Vlákno názorů k článku
Nezabezpečený server byl napaden bankovními podvodníky od nick carter - A ted by me zajimal dalsi postup. Zjevne...

A ted by me zajimal dalsi postup. Zjevne se jedna o nezakonny prunik do systemu, zjevne tam jsou i stopy, vedouci k pachateli, takze jak by se dale melo postupovat ? Existuje u nas utvar policie, ktery by se timto zabyval ? Existuje SANCE, ze by se timto nekdo zabyval ? Jak sam pisete, internet je divoky zapad a zatim mi prijde, ze veskere trestne ciny, ktere se tu den co den odehravaji (pouze sledovani bezpecnostniho logu webserveru mi ukazuje nekolik pokusu o prunik behem jedine hodiny !), tak nejak nikdo neresi s tim, ze je to stejne z ciziny, nebo ze je to "problem". Mate jine informace ci zkusenosti ? Napadl nekdo vas server a uspeli jste u policie ?

myslis tu policii co krade penezenky? bozinku ty jsi naivni

no jo, ale znas jinou?

V tomto konkrétním případu jsme sice provedli forenzní analýzu serveru a zajistili dokumentaci, ale použili jsme ji jen pro naše interní potřeby. Naší motivací nebylo "honit hackery", nechtěli jsme tím zpochybnit technickou rovinu pokusu a ani v budoucnu neplánujeme podobné akce - dle mého názoru není etické nastavovat pasti a pak pronásledovat útočníky. Další věc: nejsme si jisti a ani jsme neřešili, zda napadení úmyslně nastraženého honeypot serveru je trestným činem.

V případech ostatních bezpečnostních incidentů doporučuji následující postup:
1) Zvážit, zda chcete rychle zprovoznit systém nebo "honit útočníka", tyto dva cíle jsou totiž obvykle v rozporu. Tato úvaha by měla být provedena už předem v rámci plánů na zvládání bezpečnostních incidentů.
2) Pokud chcete dopadnout hackera a nebojíte se o data, server kvůli možné odpovědnosti za škodu odpojte od sítě, ale jinak na něj vůbec nesahejte a ani ho nevypínejte. Kontaktujte Policii, ta by měla disponovat specialisty na analýzu incidentů.

Ondřej Suchý, LOGIOS

"Další věc: nejsme si jisti a ani jsme neřešili, zda napadení úmyslně nastraženého honeypot serveru je trestným činem."

no, pak by se dalo take polemizovat ale o tom, jestli je prunik do nezabezpeceneho ale produkcniho serveru take vubec trestny cin. Bud je trestnym cinem proniknout do jakehokoliv serveru (at se o nej staram nebo nestaram, a kdyz se o nej nestaram, tak at je to z lenosti nebo schvalne jako pasticka), nebo to trestnym cinem neni a je to jen muj pruser, kdyz mi tam nekdo vleze. Nebo chcete rict, ze kdyz si koupim auto pro testovani kradezi aut a nedam tam zadny zabezpeceni (samozrejme ho zamknu) a oni mi ho ukradnou, tak nemuzu jit na policii a chtit, aby to vysetrili?

Samozrejme, kdyz vystavim server a napisu na web rootovsky heslo, to nemuzu cekat, ze pak bude "prunik" nekdo vysetrovat:)

S tym bodom 2 nesuhlasim. V prvom rade:
Neodpojit server od siete pred jeho vypnutim! Velmi pravdepodobne (na plne ovladnutom serveri) bude bezat nejaky monitor dostupnosti siete, a dlhsie prerusenie pristupu na net by mohol vyhodnotit ako prezradenie, a zacat "zametat stopy".

V prvom rade odporucam zistit procesy ktore bezia (to nemusi byt lahke ani s externou binarkou, nakolko to moze byt uz zablokovane a odfiltrovane), a potom vypnut server. Nie shutdown, tvrdo vypnut, vytiahnut kabel zo siete. O nejake data sa moze prist, ale vzdy lepsie, ako keby bol na shutdown-e tiez zaveseny daky monitor a po pokuse o vypnutie zacal mazat. Po zhodeni serveru vybrat disk, vlozit do ineho kompu a hned si spravit image kazdej particie (vratane swapu). Disk potom odlozit, a pracovat len s tymi obrazmi.

Na zaver: vazne si myslite, ze policia ma ludi ktori by dokazali urobit poriadnu analyzu? Odporucam spravit si to sam a vysledky s podrobnym postupom dat k dispozicii polisom. Vela dobrych informacii o tom, ako sa robi forensic analysis sa da najst na honeypot.net

Odpojit či neodpojit vždy bude předmětem diskuze. Já se přimlouvám za "odpojit". Pokud server odpojíte, riskujete poškození svého serveru nebo zametení stop - pokud byl hacker tolik paranoidní, že tam něco takového zabudoval. Pokud server neodpojíte, riskujete útoky na další servery nebo jinou trestnou činnost. A podstatná připomínka: jako občan i firma odpovídáte za škodu. Když někdo přijde a řekne "podívejte se, mně někdo vyřadil systém produkující zisk N Kč týdně, a to z vašeho serveru a v době, kdy vy jste už věděl, že je napadený a odchází z něj pokusy o neoprávněný přístup", můžete mít potíže. A dovoluji si tvrdit, že v dnešní době je pravděpodobnější, že budete spíš zdrojem

Ad policie: zřejmě budete mít problém přesvědčit kohosi na služebně, aby se to začalo řešit tím správným způsobem. Na druhou stranu vím, že Policie schopné lidi k dispozici má. Nejspíš to budou externí znalci a ne přímo policisté, a nejspíš je budou používat jen v případech s vysokou společenskou nebezpečností. Ale to už spekuluji. Ondřej Suchý, LOGIOS

Poskodenie ci zametenie stop nehrozi, aj ked server drsne "zhodim" bez shutdown (ext3/reiserfs to poriesi). BTW, ja som nepolemizoval ci odpojit alebo nie, ale co robit, ak ma clovek podozrenie, ze server bol hacknuty. Moj nazor je okamzite ho zhodit (najprv skusit pozriet co za procesy bezia). Odpojit a nechat bezat, to mi nedava zmysel. Rozhodne som pocul uz o takych pripadoch, ked odpojenim napadnuteho servera (pripadne spustenim shutdown-u) sa spustil nejaky skript na "pozametanie". Je to skratka trigger, ktory moze hacker vyuzit.

Co sa tyka policie, ok, mate ju asi na vyssej urovni. U nas som pocul ze panduri odniesli na expertizu ohladom nelegalneho software aj bezdiskove stanice-terminaly. Kazdopadne by som si tu analyzu urobil sam ,a pripadne porovnal s tym, co "vyrobia" ti policajni experti. Ale to je len moj nazor. Prajem pekny den/vecer!

tezko rict, jestli by dukazy ziskane vlastni analyzou nejakej soud uznal.

to neni tak uplne pravda. tuto povinnost clovek ma pouze u presne vymezene skupiny zavaznych trestnych cinu, jako jsou vrazdy apod.
povinnost reagovat na kazde podezreni ze spachani trestneho cinu maji pouze policiste

Domnívám se že vaše jednání bylo naprosto etické. Rozběhali jste server a ten byl napaden útočníkem. Je vaše právo oznámit tento trestný čin policii. Je jedno že tento server běžel jako pokusně nezabezpečený. Mírný rozdíl by mohl být v tom, pokud by daný útočník neudělal ony stránky chytající hesla, ale pouze oznámil chyby (v tomto případě asi více chyb) admino, nicméně toto se nestalo a útočník měl jednoznačně škodlivý úmysl. Zajímalo by mě, jak by jste se na útočníka dívali, pokud by to byl spammer a chtěl by si z vašeho počítače vyrobit zombie.

Co se mi doneslo, tak náš útvar počítačové kriminality má několik jedinců. Na celou republiku a na všechny podvody... s bankovními kartami počínaje a s digitálně falšovanými podpisy konče.
Když jeden z těch policajtů byl na mezinárodní konferenci, tak se ho ptali kolik jich to dělá.. 2x se ho ptali jestli se nepřeslechli.. tu první číslici.. tedy tu na pozici stovek.. jenže ta tam nebyla. :-D

Mit v Cesku stovky specializovanych policistu na pocitacovou kriminalitu, to by byl hodne velky luxus.

Jo, u policie uspejete. Budete si o tom povidat s clovekem, ktery nezna vyznam zkratky DNS a pripad se bude vysetrovat klasicky - po dvou mesicich si vas pozvou na pohovor, jestli jste to nahodou neudelal vy, nebo nekdo z vasi firmy (ackoliv maji k dispozoci od zacatku report s ipckama, casem, vsim, co se delo od zacatku do konce a dokonce jmenem mozneho pachatele).

a pokud do toho nezabezpeceneho auta nekdo vleze a vynda vam zapomenute klicky ze zapalovani a necha vzkaz, ze je proti prokazani totoznosti najdete dostane vedle v kramu nebo ze je mate ve sve dopisni schrance, take je to trestny cin?

dekuji vsem za rozvinutou diskusi, ale trochu se to stocilo jinam, nez jsem predpokladal, a to do roviny diskuse co JE a co NENI trestny cin. Podle meho (a mam na mysli konkretni pripad), pokud se nekdo naboura do nejakeho systemu, a rekneme smaze veskera data tam umistena, nebo je jakkoliv upravi (oblibene hackerske modifikace stranek, casto destruktivni), jedna se o trestny cin (ale nechci zabihat do podrobnosti). Jak tu zaznelo, policie NEMA dostatek lidi a resi pripady s velkou nebezpecnosti. Coz je dost zarazejici, stejne jako kdyby vam ukradli auto, a policie vam rekla, ze to resit nebude, protoze oni resi jen vrazdy a pedofilni uchylaky, protoze TI jsou spolecensky nebezpecni, zatimco nejake vase auto jim muze byt ukradene. Doslova a do pismene. Myslim si, ze vyse popsane ciny proti datum na nejakem pocitaci mohou mit stejne, ne li vyssi financni dusledky, jako kradez auta, a stejne tak nebezpecnost (uvazujme, ze se hacker naboura treba na server nejakeho obchodu, a ziska nejake informace o zakaznicich). Jak je potom postup policie obhajitelny ? Opravdu bych ocenil dalsi diskusi na toto tema, nebo spise konkretizovani toho, jak se to vlastne v nasem state ma. Zaznamenavam opravdu velke mnozstvi pokusu o prunik do systemu, asi jako mnohy dalsi administrator, a prijde mi, ze se proti tomu nic nedela, ackoliv je to stejny druh kriminality, jako kapsari v centru Prahy ...