Čo sa stalo v Národnom bezpečnostnom úrade?

Internetová stránka blackhole.sk ponúkla v apríli na predaj tričká s nápisom "nbusr123" za 290 Sk. Nakoniec ich však autori nápadu vyrobiť nedali. Stovky sklamaných záujemcov mali v skutočnosti šťastie - heslo nbusr123 totiž ešte ďalšie tri mesiace ...

Kauza nbusr123 podnietila ľudovú tvorivost - tento obrázok parodujúci prístup NBÚ k bezpečnosti vytvoril čitateľ SME s prezývkou Leax.

Internetová stránka blackhole.sk ponúkla v apríli na predaj tričká s nápisom "nbusr123" za 290 Sk. Nakoniec ich však autori nápadu vyrobiť nedali. Stovky sklamaných záujemcov mali v skutočnosti šťastie - heslo nbusr123 totiž ešte ďalšie tri mesiace chránilo prístup do siete NBÚ a tak by sa nosením trička mohli vystaviť riziku trestného stíhania za ohrozenie utajovaných informácií.

Chyba prvá - heslo z tričiek
V apríli tohto roku hackeri prenikli do siete Národného bezpečnostného úradu (NBÚ). Získali kontrolu nad komunikačnou linkou a takisto aj prístup k poštovému serveru, z ktorého si skopírovali 36-tisíc e-mailov. Zároveň sa dostali aj do siete firmy Netlab, ktorá pre NBÚ zabezpečovala internetové pripojenie. Prieniky boli možné vďaka sérii vážnych zlyhaní ľudí zabezpečujúcich sieť NBÚ, z ktorých najznámejším sa stalo ľahko uhádnuteľné heslo "nbusr123".

Po tom, ako hackeri sami na svoj útok upozornili, NBÚ dieru zaplátal a zverejnené heslo zmenil. Týmto mal prípad pre verejnosť skončiť.

Minulý týždeň sa však ukázalo, že plátanie dier po aprílovom úniku nebolo až také dôkladné. Hackeri totiž zistili, že heslo nbusr123 bolo použité nielen v NBÚ, ale aj na routeroch (prístrojoch zabezpečujúcich internetové pripojenie) firmy Netlab, ktoré boli použité pre pripojenie siete NBÚ k internetu. Už použiť jedno heslo dvakrát je veľká nedbalosť, Netlab ho však podľa hackerov nezmenil ani po tom, ako sa objavilo vo všetkých novinách a na webe sa začali predávať recesistické tričká s veľkým nápisom nbusr123.

"Podľa mojich skúseností pokladám za celkom možné, že adminov z tej firmy možnosť takéhoto útoku (opätovným využitím toho istého hesla) jednoducho nenapadla," hovorí bezpečnostný audítor Jozef Vyskoč. "To však neospravedlňuje ponechanie mediálne známeho hesla v platnosti."

Chyba druhá - radšej pohodlie ako bezpečnosť
Samotné heslo by však na prienik nestačilo, ak by správcovia neurobili ďalšiu školácku chybu. Aby si uľahčili prácu a v prípade potreby zmeniť nastavenia routera nemuseli cestovať k nemu do slovenského peeringového centra (hlavného komunikačného uzla slovenského internetu), povolili k nemu prístup aj cez internet. Nenamáhali sa pritom obmedziť možnosť prístupu len na okruh vlastnej firmy, čo by bol štandardný postup, ale prístup jednoducho povolili každému, kto bude poznať heslo.

"Nevieme, či sú administrátori Netlabu naivní a tvrdohlavo žijú v tom, že existuje len dobro a treba mať všetko odvšadiaľ povolené, alebo sú len nekompetentní a jednoducho si nevedia nastaviť aspoň základné obmedzenia prístupu ku svojim zariadeniam," píšu hackeri. "Nedokážeme sa však vyrovnať s tým, že firma, ktorá má takto zabezpečenú vlastnú sieť, poskytuje konektivitu certifikačnej autorite, NBÚ a pravdepodobne Úradu aj spravuje sieť," uvádza sa v ich stanovisku.

Čo sa stalo v piatok?
Kombinácia chýb spôsobila, že hackeri mali zrejme už dlhší čas úplne voľný prístup k zariadeniam Netlabu - mohli sledovať všetky dáta, ktoré pretekali z NBÚ, čítať e-maily či dokonca meniť ich text a podobne.

Tento prístup sa rozhodli naplno využiť v piatok, keď niekoľkými jednoduchým príkazmi zakázali routeru prepúšťať smerom do NBÚ akékoľvek internetové dáta. Tým sa stala nedostupnou webová stránka Úradu, prestali mu fungovať e-maily a jeho zamestnanci sa nemohli pripojiť na internet. Hackeri nechali prístupnú len linku smerujúcu ku certifikačnej autorite, vravia, že v snahe nespôsobiť problémy ľuďom využívajúcim elektronický podpis.

Zároveň ponechali na serveri zálohu pôvodnej konfigurácie servera pod názvom "peace" ("mier"), aby mohla byť funkčnosť pripojenia rýchlo obnovená.

Tvrdenie NBÚ, že svoje servery vypol sám, môže byť aj podľa hackerskej verzie udalostí pravdivé - samotné servery priamo napadnuté neboli, nedokázali však komunikovať s okolím. Možno to prirovnať k situácii, keď by hackeri vytiahli kábel antény z televízora - televízoru by sa nič nestalo, ale ukazoval by len zrnenie. Či NBÚ servery vypol alebo nie teda nie je podstatné - ani keby nevypol, žiadne služby poskytovať nemohli.

Ťažko uveriteľné je však vysvetlenie úradu, že servery vypol v rámci plánovanej odstávky a nutnosti doplniť na webovú stránku nové informácie. Ak by to bola pravda, svedčilo by to o vysokej neprofesionalite správcov servera: vo svete fungujú tisícky bankových či komerčných serverov poskytujúcich oveľa dôležitejšie a citlivejšie služby, ako stránka NBÚ, ale správcovia žiadneho z nich nepotrebujú na doplnenie informácií niekoľkodňovú odstávku. NBÚ bol odpojený celú sobotu a nedeľu, a potom znova v pondelok poobede na celú noc.

V prospech verzie hackerov svedčí aj chronológia piatkových udalostí: v piatok totiž už o jednej hodine poobede informovali, že o štvrtej dôjde k závažnej udalosti a na 16.30 h si dohodli stretnutie s médiami. NBÚ bolo potom o 16.00 h na minútu presne naozaj odpojené. Hovorca úrad pritom v najbližšej hodine najskôr podával viaceré nejasné vysvetlenia, až kým prišiel s verziou o plánovanej odstávke.

Zodpovedá NBÚ za dodávateľov?
Hlavnú zodpovednosť za piatkové odpojenie NBÚ teda podľa všetkého nesie firma Netlab. S jej konateľom Jánom

Tóthom sa nám nepodarilo spojiť, podľa jeho zástupcu je na dovolenke v zahraničí a firma poskytne prípadné stanovisko najskôr budúci týždeň.

Podľa odborníkov však zlyhanie súkromnej firmy úplne nezbavuje NBÚ zodpovednosti za prienik. "NBÚ nemožno priamo obviňovať z toho, čo robí, prípadne nerobí poskytovateľ jeho internetového pripojenia," hovorí audítor bezpečnosti informačných systémov Jozef Vyskoč. "Vzhľadom na význam úradu by si však teoreticky mohol či priamo mal v zmluve položiť podmienky týkajúce sa bezpečnosti - napríklad, že firma umožní zamestnancom NBÚ presvedčiť sa o vykonaných bezpečnostných opatreniach, alebo sa pravidelne podrobí bezpečnostnému auditu," povedal.

Ďalší odborník, ktorý pracuje priamo pre firmu dodávajúcu zariadenia Netlabu, uviedol, že ho prekvapuje, že NBÚ si zvolil pre pripojenie práve takúto firmu. Netlab totiž patrí k malým internetovým providerom, kým expert by očakával, že "úrad ako NBÚ si zvolí veľkú firmu, ktorá vie stopercentne garantovať bezpečnosť."

"Prístroje, ktoré Netlab na pripojenie zrejme NBÚ použil, navyše ani nie sú na takýto účel stavané, takmer by sa dalo povedať, že to sú najlacnejšie krámy, ktoré sa dajú zohnať," dodal odborník, ktorý nechcel byť menovaný.

Hovorca NBÚ Ivan Goldschmidt uviedol, že úrad nebude technické detaily prieniku komentovať, nepriamo však potvrdil, že k útoku došlo naozaj až v sieti internetového providera. "Úrad predsa nemôže sledovať heslá u všetkých zmluvných partnerov," povedal na margo opätovného zneužitia hesla nbusr123. Na otázku, či úrad vyvodí voči Netlabu za zlyhanie dôsledky, odpovedal, že "zmluvné vzťahy úradu sú riešené v zmysle zákona o verejnom obstarávaní, tým je povedané všetko". Goldschmidt nechcel konkretizovať , či to znamená, že úrad teraz vypovie zmluvu s Netlabom a vypíše verejnú súťaž na nového internetového providera.

Nový slovenský folklór
Minulý týždeň nedošlo k žiadnemu úniku utajovaných skutočností a NBÚ zrejme nebola spôsobená žiadna škoda okrem nutnosti znova preskúmať bezpečnosť systému a zaplátať jeho diery. Že to skutočne urobil mu však už verejnosť tak ľahko neuverí a tak sa jediným korektným riešením zdá byť rozsiahly bezpečnostný audit od renomovanej externej firmy - nie však taký, za aký dal úrad minulý rok 3,5 milióna korún a pritom podľa hackerov nechal úplne bez povšimnutia kritické časti infraštruktúry a možno i banálne heslá priamo v Úrade.

Pomyselný kufrík s citlivými dátami si totiž zlodej tentokrát z Úradu neodniesol nie vďaka ostražitosti majiteľa, ale preto, že sa v poslednej chvíli jednoducho rozhodol, že kradnúť nebude, hoci stačilo natiahnuť ruku.

Ak by tomuto pokušeniu útočníci neodolali, škoda by rozhodne nebola zanedbateľná: na verejnosti sa mohli objaviť ďalšie tisícky e-mailov zamestnancov NBÚ, zoznamy stránok, ktoré v pracovnej dobe navštevujú či falošné e-maily, o ktorých by údajní odosielatelia nič netušili. Ak by hackeri neušetrili server certifikačnej autority, "v praxi by mohlo dôjsť k znemožneniu overovania pravosti kvalifikovaných certifikátov, k zneprístupneniu zoznamu vydaných a zrušených certifikátov a podobne," hovorí riaditeľ bezpečnostnej firmy Gordia Ivan Kopáčik. "Teoreticky by sa tak vytvorili predpoklady k možnému zneužitiu elektronického podpisu".

Najväčšiu škodu tak NBÚ nateraz utrpel na imidži - informácia o neschopnosti dodávateľa za tri mesiace zmeniť jediné heslo rozpútala obrazotvornosť Slovákov a internet sa zaplnil fotokolážami s motívom "nbusr123", vznikla webová stránka www.nbusr123.sk s najkomickejším výrokom predstaviteľa štátu ku kauze, objavili sa návrhy na premenovanie NBÚ na Národný nebezpečnostný úrad a podobne.

Najväčším hitom sa stal tento aktualizovaný vtip:

- Mám novú prácu, spravujem sieť v NBÚ.
- A koľko ti platia?
- Nič, zatiaľ o tom nevedia.

NBÚ v pondelok vyhlásil konkurz obsadenie troch voľných miest správcov siete. Úradu tak možno do budúcnosti len zaželať, aby už jeho sieť spravovali len ľudia a najmä firmy, o ktorých vie, a pokiaľ možno o nich vie oveľa viac, než doteraz.

Možno veriť hackerskému popisu prieniku?
Národný bezpečnostný úrad ani firma Netlab zatiaľ nechcú komentovať podrobnosti o piatkovom útoku, ktoré zverejnili hackeri.

Denník SME oslovil preto troch odborníkov - majiteľa firmy zaoberajúcej sa informačnou bezpečnosťou, experta zo spoločnosti dodávajúcej počítačové zariadenia napadnutej firme a systémového audítora, ktorý pracoval aj na analýzach bezpečnostných rizík pre viaceré štátne organizácie - aby posúdili dôveryhodnosť dokumentu popisujúceho útok na pripojenie NBÚ.

Všetci traja sa zhodli, že popis hackerov pôsobí presvedčivo. "Dokument pôsobí vierohodne a je pravdepodobné, že skutočne opisuje priebeh útoku tak, ako bol vykonaný," uviedol šéf firmy Gordias zaoberajúcej sa počítačovou bezpečnosťou Ivan Kopáčik.

Podľa audítora informačných systémov Jozefa Vyskoča znie popísaný postup "celkom vierohodne" a v zásade by "mal viesť k odpojeniu vybranej adresy od internetu, a to tak, že používateľ adresy - v tomto prípade zrejme NBÚ - by sám proti tomu nemohol nič urobiť, iba ak zmeniť poskytovateľa internetového pripojenia."

Odborník na komunikačné zariadenia (routery) použité pri prieniku, ktorý si neželal byť menovaný, takisto považoval popísaný postup za "logický" a potvrdil, že výpis technických parametrov a konfigurácie zariadenia je technicky presný.

Najčítanejšie na SME Tech


Inzercia - Tlačové správy


  1. Už ste niekedy jedli v garáži? Tá v Trenčíne stojí za to
  2. Staré Dobré Mexiko: Už vieme prečo východniari chvália Šariš
  3. Objavte netušené možnosti nových firemných kreditných kariet
  4. Najväčšie first moment zľavy končia vo februári
  5. Boj s podvodníkmi stáčajúcimi odometre stojí bazáre státisíce
  6. Bezpečné a prestížne bývanie v Bratislave s novým symbolom mesta
  7. Prečo majú Slováci stále radšej hypotéku ako prenájom?
  8. Jarné prázdniny pri mori?
  9. Klasickým gastrolístkom konkuruje už aj nová stravovacia karta
  10. Ceny bytov vo veľkých mestách prekonali historický rekord
  1. Už ste niekedy jedli v garáži? Tá v Trenčíne stojí za to
  2. Staré Dobré Mexiko: Už vieme prečo východniari chvália Šariš
  3. Dokázali by ste nakúpiť so zavretými očami?
  4. Objavte netušené možnosti nových firemných kreditných kariet
  5. Stanovisko Klubu pre Bratislavu k zákazu hazardu v Bratislave
  6. Najväčšie first moment zľavy končia vo februári
  7. Mesto Medzev v Charte európskych vidieckych obcí
  8. Valentínska nálada v Poluse pokračuje
  9. M.Borguľa vyzýva veľvyslanca USA k urýchlenému odstráneniu plota
  10. Ušetrite s hypotékou viac ako 1 200 eur
  1. Prečo majú Slováci stále radšej hypotéku ako prenájom? 17 772
  2. Boj s podvodníkmi stáčajúcimi odometre stojí bazáre státisíce 10 624
  3. Ceny bytov vo veľkých mestách prekonali historický rekord 6 867
  4. Klasickým gastrolístkom konkuruje už aj nová stravovacia karta 6 087
  5. Bezpečné a prestížne bývanie v Bratislave s novým symbolom mesta 5 834
  6. Najväčšie first moment zľavy končia vo februári 5 366
  7. Staré Dobré Mexiko: Už vieme prečo východniari chvália Šariš 3 868
  8. Jeden z najkrajších interiérov má Meridiana v Prievidzi 3 860
  9. Jarné prázdniny pri mori? 3 747
  10. Fakulta manažmentu prepája štúdium a prax cez ďalšie strediská 3 417

Hlavné správy zo Sme.sk

ŠPORT

BBC ukázalo ruských chuligánov. Jediným pravidlom je nezabiť

Nie pre každého budú MS len o futbale.

KOMENTÁRE

Sulík sa vyfarbil, ruské noviny ho vytočili

Ruské médiá opisujú údajnú petíciu za vystúpenie Slovenska z EÚ.

PLUS

Trpeli vojaci i rodičia. O šikane na vojenčine vedel aj Husák

Realita Československej ľudovej armády.

Neprehliadnite tiež

Aj Dell vie vyrobiť monitor pre náročného hráča (test Dell S2716DG)

Má maximálne plynulý obraz v hrách, no využijete ho jedine s výkonnými grafickými kartami od Nvidie.

Štyri hry, ktoré vám spríjemnia víkend

Od plánovania hromadnej dopravy cez magické dobrodružstvo, ničenie áut, až po krvavú akciu.

Je kráľ YouTubu fašista, alebo mu médiá nerozumejú?

Felixa Kjellberga sleduje viac ako 50 miliónov ľudí. Teraz ho obvinili, že šíri nenávisť.

Biológovia objavili v mexickej jaskyni mikróby staré 50-tisíc rokov

Podľa vedkyne sú dané mikróby ako stroje času.


Už ste čítali?

Domov NajnovšieNajčítanejšieDesktop