Čo sa stalo v Národnom bezpečnostnom úrade?

Internetová stránka blackhole.sk ponúkla v apríli na predaj tričká s nápisom "nbusr123" za 290 Sk. Nakoniec ich však autori nápadu vyrobiť nedali. Stovky sklamaných záujemcov mali v skutočnosti šťastie - heslo nbusr123 totiž ešte ďalšie tri mesiace ...

Kauza nbusr123 podnietila ľudovú tvorivost - tento obrázok parodujúci prístup NBÚ k bezpečnosti vytvoril čitateľ SME s prezývkou Leax.

Internetová stránka blackhole.sk ponúkla v apríli na predaj tričká s nápisom "nbusr123" za 290 Sk. Nakoniec ich však autori nápadu vyrobiť nedali. Stovky sklamaných záujemcov mali v skutočnosti šťastie - heslo nbusr123 totiž ešte ďalšie tri mesiace chránilo prístup do siete NBÚ a tak by sa nosením trička mohli vystaviť riziku trestného stíhania za ohrozenie utajovaných informácií.

Chyba prvá - heslo z tričiek
V apríli tohto roku hackeri prenikli do siete Národného bezpečnostného úradu (NBÚ). Získali kontrolu nad komunikačnou linkou a takisto aj prístup k poštovému serveru, z ktorého si skopírovali 36-tisíc e-mailov. Zároveň sa dostali aj do siete firmy Netlab, ktorá pre NBÚ zabezpečovala internetové pripojenie. Prieniky boli možné vďaka sérii vážnych zlyhaní ľudí zabezpečujúcich sieť NBÚ, z ktorých najznámejším sa stalo ľahko uhádnuteľné heslo "nbusr123".

Po tom, ako hackeri sami na svoj útok upozornili, NBÚ dieru zaplátal a zverejnené heslo zmenil. Týmto mal prípad pre verejnosť skončiť.

Minulý týždeň sa však ukázalo, že plátanie dier po aprílovom úniku nebolo až také dôkladné. Hackeri totiž zistili, že heslo nbusr123 bolo použité nielen v NBÚ, ale aj na routeroch (prístrojoch zabezpečujúcich internetové pripojenie) firmy Netlab, ktoré boli použité pre pripojenie siete NBÚ k internetu. Už použiť jedno heslo dvakrát je veľká nedbalosť, Netlab ho však podľa hackerov nezmenil ani po tom, ako sa objavilo vo všetkých novinách a na webe sa začali predávať recesistické tričká s veľkým nápisom nbusr123.

"Podľa mojich skúseností pokladám za celkom možné, že adminov z tej firmy možnosť takéhoto útoku (opätovným využitím toho istého hesla) jednoducho nenapadla," hovorí bezpečnostný audítor Jozef Vyskoč. "To však neospravedlňuje ponechanie mediálne známeho hesla v platnosti."

Chyba druhá - radšej pohodlie ako bezpečnosť
Samotné heslo by však na prienik nestačilo, ak by správcovia neurobili ďalšiu školácku chybu. Aby si uľahčili prácu a v prípade potreby zmeniť nastavenia routera nemuseli cestovať k nemu do slovenského peeringového centra (hlavného komunikačného uzla slovenského internetu), povolili k nemu prístup aj cez internet. Nenamáhali sa pritom obmedziť možnosť prístupu len na okruh vlastnej firmy, čo by bol štandardný postup, ale prístup jednoducho povolili každému, kto bude poznať heslo.

"Nevieme, či sú administrátori Netlabu naivní a tvrdohlavo žijú v tom, že existuje len dobro a treba mať všetko odvšadiaľ povolené, alebo sú len nekompetentní a jednoducho si nevedia nastaviť aspoň základné obmedzenia prístupu ku svojim zariadeniam," píšu hackeri. "Nedokážeme sa však vyrovnať s tým, že firma, ktorá má takto zabezpečenú vlastnú sieť, poskytuje konektivitu certifikačnej autorite, NBÚ a pravdepodobne Úradu aj spravuje sieť," uvádza sa v ich stanovisku.

Čo sa stalo v piatok?
Kombinácia chýb spôsobila, že hackeri mali zrejme už dlhší čas úplne voľný prístup k zariadeniam Netlabu - mohli sledovať všetky dáta, ktoré pretekali z NBÚ, čítať e-maily či dokonca meniť ich text a podobne.

Tento prístup sa rozhodli naplno využiť v piatok, keď niekoľkými jednoduchým príkazmi zakázali routeru prepúšťať smerom do NBÚ akékoľvek internetové dáta. Tým sa stala nedostupnou webová stránka Úradu, prestali mu fungovať e-maily a jeho zamestnanci sa nemohli pripojiť na internet. Hackeri nechali prístupnú len linku smerujúcu ku certifikačnej autorite, vravia, že v snahe nespôsobiť problémy ľuďom využívajúcim elektronický podpis.

Zároveň ponechali na serveri zálohu pôvodnej konfigurácie servera pod názvom "peace" ("mier"), aby mohla byť funkčnosť pripojenia rýchlo obnovená.

Tvrdenie NBÚ, že svoje servery vypol sám, môže byť aj podľa hackerskej verzie udalostí pravdivé - samotné servery priamo napadnuté neboli, nedokázali však komunikovať s okolím. Možno to prirovnať k situácii, keď by hackeri vytiahli kábel antény z televízora - televízoru by sa nič nestalo, ale ukazoval by len zrnenie. Či NBÚ servery vypol alebo nie teda nie je podstatné - ani keby nevypol, žiadne služby poskytovať nemohli.

Ťažko uveriteľné je však vysvetlenie úradu, že servery vypol v rámci plánovanej odstávky a nutnosti doplniť na webovú stránku nové informácie. Ak by to bola pravda, svedčilo by to o vysokej neprofesionalite správcov servera: vo svete fungujú tisícky bankových či komerčných serverov poskytujúcich oveľa dôležitejšie a citlivejšie služby, ako stránka NBÚ, ale správcovia žiadneho z nich nepotrebujú na doplnenie informácií niekoľkodňovú odstávku. NBÚ bol odpojený celú sobotu a nedeľu, a potom znova v pondelok poobede na celú noc.

V prospech verzie hackerov svedčí aj chronológia piatkových udalostí: v piatok totiž už o jednej hodine poobede informovali, že o štvrtej dôjde k závažnej udalosti a na 16.30 h si dohodli stretnutie s médiami. NBÚ bolo potom o 16.00 h na minútu presne naozaj odpojené. Hovorca úrad pritom v najbližšej hodine najskôr podával viaceré nejasné vysvetlenia, až kým prišiel s verziou o plánovanej odstávke.

Zodpovedá NBÚ za dodávateľov?
Hlavnú zodpovednosť za piatkové odpojenie NBÚ teda podľa všetkého nesie firma Netlab. S jej konateľom Jánom

Tóthom sa nám nepodarilo spojiť, podľa jeho zástupcu je na dovolenke v zahraničí a firma poskytne prípadné stanovisko najskôr budúci týždeň.

Podľa odborníkov však zlyhanie súkromnej firmy úplne nezbavuje NBÚ zodpovednosti za prienik. "NBÚ nemožno priamo obviňovať z toho, čo robí, prípadne nerobí poskytovateľ jeho internetového pripojenia," hovorí audítor bezpečnosti informačných systémov Jozef Vyskoč. "Vzhľadom na význam úradu by si však teoreticky mohol či priamo mal v zmluve položiť podmienky týkajúce sa bezpečnosti - napríklad, že firma umožní zamestnancom NBÚ presvedčiť sa o vykonaných bezpečnostných opatreniach, alebo sa pravidelne podrobí bezpečnostnému auditu," povedal.

Ďalší odborník, ktorý pracuje priamo pre firmu dodávajúcu zariadenia Netlabu, uviedol, že ho prekvapuje, že NBÚ si zvolil pre pripojenie práve takúto firmu. Netlab totiž patrí k malým internetovým providerom, kým expert by očakával, že "úrad ako NBÚ si zvolí veľkú firmu, ktorá vie stopercentne garantovať bezpečnosť."

"Prístroje, ktoré Netlab na pripojenie zrejme NBÚ použil, navyše ani nie sú na takýto účel stavané, takmer by sa dalo povedať, že to sú najlacnejšie krámy, ktoré sa dajú zohnať," dodal odborník, ktorý nechcel byť menovaný.

Hovorca NBÚ Ivan Goldschmidt uviedol, že úrad nebude technické detaily prieniku komentovať, nepriamo však potvrdil, že k útoku došlo naozaj až v sieti internetového providera. "Úrad predsa nemôže sledovať heslá u všetkých zmluvných partnerov," povedal na margo opätovného zneužitia hesla nbusr123. Na otázku, či úrad vyvodí voči Netlabu za zlyhanie dôsledky, odpovedal, že "zmluvné vzťahy úradu sú riešené v zmysle zákona o verejnom obstarávaní, tým je povedané všetko". Goldschmidt nechcel konkretizovať , či to znamená, že úrad teraz vypovie zmluvu s Netlabom a vypíše verejnú súťaž na nového internetového providera.

Nový slovenský folklór
Minulý týždeň nedošlo k žiadnemu úniku utajovaných skutočností a NBÚ zrejme nebola spôsobená žiadna škoda okrem nutnosti znova preskúmať bezpečnosť systému a zaplátať jeho diery. Že to skutočne urobil mu však už verejnosť tak ľahko neuverí a tak sa jediným korektným riešením zdá byť rozsiahly bezpečnostný audit od renomovanej externej firmy - nie však taký, za aký dal úrad minulý rok 3,5 milióna korún a pritom podľa hackerov nechal úplne bez povšimnutia kritické časti infraštruktúry a možno i banálne heslá priamo v Úrade.

Pomyselný kufrík s citlivými dátami si totiž zlodej tentokrát z Úradu neodniesol nie vďaka ostražitosti majiteľa, ale preto, že sa v poslednej chvíli jednoducho rozhodol, že kradnúť nebude, hoci stačilo natiahnuť ruku.

Ak by tomuto pokušeniu útočníci neodolali, škoda by rozhodne nebola zanedbateľná: na verejnosti sa mohli objaviť ďalšie tisícky e-mailov zamestnancov NBÚ, zoznamy stránok, ktoré v pracovnej dobe navštevujú či falošné e-maily, o ktorých by údajní odosielatelia nič netušili. Ak by hackeri neušetrili server certifikačnej autority, "v praxi by mohlo dôjsť k znemožneniu overovania pravosti kvalifikovaných certifikátov, k zneprístupneniu zoznamu vydaných a zrušených certifikátov a podobne," hovorí riaditeľ bezpečnostnej firmy Gordia Ivan Kopáčik. "Teoreticky by sa tak vytvorili predpoklady k možnému zneužitiu elektronického podpisu".

Najväčšiu škodu tak NBÚ nateraz utrpel na imidži - informácia o neschopnosti dodávateľa za tri mesiace zmeniť jediné heslo rozpútala obrazotvornosť Slovákov a internet sa zaplnil fotokolážami s motívom "nbusr123", vznikla webová stránka www.nbusr123.sk s najkomickejším výrokom predstaviteľa štátu ku kauze, objavili sa návrhy na premenovanie NBÚ na Národný nebezpečnostný úrad a podobne.

Najväčším hitom sa stal tento aktualizovaný vtip:

- Mám novú prácu, spravujem sieť v NBÚ.
- A koľko ti platia?
- Nič, zatiaľ o tom nevedia.

NBÚ v pondelok vyhlásil konkurz obsadenie troch voľných miest správcov siete. Úradu tak možno do budúcnosti len zaželať, aby už jeho sieť spravovali len ľudia a najmä firmy, o ktorých vie, a pokiaľ možno o nich vie oveľa viac, než doteraz.

Možno veriť hackerskému popisu prieniku?
Národný bezpečnostný úrad ani firma Netlab zatiaľ nechcú komentovať podrobnosti o piatkovom útoku, ktoré zverejnili hackeri.

Denník SME oslovil preto troch odborníkov - majiteľa firmy zaoberajúcej sa informačnou bezpečnosťou, experta zo spoločnosti dodávajúcej počítačové zariadenia napadnutej firme a systémového audítora, ktorý pracoval aj na analýzach bezpečnostných rizík pre viaceré štátne organizácie - aby posúdili dôveryhodnosť dokumentu popisujúceho útok na pripojenie NBÚ.

Všetci traja sa zhodli, že popis hackerov pôsobí presvedčivo. "Dokument pôsobí vierohodne a je pravdepodobné, že skutočne opisuje priebeh útoku tak, ako bol vykonaný," uviedol šéf firmy Gordias zaoberajúcej sa počítačovou bezpečnosťou Ivan Kopáčik.

Podľa audítora informačných systémov Jozefa Vyskoča znie popísaný postup "celkom vierohodne" a v zásade by "mal viesť k odpojeniu vybranej adresy od internetu, a to tak, že používateľ adresy - v tomto prípade zrejme NBÚ - by sám proti tomu nemohol nič urobiť, iba ak zmeniť poskytovateľa internetového pripojenia."

Odborník na komunikačné zariadenia (routery) použité pri prieniku, ktorý si neželal byť menovaný, takisto považoval popísaný postup za "logický" a potvrdil, že výpis technických parametrov a konfigurácie zariadenia je technicky presný.

Najčítanejšie na SME Tech


Inzercia - Tlačové správy


  1. Košická Klinika detí a dorastu je opäť krajšia
  2. Desať obľúbených multistop zájazdov do celého sveta
  3. Aká je skutočná pravda o Partners Group Sk?
  4. Firmy, pri ktorých sa nemusíte obávať dvojakej kvality potravín
  5. S novou optikou máte v Poprade rýchlosť a kvalitu zaručenú
  6. V Trenčíne vzniká nová komunita, susedia tu budú priateľmi
  7. Nenechajte svojich zamestnancov „vyhorieť“!
  8. Tieto dizajnové hrnčeky a poháre na kávu ocení každý
  9. Získajte špičkovú klimatizáciu a toto leto ušetrite na elektrine
  10. ZOC MAX Prešov má za sebou úspešnú desaťročnicu
  1. Poľovníkom sa nestaneš, musíš sa ním narodiť!
  2. Bratislava začína s výstavbou bulváru Mlynské nivy
  3. Tréningové moduly HACCP online
  4. Kuba má záujem o spoluprácu s SPU v Nitre
  5. Návštevníkov Gardenie zaujali expozície SPU v Nitre
  6. Slováci si nevedia predstaviť svoj deň bez chleba a pečiva
  7. Vieme, čo môže spôsobovať neplodnosť u mužov a žien
  8. Košická Klinika detí a dorastu je opäť krajšia
  9. Desať obľúbených multistop zájazdov do celého sveta
  10. Aká je skutočná pravda o Partners Group Sk?
  1. Toto sú zdravotné problémy, o ktorých muži nehovoria 20 379
  2. Tieto dizajnové hrnčeky a poháre na kávu ocení každý 13 688
  3. Firmy, pri ktorých sa nemusíte obávať dvojakej kvality potravín 13 345
  4. Jordánsko: Najkrajšie miesta kráľovstva v púšti 9 190
  5. Desať obľúbených multistop zájazdov do celého sveta 7 856
  6. Miesta v Rakúsku, ktoré by ste mali vidieť. Kúsok za Bratislavou 7 055
  7. Vajíčka, chlebíky či niečo sladké? Kam v Bratislave na raňajky? 6 015
  8. V Trenčíne vzniká nová komunita, susedia tu budú priateľmi 4 366
  9. Aká je skutočná pravda o Partners Group Sk? 4 133
  10. Nenechajte svojich zamestnancov „vyhorieť“! 3 358

Hlavné správy zo Sme.sk

DOMOV

Od vraždy Kuciaka prešli dva mesiace, polícia stále tápe

Vyšetrovatelia avizujú, že verejnosť znova požiadajú o pomoc. Čo ich bude zaujímať, zatiaľ nepovedali.

KOMENTÁRE

Vražda Kuciaka bola generačnou udalosťou

Jednému človeku sa ani po 61 dňoch neskrivil vlas na hlave – vrahovi.

KULTÚRA

Bol utiahnutý, na pódiách trpel. Avicii nebol stvorený pre slávu

Po spolupráci s Madonnou mal dojem, že ju sklamal.

SVET

Copperfielda donútili na súde odhaliť slávny trik

Pri jednej zo šou slávneho iluzionistu sa zranil vybraný divák, roky sa súdi.

Neprehliadnite tiež

PODCAST KLIK

Klik: Prečo Microsoft roztopil Windows

Komentovaný prehľad technologických správ týždňa. Aká je budúcnosť Windowsu, Uber kúpil bicykle, Amazonu aj Netlifxu rastú predplatitelia.

Zistili, ako morskí nomádi vydržia toľko pod vodou. Ich gény sa prispôsobili

Bajauovia sa dokážu bez prístrojov ponoriť do hĺbky desiatok metrov. Majú predispozíciu.

DETSKÁ RUBRIKA

Spieva a lieta zároveň. Vzdušný koncert škovránka môže trvať vyše hodiny

Desiatky minút trepotania krídel a nástojčivého trilkovania už možno považovať za pôsobivý výkon.

V nedeľu pozorujte vrchol najstaršieho meteorického roja

Pozorovanie Lyríd môže prvú polovicu noci rušiť Mesiac.