Nezabezpečený server byl napaden bankovními podvodníky

A ted by me zajimal dalsi postup. Zjevne se jedna o nezakonny prunik do systemu, zjevne tam jsou i stopy, vedouci k pachateli, takze jak by se dale melo postupovat ? Existuje u nas utvar policie, ktery by se timto zabyval ? Existuje SANCE, ze by se timto nekdo zabyval ? Jak sam pisete, internet je divoky zapad a zatim mi prijde, ze veskere trestne ciny, ktere se tu den co den odehravaji (pouze sledovani bezpecnostniho logu webserveru mi ukazuje nekolik pokusu o prunik behem jedine hodiny !), tak nejak nikdo neresi s tim, ze je to stejne z ciziny, nebo ze je to "problem". Mate jine informace ci zkusenosti ? Napadl nekdo vas server a uspeli jste u policie ?

myslis tu policii co krade penezenky? bozinku ty jsi naivni

no jo, ale znas jinou?

V tomto konkrétním případu jsme sice provedli forenzní analýzu serveru a zajistili dokumentaci, ale použili jsme ji jen pro naše interní potřeby. Naší motivací nebylo "honit hackery", nechtěli jsme tím zpochybnit technickou rovinu pokusu a ani v budoucnu neplánujeme podobné akce - dle mého názoru není etické nastavovat pasti a pak pronásledovat útočníky. Další věc: nejsme si jisti a ani jsme neřešili, zda napadení úmyslně nastraženého honeypot serveru je trestným činem.

V případech ostatních bezpečnostních incidentů doporučuji následující postup:
1) Zvážit, zda chcete rychle zprovoznit systém nebo "honit útočníka", tyto dva cíle jsou totiž obvykle v rozporu. Tato úvaha by měla být provedena už předem v rámci plánů na zvládání bezpečnostních incidentů.
2) Pokud chcete dopadnout hackera a nebojíte se o data, server kvůli možné odpovědnosti za škodu odpojte od sítě, ale jinak na něj vůbec nesahejte a ani ho nevypínejte. Kontaktujte Policii, ta by měla disponovat specialisty na analýzu incidentů.

Ondřej Suchý, LOGIOS

"Další věc: nejsme si jisti a ani jsme neřešili, zda napadení úmyslně nastraženého honeypot serveru je trestným činem."

no, pak by se dalo take polemizovat ale o tom, jestli je prunik do nezabezpeceneho ale produkcniho serveru take vubec trestny cin. Bud je trestnym cinem proniknout do jakehokoliv serveru (at se o nej staram nebo nestaram, a kdyz se o nej nestaram, tak at je to z lenosti nebo schvalne jako pasticka), nebo to trestnym cinem neni a je to jen muj pruser, kdyz mi tam nekdo vleze. Nebo chcete rict, ze kdyz si koupim auto pro testovani kradezi aut a nedam tam zadny zabezpeceni (samozrejme ho zamknu) a oni mi ho ukradnou, tak nemuzu jit na policii a chtit, aby to vysetrili?

Samozrejme, kdyz vystavim server a napisu na web rootovsky heslo, to nemuzu cekat, ze pak bude "prunik" nekdo vysetrovat:)

S tym bodom 2 nesuhlasim. V prvom rade:
Neodpojit server od siete pred jeho vypnutim! Velmi pravdepodobne (na plne ovladnutom serveri) bude bezat nejaky monitor dostupnosti siete, a dlhsie prerusenie pristupu na net by mohol vyhodnotit ako prezradenie, a zacat "zametat stopy".

V prvom rade odporucam zistit procesy ktore bezia (to nemusi byt lahke ani s externou binarkou, nakolko to moze byt uz zablokovane a odfiltrovane), a potom vypnut server. Nie shutdown, tvrdo vypnut, vytiahnut kabel zo siete. O nejake data sa moze prist, ale vzdy lepsie, ako keby bol na shutdown-e tiez zaveseny daky monitor a po pokuse o vypnutie zacal mazat. Po zhodeni serveru vybrat disk, vlozit do ineho kompu a hned si spravit image kazdej particie (vratane swapu). Disk potom odlozit, a pracovat len s tymi obrazmi.

Na zaver: vazne si myslite, ze policia ma ludi ktori by dokazali urobit poriadnu analyzu? Odporucam spravit si to sam a vysledky s podrobnym postupom dat k dispozicii polisom. Vela dobrych informacii o tom, ako sa robi forensic analysis sa da najst na honeypot.net

Odpojit či neodpojit vždy bude předmětem diskuze. Já se přimlouvám za "odpojit". Pokud server odpojíte, riskujete poškození svého serveru nebo zametení stop - pokud byl hacker tolik paranoidní, že tam něco takového zabudoval. Pokud server neodpojíte, riskujete útoky na další servery nebo jinou trestnou činnost. A podstatná připomínka: jako občan i firma odpovídáte za škodu. Když někdo přijde a řekne "podívejte se, mně někdo vyřadil systém produkující zisk N Kč týdně, a to z vašeho serveru a v době, kdy vy jste už věděl, že je napadený a odchází z něj pokusy o neoprávněný přístup", můžete mít potíže. A dovoluji si tvrdit, že v dnešní době je pravděpodobnější, že budete spíš zdrojem

Ad policie: zřejmě budete mít problém přesvědčit kohosi na služebně, aby se to začalo řešit tím správným způsobem. Na druhou stranu vím, že Policie schopné lidi k dispozici má. Nejspíš to budou externí znalci a ne přímo policisté, a nejspíš je budou používat jen v případech s vysokou společenskou nebezpečností. Ale to už spekuluji. Ondřej Suchý, LOGIOS

Poskodenie ci zametenie stop nehrozi, aj ked server drsne "zhodim" bez shutdown (ext3/reiserfs to poriesi). BTW, ja som nepolemizoval ci odpojit alebo nie, ale co robit, ak ma clovek podozrenie, ze server bol hacknuty. Moj nazor je okamzite ho zhodit (najprv skusit pozriet co za procesy bezia). Odpojit a nechat bezat, to mi nedava zmysel. Rozhodne som pocul uz o takych pripadoch, ked odpojenim napadnuteho servera (pripadne spustenim shutdown-u) sa spustil nejaky skript na "pozametanie". Je to skratka trigger, ktory moze hacker vyuzit.

Co sa tyka policie, ok, mate ju asi na vyssej urovni. U nas som pocul ze panduri odniesli na expertizu ohladom nelegalneho software aj bezdiskove stanice-terminaly. Kazdopadne by som si tu analyzu urobil sam ,a pripadne porovnal s tym, co "vyrobia" ti policajni experti. Ale to je len moj nazor. Prajem pekny den/vecer!

tezko rict, jestli by dukazy ziskane vlastni analyzou nejakej soud uznal.

to neni tak uplne pravda. tuto povinnost clovek ma pouze u presne vymezene skupiny zavaznych trestnych cinu, jako jsou vrazdy apod.
povinnost reagovat na kazde podezreni ze spachani trestneho cinu maji pouze policiste

Domnívám se že vaše jednání bylo naprosto etické. Rozběhali jste server a ten byl napaden útočníkem. Je vaše právo oznámit tento trestný čin policii. Je jedno že tento server běžel jako pokusně nezabezpečený. Mírný rozdíl by mohl být v tom, pokud by daný útočník neudělal ony stránky chytající hesla, ale pouze oznámil chyby (v tomto případě asi více chyb) admino, nicméně toto se nestalo a útočník měl jednoznačně škodlivý úmysl. Zajímalo by mě, jak by jste se na útočníka dívali, pokud by to byl spammer a chtěl by si z vašeho počítače vyrobit zombie.

Co se mi doneslo, tak náš útvar počítačové kriminality má několik jedinců. Na celou republiku a na všechny podvody... s bankovními kartami počínaje a s digitálně falšovanými podpisy konče.
Když jeden z těch policajtů byl na mezinárodní konferenci, tak se ho ptali kolik jich to dělá.. 2x se ho ptali jestli se nepřeslechli.. tu první číslici.. tedy tu na pozici stovek.. jenže ta tam nebyla. :-D

Mit v Cesku stovky specializovanych policistu na pocitacovou kriminalitu, to by byl hodne velky luxus.

Jo, u policie uspejete. Budete si o tom povidat s clovekem, ktery nezna vyznam zkratky DNS a pripad se bude vysetrovat klasicky - po dvou mesicich si vas pozvou na pohovor, jestli jste to nahodou neudelal vy, nebo nekdo z vasi firmy (ackoliv maji k dispozoci od zacatku report s ipckama, casem, vsim, co se delo od zacatku do konce a dokonce jmenem mozneho pachatele).

a pokud do toho nezabezpeceneho auta nekdo vleze a vynda vam zapomenute klicky ze zapalovani a necha vzkaz, ze je proti prokazani totoznosti najdete dostane vedle v kramu nebo ze je mate ve sve dopisni schrance, take je to trestny cin?

dekuji vsem za rozvinutou diskusi, ale trochu se to stocilo jinam, nez jsem predpokladal, a to do roviny diskuse co JE a co NENI trestny cin. Podle meho (a mam na mysli konkretni pripad), pokud se nekdo naboura do nejakeho systemu, a rekneme smaze veskera data tam umistena, nebo je jakkoliv upravi (oblibene hackerske modifikace stranek, casto destruktivni), jedna se o trestny cin (ale nechci zabihat do podrobnosti). Jak tu zaznelo, policie NEMA dostatek lidi a resi pripady s velkou nebezpecnosti. Coz je dost zarazejici, stejne jako kdyby vam ukradli auto, a policie vam rekla, ze to resit nebude, protoze oni resi jen vrazdy a pedofilni uchylaky, protoze TI jsou spolecensky nebezpecni, zatimco nejake vase auto jim muze byt ukradene. Doslova a do pismene. Myslim si, ze vyse popsane ciny proti datum na nejakem pocitaci mohou mit stejne, ne li vyssi financni dusledky, jako kradez auta, a stejne tak nebezpecnost (uvazujme, ze se hacker naboura treba na server nejakeho obchodu, a ziska nejake informace o zakaznicich). Jak je potom postup policie obhajitelny ? Opravdu bych ocenil dalsi diskusi na toto tema, nebo spise konkretizovani toho, jak se to vlastne v nasem state ma. Zaznamenavam opravdu velke mnozstvi pokusu o prunik do systemu, asi jako mnohy dalsi administrator, a prijde mi, ze se proti tomu nic nedela, ackoliv je to stejny druh kriminality, jako kapsari v centru Prahy ...

No, s tím trestným činem by to nebylo tak jednoduché... Náš zákon totiž ukládá majiteli povinnost danou věc zabezpečit proti odcizení/zneužití, a důkazní břemeno, že daný předmět byl v době krádeže zajištěn je v tomto případě na straně poškozeného. Tedy podle auta: Jetliže Vám někdo ukradne auto, které jste si zapoměli zamknout, tak bude sice uznán z trestného činu nedovoleného užívání cizí věci, ale nikoliv krádeže, protože pro splnění podmínek krádeže by musel překonat technickou překážku (zámek), a to v daném případě splněno nebylo. Patrně by Vám soud ani nepřiřkl nárok na náhradu vzniklých škod, protože vzniklou škodu jste si způsobili sami vlastní nedbalostí.

Přitom by měl ale provozovatel zmínit, že systém byl udělán tak, aby tuto možnost umožňoval, a tím se dostáváte na dosti tenký led...

Jj, ale to by bylo na dlouhou diskusi, protože těžiště problému je v tomto případě v definici dostatečného zabezpečení. Jistě víte, že pojišťovna Vám bude měnit výši pojistného podle množství bezpečnostních prvků a jejich úrovně. Jinak řečeno: lze za zabezpečené auto považovat takový vůz, jehož zámek lze odemknout hřebíkem (analogie slabého hesla)?
Ale na druhou stranu: Překonání již prvního a slabého zabezpečení je již podle zákona překonání technické překážkya tím i naplnění skutkové podstaty, další imobilizéry a zámky sice zvyšují šanci, že Vám s tím dotyčný neodjede, ale na skutkovou podstatu posouzení činu již nemají vliv (není větší zloděj proto, že překonal více překážek, velikost zlodějny se posuzuje podle výše škod, zisku a společenské nebezpečnosti, samozřejmě zanedbávám variantu, že odstraněním technické překážky může být také zastřelení vrátného, to by bylo úplně OT :)

Jestliže si vytisknu 500,- Kč, položím ji na chodník a schovám se do křoví a budu koukat, kdo ji sebere, tak nemohu příslušného sběrače obvinit z krádeže. Jestliže se ji ovšem sběrač pokusí uložit do banky, kde poznají že se jedná o falzifikát, mohu být obviněn z trestného činu padělání peněz.
Analogicky: Pokud na základě informací z honey-potu byl proveden úspěšný útok na kterýkoliv bankovní ústav, mohl by poškozený žalovat firmu Logios, že svým jednáním útok umožnila. S ohledem na právní praxi v našem státě bych to považoval za pravděpodobnější a s vyšším koeficientem úspěchu, než honit crackera, který honey-pot zneužil.

... čímž se dostáváme k právním rizikům provozu honeypot systémů. Každý (i firma) odpovídá za škodu a to nejen při provozu úmyslně nezabezpečených honeypot systémů.

My jsme si toho při testu byli vědomi, proto byl server 24h denně pod dohledem a odpojili jsme ho několik sekund poté, co jsme zjistili, že začalo rozesílání e-mailů. K realizaci žádného podvodu nedošlo, sotva stihlo odejít několik e-mailů, natož aby na ně někdo zareagoval vyplněním jména a hesla. Ale je to poučení - don't do that at home nebo aspoň bez důkladného dohledu.

Pro vaši informaci - dotčenou banku jsme upozornili. Nereagovala. V phishing archivech se dají přes Google najít desítky útoků namířených na tuto banku. Takže bych nutnost rozhýbávání nějaké trestní mašinerie neviděl zas tak radikálně.

Ondřej Suchý, LOGIOS

Rozhodně jsem nechtěl tvrdit, že pomáháte crackerům v práci ;), jen, jak píšete v první větě, jsem upozorňoval na poněkud problematický právní status honey-pot systémů, protože v našem právu pokud vím, takové systémy zohledněny nejsou a nejsou ani stanoveny zodpovědnosti a povinnosti provozovatele takového systému, vše se řídí běžnými zákony, které ovšem ne vždy reflektují charakter systému (vábnička :).

Oznamovací povinnost je mýtus. Oproti častému mínění jste povinni oznámit jen několik v Trestním zákoně výslovně vyjmenovaných trestných činů, namátkou vraždu, vlastizradu, genocidu a další rarity.