SME

Čo sa stalo v Národnom bezpečnostnom úrade?

Internetová stránka blackhole.sk ponúkla v apríli na predaj tričká s nápisom "nbusr123" za 290 Sk. Nakoniec ich však autori nápadu vyrobiť nedali. Stovky sklamaných záujemcov mali v skutočnosti šťastie - heslo nbusr123 totiž ešte ďalšie tri mesiace ...

Kauza nbusr123 podnietila ľudovú tvorivost - tento obrázok parodujúci prístup NBÚ k bezpečnosti vytvoril čitateľ SME s prezývkou Leax.

Internetová stránka blackhole.sk ponúkla v apríli na predaj tričká s nápisom "nbusr123" za 290 Sk. Nakoniec ich však autori nápadu vyrobiť nedali. Stovky sklamaných záujemcov mali v skutočnosti šťastie - heslo nbusr123 totiž ešte ďalšie tri mesiace chránilo prístup do siete NBÚ a tak by sa nosením trička mohli vystaviť riziku trestného stíhania za ohrozenie utajovaných informácií.

Chyba prvá - heslo z tričiek
V apríli tohto roku hackeri prenikli do siete Národného bezpečnostného úradu (NBÚ). Získali kontrolu nad komunikačnou linkou a takisto aj prístup k poštovému serveru, z ktorého si skopírovali 36-tisíc e-mailov. Zároveň sa dostali aj do siete firmy Netlab, ktorá pre NBÚ zabezpečovala internetové pripojenie. Prieniky boli možné vďaka sérii vážnych zlyhaní ľudí zabezpečujúcich sieť NBÚ, z ktorých najznámejším sa stalo ľahko uhádnuteľné heslo "nbusr123".

Po tom, ako hackeri sami na svoj útok upozornili, NBÚ dieru zaplátal a zverejnené heslo zmenil. Týmto mal prípad pre verejnosť skončiť.

Minulý týždeň sa však ukázalo, že plátanie dier po aprílovom úniku nebolo až také dôkladné. Hackeri totiž zistili, že heslo nbusr123 bolo použité nielen v NBÚ, ale aj na routeroch (prístrojoch zabezpečujúcich internetové pripojenie) firmy Netlab, ktoré boli použité pre pripojenie siete NBÚ k internetu. Už použiť jedno heslo dvakrát je veľká nedbalosť, Netlab ho však podľa hackerov nezmenil ani po tom, ako sa objavilo vo všetkých novinách a na webe sa začali predávať recesistické tričká s veľkým nápisom nbusr123.

"Podľa mojich skúseností pokladám za celkom možné, že adminov z tej firmy možnosť takéhoto útoku (opätovným využitím toho istého hesla) jednoducho nenapadla," hovorí bezpečnostný audítor Jozef Vyskoč. "To však neospravedlňuje ponechanie mediálne známeho hesla v platnosti."

Chyba druhá - radšej pohodlie ako bezpečnosť
Samotné heslo by však na prienik nestačilo, ak by správcovia neurobili ďalšiu školácku chybu. Aby si uľahčili prácu a v prípade potreby zmeniť nastavenia routera nemuseli cestovať k nemu do slovenského peeringového centra (hlavného komunikačného uzla slovenského internetu), povolili k nemu prístup aj cez internet. Nenamáhali sa pritom obmedziť možnosť prístupu len na okruh vlastnej firmy, čo by bol štandardný postup, ale prístup jednoducho povolili každému, kto bude poznať heslo.

"Nevieme, či sú administrátori Netlabu naivní a tvrdohlavo žijú v tom, že existuje len dobro a treba mať všetko odvšadiaľ povolené, alebo sú len nekompetentní a jednoducho si nevedia nastaviť aspoň základné obmedzenia prístupu ku svojim zariadeniam," píšu hackeri. "Nedokážeme sa však vyrovnať s tým, že firma, ktorá má takto zabezpečenú vlastnú sieť, poskytuje konektivitu certifikačnej autorite, NBÚ a pravdepodobne Úradu aj spravuje sieť," uvádza sa v ich stanovisku.

Čo sa stalo v piatok?
Kombinácia chýb spôsobila, že hackeri mali zrejme už dlhší čas úplne voľný prístup k zariadeniam Netlabu - mohli sledovať všetky dáta, ktoré pretekali z NBÚ, čítať e-maily či dokonca meniť ich text a podobne.

Tento prístup sa rozhodli naplno využiť v piatok, keď niekoľkými jednoduchým príkazmi zakázali routeru prepúšťať smerom do NBÚ akékoľvek internetové dáta. Tým sa stala nedostupnou webová stránka Úradu, prestali mu fungovať e-maily a jeho zamestnanci sa nemohli pripojiť na internet. Hackeri nechali prístupnú len linku smerujúcu ku certifikačnej autorite, vravia, že v snahe nespôsobiť problémy ľuďom využívajúcim elektronický podpis.

Zároveň ponechali na serveri zálohu pôvodnej konfigurácie servera pod názvom "peace" ("mier"), aby mohla byť funkčnosť pripojenia rýchlo obnovená.

Tvrdenie NBÚ, že svoje servery vypol sám, môže byť aj podľa hackerskej verzie udalostí pravdivé - samotné servery priamo napadnuté neboli, nedokázali však komunikovať s okolím. Možno to prirovnať k situácii, keď by hackeri vytiahli kábel antény z televízora - televízoru by sa nič nestalo, ale ukazoval by len zrnenie. Či NBÚ servery vypol alebo nie teda nie je podstatné - ani keby nevypol, žiadne služby poskytovať nemohli.

Ťažko uveriteľné je však vysvetlenie úradu, že servery vypol v rámci plánovanej odstávky a nutnosti doplniť na webovú stránku nové informácie. Ak by to bola pravda, svedčilo by to o vysokej neprofesionalite správcov servera: vo svete fungujú tisícky bankových či komerčných serverov poskytujúcich oveľa dôležitejšie a citlivejšie služby, ako stránka NBÚ, ale správcovia žiadneho z nich nepotrebujú na doplnenie informácií niekoľkodňovú odstávku. NBÚ bol odpojený celú sobotu a nedeľu, a potom znova v pondelok poobede na celú noc.

V prospech verzie hackerov svedčí aj chronológia piatkových udalostí: v piatok totiž už o jednej hodine poobede informovali, že o štvrtej dôjde k závažnej udalosti a na 16.30 h si dohodli stretnutie s médiami. NBÚ bolo potom o 16.00 h na minútu presne naozaj odpojené. Hovorca úrad pritom v najbližšej hodine najskôr podával viaceré nejasné vysvetlenia, až kým prišiel s verziou o plánovanej odstávke.

Zodpovedá NBÚ za dodávateľov?
Hlavnú zodpovednosť za piatkové odpojenie NBÚ teda podľa všetkého nesie firma Netlab. S jej konateľom Jánom

Tóthom sa nám nepodarilo spojiť, podľa jeho zástupcu je na dovolenke v zahraničí a firma poskytne prípadné stanovisko najskôr budúci týždeň.

Podľa odborníkov však zlyhanie súkromnej firmy úplne nezbavuje NBÚ zodpovednosti za prienik. "NBÚ nemožno priamo obviňovať z toho, čo robí, prípadne nerobí poskytovateľ jeho internetového pripojenia," hovorí audítor bezpečnosti informačných systémov Jozef Vyskoč. "Vzhľadom na význam úradu by si však teoreticky mohol či priamo mal v zmluve položiť podmienky týkajúce sa bezpečnosti - napríklad, že firma umožní zamestnancom NBÚ presvedčiť sa o vykonaných bezpečnostných opatreniach, alebo sa pravidelne podrobí bezpečnostnému auditu," povedal.

Ďalší odborník, ktorý pracuje priamo pre firmu dodávajúcu zariadenia Netlabu, uviedol, že ho prekvapuje, že NBÚ si zvolil pre pripojenie práve takúto firmu. Netlab totiž patrí k malým internetovým providerom, kým expert by očakával, že "úrad ako NBÚ si zvolí veľkú firmu, ktorá vie stopercentne garantovať bezpečnosť."

"Prístroje, ktoré Netlab na pripojenie zrejme NBÚ použil, navyše ani nie sú na takýto účel stavané, takmer by sa dalo povedať, že to sú najlacnejšie krámy, ktoré sa dajú zohnať," dodal odborník, ktorý nechcel byť menovaný.

Hovorca NBÚ Ivan Goldschmidt uviedol, že úrad nebude technické detaily prieniku komentovať, nepriamo však potvrdil, že k útoku došlo naozaj až v sieti internetového providera. "Úrad predsa nemôže sledovať heslá u všetkých zmluvných partnerov," povedal na margo opätovného zneužitia hesla nbusr123. Na otázku, či úrad vyvodí voči Netlabu za zlyhanie dôsledky, odpovedal, že "zmluvné vzťahy úradu sú riešené v zmysle zákona o verejnom obstarávaní, tým je povedané všetko". Goldschmidt nechcel konkretizovať , či to znamená, že úrad teraz vypovie zmluvu s Netlabom a vypíše verejnú súťaž na nového internetového providera.

Nový slovenský folklór
Minulý týždeň nedošlo k žiadnemu úniku utajovaných skutočností a NBÚ zrejme nebola spôsobená žiadna škoda okrem nutnosti znova preskúmať bezpečnosť systému a zaplátať jeho diery. Že to skutočne urobil mu však už verejnosť tak ľahko neuverí a tak sa jediným korektným riešením zdá byť rozsiahly bezpečnostný audit od renomovanej externej firmy - nie však taký, za aký dal úrad minulý rok 3,5 milióna korún a pritom podľa hackerov nechal úplne bez povšimnutia kritické časti infraštruktúry a možno i banálne heslá priamo v Úrade.

Pomyselný kufrík s citlivými dátami si totiž zlodej tentokrát z Úradu neodniesol nie vďaka ostražitosti majiteľa, ale preto, že sa v poslednej chvíli jednoducho rozhodol, že kradnúť nebude, hoci stačilo natiahnuť ruku.

Ak by tomuto pokušeniu útočníci neodolali, škoda by rozhodne nebola zanedbateľná: na verejnosti sa mohli objaviť ďalšie tisícky e-mailov zamestnancov NBÚ, zoznamy stránok, ktoré v pracovnej dobe navštevujú či falošné e-maily, o ktorých by údajní odosielatelia nič netušili. Ak by hackeri neušetrili server certifikačnej autority, "v praxi by mohlo dôjsť k znemožneniu overovania pravosti kvalifikovaných certifikátov, k zneprístupneniu zoznamu vydaných a zrušených certifikátov a podobne," hovorí riaditeľ bezpečnostnej firmy Gordia Ivan Kopáčik. "Teoreticky by sa tak vytvorili predpoklady k možnému zneužitiu elektronického podpisu".

Najväčšiu škodu tak NBÚ nateraz utrpel na imidži - informácia o neschopnosti dodávateľa za tri mesiace zmeniť jediné heslo rozpútala obrazotvornosť Slovákov a internet sa zaplnil fotokolážami s motívom "nbusr123", vznikla webová stránka www.nbusr123.sk s najkomickejším výrokom predstaviteľa štátu ku kauze, objavili sa návrhy na premenovanie NBÚ na Národný nebezpečnostný úrad a podobne.

Najväčším hitom sa stal tento aktualizovaný vtip:

- Mám novú prácu, spravujem sieť v NBÚ.
- A koľko ti platia?
- Nič, zatiaľ o tom nevedia.

NBÚ v pondelok vyhlásil konkurz obsadenie troch voľných miest správcov siete. Úradu tak možno do budúcnosti len zaželať, aby už jeho sieť spravovali len ľudia a najmä firmy, o ktorých vie, a pokiaľ možno o nich vie oveľa viac, než doteraz.

Možno veriť hackerskému popisu prieniku?
Národný bezpečnostný úrad ani firma Netlab zatiaľ nechcú komentovať podrobnosti o piatkovom útoku, ktoré zverejnili hackeri.

Denník SME oslovil preto troch odborníkov - majiteľa firmy zaoberajúcej sa informačnou bezpečnosťou, experta zo spoločnosti dodávajúcej počítačové zariadenia napadnutej firme a systémového audítora, ktorý pracoval aj na analýzach bezpečnostných rizík pre viaceré štátne organizácie - aby posúdili dôveryhodnosť dokumentu popisujúceho útok na pripojenie NBÚ.

Všetci traja sa zhodli, že popis hackerov pôsobí presvedčivo. "Dokument pôsobí vierohodne a je pravdepodobné, že skutočne opisuje priebeh útoku tak, ako bol vykonaný," uviedol šéf firmy Gordias zaoberajúcej sa počítačovou bezpečnosťou Ivan Kopáčik.

Podľa audítora informačných systémov Jozefa Vyskoča znie popísaný postup "celkom vierohodne" a v zásade by "mal viesť k odpojeniu vybranej adresy od internetu, a to tak, že používateľ adresy - v tomto prípade zrejme NBÚ - by sám proti tomu nemohol nič urobiť, iba ak zmeniť poskytovateľa internetového pripojenia."

Odborník na komunikačné zariadenia (routery) použité pri prieniku, ktorý si neželal byť menovaný, takisto považoval popísaný postup za "logický" a potvrdil, že výpis technických parametrov a konfigurácie zariadenia je technicky presný.

SkryťVypnúť reklamu

Najčítanejšie na SME Tech

SkryťVypnúť reklamu
SkryťVypnúť reklamu
SkryťVypnúť reklamu
SkryťVypnúť reklamu

Hlavné správy zo Sme.sk

Eduard Šebo (3 ku 2)

Eduard Šebo patrí medzi najbohatších Slovákov.


Premiéra Roberta Fica (Smer) vítajú v Galante na výjazdovom rokovaní vlády v čase volebnej kampane k voľbe prezidenta

Pellegrini cez šéfa Aliancie láka Maďarov. Ten podrazil vlastnú stranu.


a 1 ďalší
Štefan Harabin.

Za vyjadrením je Jureňa, Harabin ho okamžite zbavil funkcie.


Na snímke Adam Obert (Slovensko) počas prípravného medzištátneho futbalového stretnutia Slovensko - Rakúsko.

V oboch zápasoch dostal najvyššie známky.


Neprehliadnite tiež

Reálna tvar muža a jeho deformovaná tvár, tak ako ju videl pacient so vzácnou poruchou zrakového systému.

Viktor Sharrah si myslel, že sa zbláznil.


Ilustračná fotografia.

Vaše telo sa ochladzuje, nie zohrieva - a vy to necítite.


a 1 ďalší
Ilustračné foto.

Nález baktérie vedci označili za mimoriadne vzácny objav.


TASR

Týždenný podcast o novinkách z vedy.


a 3 ďalší
SkryťZatvoriť reklamu