się na kontrolerach domen (Active Directory), a zapomina o hasłach lokalnych administratorów stacji roboczych - często pozostawiając je w standardowej postaci. Oczywiście zawinił tutaj czynnik ludzki.

Głównym grzechem administratorów środowisk Unix jest pozostawienie w systemach kont użytkowników typu nobody, daemon, news, uucp, games lub innych - choć nie są używane. Większość dystrybucji systemu Linux blokuje dostęp dla użytkowników o takich nazwach. Tam, gdzie dojdzie do pomyłki lub zapomnienia, konta te zostaną prędzej czy później wykorzystane jako ciche wejście przez hakerów. Administratorzy systemów Unix i Linux zapominają też o tym, że pożyteczna jest zmiana domyślnych ustawień. Magazynowanie logów w jednym katalogu, standardowe ścieżki do plików konfiguracyjnych, używanie daemonów na standardowych portach - to także może ułatwić pracę hakerowi.

Tymczasem czynność tak prosta, jak zmiana katalogu tymczasowego (/tmp), na np. (/var/anty/tmp), może zablokować działanie wielu programów służących do włamań (tzw. mass rooters), ponieważ używają one statycznie stałej ścieżki /tmp. O ile w Windows możliwości modyfikacji standardowych parametrów są nieco utrudnione (choć dla doświadczonych - możliwe), o tyle w systemach open source można zmodyfikować praktycznie wszystko: globalne ustawienia systemowe, konfigurację jądra, zmianę lokalizacji i sposobu działania kluczowych usług, z przepisaniem i rekompilacją części funkcji włącznie.

Problem z planowaniem

Informatyk, który w całej firmie używa tylko jednego rodzaju serwera WWW lub serwera poczty, ulega pokusie standaryzacji, nawet o tym nie wiedząc! Każdy nawyk, standard, powinien być zatem dla zasady zmieniany. Zachwyt jednym produktem prowadzi do skupiania się tylko na nim, jego funkcjonalności, konfiguracji i możliwościach. Po pewnym czasie, dla wygody, standaryzacji ulegają ustawienia konfiguracyjne, aż wreszcie hasła i zabezpieczenia. To zaś prosta droga do kłopotów.

Dlaczego? Wystarczy odnaleźć jedną lukę, w jednej usłudze - powiedzmy w serwerze poczty, by móc zainfekować lub wykorzystać do wysyłania spamu wszystkie. O problemach standaryzacji przekonali się nawet sami hakerzy. Tworząc backdoory/rootkity działające na standardowych portach dowiedzieli się, że ich "zdobycze" mogą im być łatwo odebrane przez sprytniejszych po fachu.

Standaryzacja daje o sobie znać, gdy mamy do czynienia z atakami DDoS. Z jednej strony, atakujący liczą, że trafią na standardowo skonfigurowany system. Z drugiej, sami wykorzystują standaryzację (standardowe porty usług), przez co dają się łatwo namierzyć. Ale hakerzy już poszli po rozum do głowy - tworząc programy, które numery portów wybierają losowo, albo też działają w trybie na żądanie - otwierając wskazane porty po przesłaniu odpowiedniej sekwencji ICMP lub TCP.

Praktyki stosowane przez szacowne i zdawałoby się świadome w dziedzinie bezpieczeństwa firmy i instytucje szokują beztroską w dziedzinie standaryzacji. Instytucje takie jak NASA posiadają sztab specjalistów tylko w centrali, gdzie tworzą oni systemy proste w instalacji, zawierające gotowe ustawienia - mowa tutaj o zaporach z funkcją NAT, często działających na systemach Solaris ze standardowymi hasłami, które nigdy nie zostały zmienione.

W Polsce można zaobserwować bardzo częste pozostawianie standardowych haseł przez firmy zewnętrzne. Firmy tworzące oprogramowanie przy implementacji często pozostawiają standardowe hasło, zostawiając jego zmianę w gestii klienta. W takim przypadku ktoś kto właśnie otrzymał nowy program do obsługi księgowości z hasłem 123 nie zmienia go, ponieważ boi się coś zepsuć, nie mając zazwyczaj dostatecznie dobrego (o ile w ogóle) informatycznego przeszkolenia.


TOP 200