Internet Guiden - En pålitlig källa ?????
/* Allt inom /* och */ är PTR's kommentarer.
För er mindre kunniga varnar vi att vissa delar är lite mer tekniska
än vanliga lekmän kanske förstår. De som är inne
på UNIX kan möjligen få en informativ lässtund, alla
andra ett gott skratt, på Internet Guiden's bekostnad. */
/* ARTIKELN "HACKADE HEMSIDOR" FRÅN SENASTE INTERNET GUIDEN (MED KOMMENTARER) */
TEXT: LILLE LOUIS/* En lamer vars kunskaper om hacking sträcker sig till att använda CrackerJack, typ... */
Nya verktyg sprids snabbt på Nätet, vilket resulterat i den senaste tidens uppmärksammade våg av hemside-hacks./* Argh! Vilket pucko.. Nej lillen.. Orsaken är enklare än så.. Det har helt enkelt blivit 'hype' bland lamers (som du) att ändra på hemsidor.. Det började antagligen med Phelia-hacket.. Som fick en del uppmärksamhet.. Efter det började alla lamers ändra på alla hemsidor de kom åt.. Ofta bara genom att använda ett crackat konto som oxå råkade hosta ngt litet företags eller ngn organisations hemsida.. Keep on reading för att se de *stora* felen i den här artikeln.. */
Stora företag och myndigheter har fått sitt ansikte utåt på Internet, WWW-sidorna, ändrade. I USA har Justitiedepartementets hemsidor blivit hackade i en protest mot Telecommunications Decency Act. I Sverige har bland annat frikyrkan Livets ord haft påhälsning av den unga gruppen IviL haXor. Och inte bara en gång, utan vid flera tillfällen./* www.livetsord.se var sunny.bahnhof.se, men med en annan IP, adress förut. Deras httpd ser till så att man kommer till olika sidor beroende på vilken IP adress den blir kallad som. Iaf.. Bahnhof är ju en Internet-leverantör, som kanske de flesta känner till redan.. De har inte särskilt bra säkerhet.. Nu har den förbättrats lite grann dock.. Det tog ett jävla tag för dom att sätta sticky-bit på /tmp, det verkade som att de inte trodde att man kunde fixa root där med ps-race iaf, så de sket i att fixa det, ist skickade de mails till alla lamers som körde psrace där, antagligen såg de sym-länkarna till ps_data i /tmp och skickade mails till ägarna av dom, som inte hade rensat upp efter sig.. Att Bahnhof var så dumma berodde antagligen på att de flesta shells under Solaris sätter tillbaka euid till uid (effective user id till real user id), och därför får inte SUID-biten ngn effekt. Har för mig att de oxå hade ngn 'wrapper' som skulle förhindra SUID-program från att ha ngn verkan.. Nu är det dock så att man antingen kan ladda upp ett shell som inte sätter tillbaka SUID-biten eller så kan man göra ett eget program som sätter real user id till 0 ( = root-access för er mindre insatta. Total kontroll över systemet alltså ) och sedan exekverar ett shell.. Nu efter *lång* tid har de äntligen börjat förstå att de måste sätta sticky-bit på /tmp.. För er mindre initierade så innebär det att man inte kan ta bort filer ur /tmp som man inte äger, även fast /tmp-katalogen är skrivbar av alla. Genom att ta bort ps_data, som ägs av root, vid rätt tillfälle, och med väl placerade sym-länkar, så kan man utnyttja det här till att ps byter ägare på tex en fil man själv har gjort och som har SUID-biten satt. Det innebär att när man exekverar programmet så får man under den tiden man kör programmet samma effective user id som den som äger filen.. Att inte ha sticky-bit satt på /tmp öppnar möjligheten för många av den här typen av hack.. Race-conditions kallas det.. Det finns färdiga program för att exploita det här hålet som är rätt gammalt vid det här laget.. */
Många läsare har hört av sig till InternetGuiden och varit både roade och oroliga. Jag tänkte därför att vi denna gång skulle ta och titta lite på WWW-hacks och vad man kan göra åt dem./* *MOAHAHAHA*! Som att DU skulle veta ngt om det!!! :-) Hahaha! (Tydligen inte.. ;-) */
SO WHAT'S THE SCENARIO? Vi tänker oss ett företag, med en webserver som ligger uppkopplad mot Internet. Företaget gör sig impopulärt (genom att höja priserna, till exempel) hos någon verkligt snarstucken person./* Eller kanske genom att utge sig för att kunna ngt om vad man bevisligen vet jack shit about? */
Personen ifråga har en massa tid att slösa bort och har av någon anledning glömt att många serverinbrott leder till åtal av det allvarligare slaget./* Oj.. :-/ Nu blev vi lite oroliga.. Förlåt.. -NOT.. */
Vilka skador kan en inkräktare göra ett företag?/* Den som lever får se.. Företag som sprider felaktig information förtjänar inte mer. */
1) Om ändringarna av företagets hemsidor upptäcks, men ingen förklaring kan ges till hur det hela har gått till, leder detta till ett långt driftstopp. Detta är speciellt förödande för de företag som bedriver handel direkt eller indirekt över WWW./* Tur att inte CIA gör det, de har ju ännu inte fått upp sin sida igen.. Argh.. */
2) Ändra informationen på hemsidorna så att det ser ut som om företagets verksamhet är en annan än den i själva verket är. Detta är främst effektivt på nya kunder som saknar kännedom om företaget. 3) Ställa till allmän oreda genom förfalskningar av prisuppgifter, artikelnummer, telefonnummer, personuppgifter och så vidare. Kaos utbryter på företagets sälj- och supportavdelningar, vilket i förlängningen leder till minskat kundantal./* Undrar hur mycket Lille Louis får betalt för att sprida sånt här skitsnack? Rätt lätt jobb iaf. */
4) Få företaget, speciellt om det är ett företag verksamt inom data och telekom-branschen, att tappa ansikte och anseende utåt, genom att visa upp dess dåliga säkerhet. Även här får väl en minskad kundtilströmning anses som sannolik./* :-/ Ojdå.. Det verkar ju grymt.. Tänk dig tex ett företag som sysslar med säkerhet, som säkrar *andras* system alltså, som företag LITAR på när de anlitar dem för att säkra sina system. Tänk dig om man ändrade *deras* sida! Det skulle ju säkerligen minska kundtillströmningen.. Hmm, but hey! Wait a minute! Skulle inte det vara en fördel för KUNDERNA?! Att veta vad fan de lägger pengarna på? Internet Guiden är en helt ok tidning som vi antagligen kommer att köpa i fortsättningen oxå.. De borde dock fixa ngn annan "UNIX-guru" än Lille Louis som tydligen har tagit sig vatten över huvudet.. Mitnick artikeln var *nästan* lika störande.. Men det ska vi inte gå in på här.. Iaf, Mitnick var *inte* den första som lyckades med IP-spoofing. Han var den första som åkte fast för det.... */
5) Upprörda och äcklade kunder är inte bra. Även om företaget bedyrar i hundra presskommunikeer att man inte hade med de ändrade sidorna att göra så kommer de som ser grov våldspornografi på sidorna att associera negativt till företaget./* Jadu.. Psykolog-Louis.. Whatever.. Hehe.. Får mig att tänka på vad det stod i vissa tidningar angående CIA-hacket. "länkar till pornografiska hemsidor", tja, om det är så de uppfattar EN länk till www.playboy.com, den enda länk som hade ngt med "porr" att göra, och då är ju ändå Playboy en 'accepterad' tidning.. */
6) Svårast att upptäcka är de små subtila förändringarna som ändå kan skada företaget. Ett exempel är att lägga in en länk till en firma med extremt dåligt rykte under rubriken "samarbetspartners" eller liknande. Detta är speciellt förödande om det sker vid strategiskt kritiska tillfällen. Listan kan helt enkelt göras lång och är specifik för olika branscher. Jag gissar att ni fattar galoppen vid det här laget. CAPTAIN! WE'RE UNDER ATTACK! Hur är det då möjligt för en inkräktare att ändra på ett företags hemsidor? Behöver han eller hon inte ett konto på maskinen i fråga? Nja, inte alltid./* Wow! Ngt som stämmer för en gångs skull! Nej, det vore ju rätt dumt att ringa upp Telia och fråga om man fick ett konto på deras web-server tex. *HAHAHA*! Hmm, det enda fallet där en ändrad hemsida beror på en dum NFS-export är faktiskt på Phelia.. www.telia.se exportade nämligen /users/wwwsys till (everyone), så det var ju inte speciellt svårt vare sig att ändra på sidorna eller att ta sig in i systemet.. (HP-UX system, man kunde använda en väldigt vanligt bug under HP-UX för att få root-access när man väl var inne.) Vill dock betona att det inte vare sig var PTR eller enskilda medlemmar av PTR som ändrade på deras hemsida.. En person inom nuvarande PTR hade dock root-access där i flera månader innan någon lamer råkade få nys om säkerhetshålet och ändrade på sidan dock.. */
Har man en säkerhetslucka inom företaget som gör att obehöriga kan ta sig in via ett vanligt användarkonto så är det en helt annan diskussion. Då bör man se över sina lösenordsrutiner och sammankalla de anställda till ett seminarium om säkerhetstänkande. Snarare är det så att en inkräktare, som alltid, utnyttjar operativsystemet Unix öppna arkitektur för att ta sig in. Inte för att andra platt-formar och operativsystem är skonade från WWW-hack, ånej. Men, principen är densamma, och Unix-burkar är ju trots allt i majoritet på Internet, så vi använder det som exempel. Webservermaskinerna kör som sagt oftast Unix, och i Unix finns det något som heter NFS (Network File System). Detta lilla verktyg är främst till för att olika datorer skall kunna dela på filer över ett nätverk. Ett av de vanligaste skälen till detta är att man använder diskettlösa terminaler på de olika arbetsplatserna och all data lagras i en central dator. NFS är utvecklat inom Unix-världen och har således inga inbyggda säkerhetsrutiner. Öppen arkitektur, så hette det./* Wowowow! Experten har uttalat sig! *HAHAHA*! Otroligt.. Well, NFS har inga inbyggda säkerhetsrutiner? Argh.. Jo, det har "inbyggda säkerhetsrutiner" precis som allt annat på ett UNIX-system, UNIX-system är fler-användar system och är gjorda för att man inte ska kunna skaffa sig högre rättigheter än man har behörighet till. (Att det sen inte lyckats som önskat är en annan sak.) NFS-filsystem exportas sällan till (everyone), vilket betyder att vem som helst kan mount'a filsystemet på sin egen dator. Normalt exporterar man filsystem via NFS till en eller flera datorer, och då kan endast de datorerna mount'a filsystemet.. Det finns antagligen NFS-utils till DOS/Winblows oxå, men oftast är det UNIX-system som mount'ar filsystemen, och för att kunna mount'a ett NFS-exportat filsystem på sin en dator så måste man vara root på den datorn. root kan inte skriva till NFS-exportade filsystem om de nu inte har exportat det (no_root_squash) eller motsvarande, lite olika för olika OS, och det är det inte många system som gör. Däremot finns det lite olika säkerhetshål i olika NFS-daemons, det finns inte så mycket info om dessa utan det är sånt som man får pröva sig fram till genom sunt förnuft och logiskt tänkande. */
Detta betyder i praktiken att vilken värddator som helst som är kopplad mot Internet kan nå alla filer via NFS./* Vilket skämt.. Tydligen vet inte lillen här att de flesta exporterar endast till specifika hosts på samma nätverk och kan alltså INTE mount'as av vem som helst, och man kan INTE nå alla filer via NFS. Man kan inte ändra på root-ägda filer, om man inte upptäckt ngn liten säkerhetslucka i den NFS-daemon som hanterar NFS-requests på systemet man mountat, om de nu inte har write-permission biten satt för other (eller group) vilket innebär att man har access att ändra på en root-ägd fil iaf.. Det är inte vanligt dock, om systemadministratören har en IQ högre än -10 vill säga. (Visserligen finns det gott om IQ befriade systemadministratörer oxå, men det är en annan sak.) */
Det har nästan i samtliga fall av WWW-hacking visat sig att det är just NFS som har varit anledningen till att inkräktaren kommit åt informationen på datorn som blivit attackerad./* Ah! Nu har vi nått (anti-) klimax.. Det här visar hur lite lillen här vet om vad han i sin enfald skrivit en artikel om, att 'hacka hemsidor'.. För det första, man hackar en DATOR, man ÄNDRAR en hemsida.. (Oftast hackar man bara en dator och skiter i eventuella hemsidor på den datorn.) Det är nämligen VÄLDIGT SÄLLAN som NFS är orsaken till att en hemsida blivit ändrad.. */
Attacken går till så här: Inkräktaren har funnit IP-adressen till den server som har de hemsidor som han eller hon vill förändra. Detta kan man göra med hjälp av till exempel nslookup./* Argh! Ojdå.. "funnit IP-adressen".. För det första så är inte IP-adressen ngn 'hemlighet' för det andra så kan man lika gärna använda sig av hostnamnet, utan att behöva bekymra sig om IP-adressen.. För det andra så 'översätter' ju alltid programmet man använder för att accessa tex en hemsida på www.pyttemjuk.com till dess IP-adress genom att kolla upp den på datorn som är DNS för pyttemjuk.com.. I allmänhet behöver man inte bry sig om vilken IP-adress en host har eftersom översättningen mellan hostname och IP sker automatiskt. */
Den som tänker genomföra inbrottet använder en dator som kör Unix och är ansluten till Internet. Det går i princip med vilken persondator som helst. På sin dator startar inkräktaren NFS på sin sida och börjar undersöka webservern ute på Nätet./* "startar inkräktaren NFS på sin sida"?! Hur dum får man vara.. No further comments on this one.. */
Han letar efter hårddiskar (volymer) som han både kan läsa från och skriva till. Dessa försöker han sedan "dela" med sin egen maskin, så att han kan skriva till volymerna som om det vore hans egen lokala hårddisk. På sin skärm ser inkräktaren om han hittar en volym som han kan använda sig av, en rad som ser ut ungefär så här: - rw /usr/nr-home/* Har redan förklarat detaljerna om detta, och bubblan har redan spruckit. Det är överhuvudtaget mycket lite av det lillen skriver här som stämmer. Orkar inte kommentera alla fakta-fel i fortsättningen. ;-) */
Generöst måhända, men också väldigt korkat. Vad inkräktaren då gör är att använda NFS-kommandot mount, så att han själv kan använda volymen som om det vore en lokal disk. Det är precis som om inkräktaren skulle ha sidorna på sin egen hårddisk, och kan därför läsa och skriva vad som helst till alla filer på volymen./* Needless to say. Fel. */
Sedan ändrar han bara HTML-koden med en texteditor efter eget tycke. Attacken avslutas med att inkräktaren slutar editera filerna och avslutar NFS och loggar ut. Nu är sidorna ändrade och förövaren är borta. HUR KAN MAN SKYDDA SIG?/* Jadu.. Jag måste erkänna du är precis rätt person att lära ut det.. -NOT */
Ja, dels kan man se till att man inte kör NFS på webservrar som det inte behöver köras på. Detta är den absolut bästa lösningen. NFS behövs oftast inte köras på WWW-servrar överhuvudtaget. Dels ser man till att inte göra några diskar med skrivrättigheter tillgängliga utifrån Nätet via NFS. Om man prompt måste ha NFS igång, för till exempel systemunderhåll, så är det allså viktigt att diskarna bara är läsbara över nätverket och inte skrivbara. En annan möjlighet är att sätta upp en så kallad brandvägg som helt enkelt filtrerar bort NFS-förfrågningar som kommer utifrån Internet in mot företagets lokala nätverk. Kanske vill man kunna köra NFS fullt ut på nätverket, men att ingen utomstående och obehörig ska komma åt informationen som finns på servern./* Hehe.. PRECIS sådär tänker många systemadministratörer, synd för dom.. Förr eller senare kommer någon hacker att komma in på det lokala nätverket, och då är det nästan alltid väldigt lätt att fortsätta innanför eftersom de inte alls tagit stor hänsyn till säkerheten när man väl är innanför brandväggen. Telia är ett bra exempel på ett företag som litar för mycket på sin brandvägg. */
OH NO, WE'VE BEEN HAD!/* Had? */
Vad bör man göra om man får sina hemsidor ändrade? 1) Det första man bör göra är självklart att ändra tillbaka sidorna till hur de skall se ut. Den som har gjort intrånget kan inte veta att ni inte väntar på att han eller hon ska komma tillbaka. Låter man de fejkade hemsidorna ligga uppe länge vet den som varit framme att ni inte har så stor koll och gör förmodligen om det. Gör en polisanmälan och ring säkerhetsavdelningen om sådan finnes. Ett WWW-hack kan se oskyldigt ut, men inte sällan har man tagit sig in längre in än så. Om en inkräktare är inne och rotar i ett helt lokalt nätverk, kan följderna bli katastrofala./* Oja.. Elaka h4x0r's vet man aldrig vad de kan få för sig.. Men en äkta hacker däremot förstör inte. (Att ändra web- sidor *kan* vara ett undantag, Tidigare tyckte vi att även det var för mycket, på den punkten har vi dock ändrat uppfattning lite grann. Vi har ett budskap att föra fram, och för att få fram det budskapet är vi beredda att gå så långt som till att ändra en hemsida, om vi har motiv. Som i det här fallet.. Om vi skulle vara ute efter att förstöra så skulle det råda kaos på Internet idag.. För det mesta märks vi inte ens.. */
2) Berätta för folk vad som har inträffat, och erkänn att någonting fel har inträffat. Var öppen. Det lönar sig i längden. Det blir vanligare och vanligare med datorintrång. Det är därför inget att skämmas för./* Naturligtvis inte.. Att hackers ligger ett steg före systemadministratörerna är ju ett allmänt känt faktum.. Att bli besegrad är inget att skämmas för, var en god förlorare. Loser. */
Ett stort företag blev en gång utsatt för intrång på flera av sina servrar. När en journalist ringde och frågade vad som hänt hittade man, i ett sista försök att rädda ansiktet, på en historia. Historien gick ut på att intrånget var mycket mer komplicerat än det egentligen var. Detta ledde till att företaget fick påhälsning igen. Och igen. Ingen vare sig inom eller utanför organisationen visste något om detta "nya, hemska, avancerade hack", och vägen in på företagets servrar blev inte igentäppt. I själva verket var hacket baserat på en klassisk säkerhetslucka, och var närmast att betrakta som slarv./* Ojdå! Vilken fin historia.. Jag menar, det var ju ngt nytt att företag hittar på historier för att rädda ansiktet, och att de blir hackade om och om igen! Nah! Det var som f-n! *HAHAHA*! */
3) Upprätta kontakter med företag i samma bransch och i samma situation. Det kan låta naivt att man skulle ringa konkurrenten när man blivit offentligt förlöjligad, men det är så man jobbar utomlands. Det finns många andra som har egna erfarenheter av intrång, men det enda sättet att få del av informationen andra har är att berätta vad som verkligen hänt, så att man snabbt kan få det hela åtgärdat. Hör efter om inte folket på datoravdelningen kan ta informella kontakter med kollegor inom samma bransch. Chansen är relativt stor att man redan känner varandra en smula. Om andra blir informerade om vad som hänt så kommer dom att vara beredda och vakna på att något skumt är i görningen. Därmed ökar således chansen för att man kan få fast inkräktaren./* *snyft* Bra talat! Da capo! Da capo! */
Vi ses nästa månad då vi gör ett temanummer om din säkerhet!/* DET måste vi köpa! Så att vi får oss ett gott skratt! *HAHA*! // The Power Through Resistance Team */