Rok 1997 nám přinesl ještě jedno nemilé překvapení. Na náš server se dostal hacker a pořádně nám zatopil. A nejenom k nám, ale i na MaMedia, Seznam a další servery. Jak k tomu došlo?
Hackeři a hackování
Co vůbec tyto pojmy znamenají? Můžete si je přeložit jako zaháčkování lodi piráty a nebudete nijak daleko od oficiálního výkladu. Hackování je průnik do systému bez vědomí nebo proti vůle uživatele. Často se ve spojení s hackery používá pojem „nelegální průnik“, ale vzhledem k úrovni legislativy bych raději zůstal u mé definice, kde je průnik spojován spíše s absencí souhlasu nebo vědomí majitele či správce systému. Ono se totiž i diskutuje o tom, zda je takový prunik v mnoha případech nelegální, když je počítačový systém nedostatečně zabezpečen, zda je to totéž, jako když nevědomky vstoupíte na cizí soukromý pozemek, ovšem neoplocený a neoznačený.
Hacker je tedy člověk, který proniká do cizích systémů, stranou pak ponecháváme to, zda tak činí za úplatu, pro nějakou třetí stranu, nebo zda jest to jen jeho soukromá aktivita, hobby, čili počítačový sport. Hacknutím, hackem pak nazýváme dokonanou akci hackera, čili průnik do cizího systému. Ačkoliv se může zdát, že hacker musí být člověk nadprůměrně technicky erudovaný a detailně znalý počítačových sítí, opak může být pravdou. I mezi hackery jsou kvalitativní rozdíly, i pro hackování totiž existují utility a nástroje, zpravidla vytvořené tou nejvyšší sortou hackerů. Tyto utility bývá možné použít i s nízkou úrovní znalostí - takový hacker se ale v hackerské hierarchii na rozdíl od autora utility neřadí přiliš vysoko a také není zpravidla schopen proniknout do dobře zabezpečených systémů. Ty totiž jsou proti akcím těchto utilit zpravidla dobře zabezpečené.
Proti hackerům existuje mnoho metod obrany – především důsledné zabezpečování systémů a ochrana hesel, jakož i prověřování osob majících přístup k důvěrným informacím, například právě heslům. Ovšem ani bedlivé sledování všech možných záplat systému neposkytuje absolutní jistotu. V hackerském světě platí zásada: proniknout se dá do každého systému, záleží jen na námaze a prostředcích, které k tomu je nutno použít. To ale není omluva pro správce sítí, kteří toto nebezpečí podceňují. Důsledná ochrana vlastní sítě a serverů naprostou většinu hackerů spolehlivě odradí.
Hackování byl v roce 1997 poměrně populární a internetovou veřejností i respektovaný sport. Zpravidla se hackovaly servery státních institucí, což vadilo málokomu, samozřejmě s výjimkou nepopulárních státních institucí.
Jenže v průběhu roku 1997 přišla změna. Pozornost hackerů se zaměřila na první soukromé servery vznikající na internetu. Byla to logická volba – většina jejich správců sice uměla vytvořit zajímavý obsah nebo aplikaci a ta se stala navštěvovanou, nicméně se zajištěním bezpečnosti to bylo slabší. Tehdy mezi správci serverů převládal bezstarostný názor, že „nám se přeci nemůže nic stát“. Servery v té době nevydělávaly, nestály za nimi žádné bohaté společnosti, jimž by někdo mohl snad chtít uškodit. Jenže byly navštěvované, což se o serverech státních institucí říci nedalo. A tak hacknout MaMedia znamenalo rozhodně větší veřejný ohlas a pozornost, než hacknutí serveru ministerstva. Minimálně jste se jako hacker mohli vyhnout tomu, že jste na hacknutí museli sami upozorňovat v konferencích, aby si ho někdo vůbec všiml.
Spolu s tímto poznáním tedy i do České republiky dorazila vlna hackerských útoků proti soukromým serverům. Cíle útoků byly podle všeho voleny podle jednoduchého klíče: rozumná návštěvnost a popularita serveru spolu s bezpečností chybou, opomenutím či selháním správce serveru. Taková akce slibovala jistý „zisk“ při minimální námaze.
Konec roku 1996 a počátek roku 1997 byl hacků na českém internetu plný. Nejdříve přišel hack stránek Mendelovy university, záhy následovaný stránkami Hollywood Classic Entertainment a serverem Ministerstva zdravotnictví. Na Slovensku to odskákaly servery tiskové agentury TASR a noviny SME. Vše neslo podpis hackerské skupiny CzERT. Ještě v době, kdy se v listopadu 1996 terčem útoků stal armádní server provozovaný ministerstvem obrany a Šafaříkova univerzita to vypadalo jako legrace, zejména hacknutí armádního serveru bylo i internetovou veřejností přijímáno jako dobrý vtip. Mluvčí ministerstva vnitra tehdy ujišťovala, jak se armádních dat hacker nemohl ani dotknout, protože na serveru žádná nejsou – bylo to velmi veselé.
Hacknutí MaMedia
Večer 15. února 1997 hackerská skupina CzERT zaútočila znovu a oblíbený český diskusní server MaMEDIA jí podlehl. Na stránkách s typickým obrázkem smějícího se rudého čerta se také objevily údaje o lidech přistupujících do auditora zabývajícího se kradeným software, warezem.
Hackeři tento seznam doprovodili větou „Toto jsou uzivatele z Mamedie, kteri sa zabyvaji piratcenim ukradeneho sowafwaru. CzERT/SERT/RWSRXRX goes legal, and is now supporting BSA!“ (věta je originální nekorigovaná“. Na MaMediích se totiž diskutuje anonymně – uživatele jste poznali podle jeho ikonky nebo podle jeho uživatelského jména, o jeho pravé totožnosti jste ale nevěděli nic. Hackeři ze skupiny CzERT se nabourali do registrační databáze MaMedia a loginy uživatelů diskutujících v auditoriu Warez spárovali s jejich osobními údaji a ty poté publikovali na hacknutých stránkách. Zdroj jak to vypadalo.
Mnoha lidem byl tento hack již řádně proti srsti. Jednak správcové MaMedií měli docela dost práce s obnovou systému a jeho opětovným zprovozněním, navíc se ale ozývali lidé „postižení“ zveřejněním v seznamu. Mnozí z nich argumentovali tím, že se na seznam dostali neprávem, protože ve Warez auditoriu žádný kradený software nechtěli ani nenabízeli, dokonce jeden uživatel, který byl na seznamu, ve skutečnosti do auditoria napsal jediný příspěvek a to zamyšlení nad tím, že software by se přeci jen krást neměl. Opakovala se tedy situace obdobná, jako při zveřejnění takzvaných Cibulkových seznamů agentů STB.
Později v emailovém rozhovoru pro časopis Internet hackeři ze skupiny CzERT popsali hack MaMedií takto:
<blockquote><p>„Chyba byla v tom, že se pan Votava logoval většinou na <a href="http://www.mamedia.cz">www.mamedia.cz</a> přes PPP konto o pár sítí vedle, a tak bylo potřeba najít stroj mezi ním a MaMédii a zachytit na něm příslušný packet. To ani není chyba administrace daného serveru, ale spíš problém v TCP/IP, i když se teď dost rozšiřují síťové programy podporující šifrovanou komunikaci - např. SSH - Secure Shell - které tento problém vyřeší. Spíš je podle mě těžší potom nepozorovaně vniknout na stroj a kompletně zůstat neviditelný. Čištění textových logů je lehké, ale binární logy (wtmp, lastlog, acct..) jsou už složitější, a opravování access time atributů všech přečtených souborů může být občas pěkná otrava. Také může být dost obtížné zneviditelnění před systémovými utilitkami jako jsou ps, top, netstat a podobně. Bližší detaily útoky by asi nebylo rozumné rozebírat, protože by takové informace mohly být zneužitelné, a taky je to trochu divný pocit, když má kouzelník prozradit jak vytahuje králíka z klobouku.</p>
Já jsem v sobotu večer Votavu asi ve 20:00 odblokoval z www.mamedia.cz, kde byl lognutý, a zablokoval jsem mu heslo. On se však za pár minut dostal zpět přes backdoor ve WWW a shodil stroj i mě na něm a předělal nazpět všechny html soubory do původního stavu. Ale já jsem je zase dostal zpět před 21:00, shodil jsem stroj a tentokrát kompletně zablokoval přístup přes telnet (hosts.deny), neboť jsem věděl, že stroj je fyzicky u Cesnetu a pan Votava k němu nemá přístup (jinak by se dal získat root nabootováním z diskety). Mezitím mě Votava kontaktoval na MA, navázali jsme hovor (vzhledem na okolnosti musím říct, že relativně přátelsky naladěný :-) Tak jsme se místo bitek a rebootů dohodli na kompromisu - já jsem ho pustil na stroj a on mi nechal moje stránky do pondělí.
Seznam (uživatelů Warezu) byl vytvořený člověkem z RWSRXRX, který se mnou na hacku spolupracoval, extrahováním údajů z MaMedia o frekventovaných uživatelích auditorií "Warez, Gamez...". Ale zveřejněním jsme nesledovali žádné "vyšší cíle". Seznam nebyl sestavovaný s úmyslem je poškodit, koneckonců na základě tohoto seznamu je nikdo stíhat nebude. Je to veřejný výsměch, nic víc. Vždyť jaký by byl svět smutný, kdybychom se nemohli zasmát takovým sosákům warezu, celé té "kultuře" okolo warezování, '0-day 3lit3 warez' skupinám, 'Warez FTP s1tez', a nad ic|-| 3l1t3 m3nAm1. Pohrdám jimi. Proto z naší strany nebyla žádná snaha o získání více adres logováním serverů, záznamem trafficu na warez sajtech. Mezi 20:00 a 0:00 jsem změnil jejich ikony těch uživatelů na obrázek penisu... Můj názor na lidi, kteří se ohrazují, že newarezí, a přesto jsou na seznamu? Říká se, že potrefená husa se ozve. Kdyby doopravdy newarezili, tak by se teď celí rozklepaní nekrčili doma pod pohovkou, ale jednoduše by se tomu zasmáli. Tak, jako se směju já.“
</blockquote>
Takhle hack vypadal:
Hacknut Mobil.cz
Krátce před tím, než byl Mobil.cz hacknut, vyšel na Neviditelném psovi článeček Ondřeje Neffa o tom, že nás někdo hacknul. Důkazem byla stránka z našeho serveru se seznamem BTS, v níž byla větička „hacked by Tom“. Někdo Ondřejovi Neffovi toto podal jako důkaz toho, že i náš server byl hacknut. A protože bylo právě krátce po hacku MaMedií, vypadalo to i pravděpodobně. Jenže pravda byla trochu jinde, větička byla určena pouze jako poděkování člověku, jenž si říkal Tom a jenž nám seznam základnových stanic RadioMobilu stáhl z jejich sítě a zaslal emailem. Nešlo tedy o hack našeho serveru, ale o průnik do sítě RadioMobilu. Petr Mitošinka to napsal emailem Ondřeji Neffovi a požádal ho o stažení článku. Jenže Ondřej Neff pouze ke článku doplnil naše vysvětlení a článek nestáhl. Bohužel pro nás vysvětlení působilo spíše hrdě na to, že nejsme hacknuti a tak, než jsme s Ondřejem Neffem zjednali nápravu, bylo pozdě. V noci ze čtvrtka na pátek 21. února 1997 hackeři zaútočili na náš server. Petr totiž napsal:
<blockquote><p> "Rad bych uvedl na pravou miru zpravu o hacknuti serveru www.mobil.cz, ktera byla uverejnena v Neviditelnem psovi dne 18.2. Zminka na jedne ze stran tohoto serveru, ktera byla pochopena jako hacknuta stranka, je minena pouze jako podekovani spratelenemu hackerovi za jeho "malou sluzbu". Rozhodne tim nikdy nebyl minen zadny zert vuci hackerum. Petr Mitosinka peta@mobil.cz"
</p> </blockquote>
Zjistil jsem to já ráno, když jsem před devátou dorazil do práce a kdy mi emailovali lidi, ať se podíváme, co máme se serverem. Zavolal jsem Petrovi Mitošinkovi a ten se dal do náprav škod. V té době ještě nebyly veliké, Petr začal zjišťovat rozsah poškození a připravovat systém na kompletní reinstalaci.
Jenže krátce před půl dvanáctou Petra kdosi odpojil od terminálu a Petr se už na počítač nemohl dostat. Poslal mi email, protože s sebou neměl telefon a já jsem ihned volal do NetForce, aby náš počítač fyzicky vypnuli. Stalo se. Když Petr s Filipem Streiblem dorazili do NetForce, ukázalo se, že po nočním vcelku neškodném hacku, kdy byla pouze změněna naše titulní stránka, se někdo znovu naboural na náš stroj a tentokráte jeho úmysly byly vyloženě demoliční, když přikázal smazat obsah našeho pevného disku. Jen to, že technici NetForce právě v tom okamžiku vypnuli server, nás zachránilo od ztráty celé práce, ale i tak jsme přišli o mnoho. Kromě nové verze právě nakonfigurované a dodělané SMS brány jsme přišli o obsah velké části webu,
Petr s Filipem se ihned pustili do kompletní reinstalace Linuxu, aby odstranili případná zadní vrátka do systému, pokud by si je hacker byl nechal a já jsem na všechny strany rozesílal výzvy o pomoc. Mnoho článků totiž existovalo pouze v té formě, v jaké byly na webu. Moje články jsem sice na disku měl, ale Petrova a Filipova práce zálohována nebyla. A tak nám mnoho lidí začalo posílat emailem stránky uložené na disku, potom se ozvalo i několik správců velkých sítí, kde byly uložené kompletní naše stránky v cache pamětech. Jen díky tomuto nasazení lidí, které jsme ani neznali a kteří nám tak nezištně pomohli, se nám podařilo za víkend nepřetržité práce provoz serveru obnovit.
Ještě týž víkend (přesněji řečeno dvakrát, jednou v pátek a podruhé v sobotu) hackeři podepisující se jako CzERT napadli Seznam a rovněž změnili jeho titulní stránku. Jenže součástí této změněné stránky byl i link volající telnet s nastavením, kdy se kdokoliv mohl dostat jako administrátor na Seznam. Seznamu se sice nestalo nic vážnějšího, Ivo Lukačovič ale také měl celý víkend o práci postaráno. Právě skutečnost, že hackeři CzERTa nechali server jen tak otevřený pro každého neznalce, vzbudila veliké pobouření spolu s tím, jak dopadl Mobil.cz.
<blockquote><p> Neviditelný pes 23.2.1997 - "Anonymni parchante, at jsi kdo jsi, znicil jsi praci slusnych lidi. Vyvolal jsi zbytecny spor mezi lidmi, kteri by jinak k sobe meli blizko. Vim, ze to muzes udelat znovu. Muzes smazat mobil znovu, muzes smazat Psa na serveru nebo na mem pocitaci - neni chraneny, nesedim za firewallem, jsem na fuckin´n petadevadesatkach. Muzes se mi i vysrat na schody. Muzes vzit kladivo a rozbit mi glassajbu limousiny. Uriznout ocas Bartovi nemuzes, protoze a) ho nema, b) by te kousnul do prdele. Jinak muzes vsechno, ze skrytu, zbabele a zakerne. Jsi ze stejneho rodu, jako fasiste, kteri porezali ksicht Pavlovi Dostalovi. Patris ke spine sveta. Jsi zive hovno. Smrdis a nestoji ti ptak. Ze tebou pohrdam doufam ze jsi uz vytusil," napsal k tomu Ondřej Neff.</p>
</blockquote>
Konec února 1997 tak přinesl českému internetu rozsáhlou debatu o hackování a o hackerské skupině CzERT. Zatímco případ hacknutí armádního serveru byl ze začátku také úsměvný, v prosinci 1996 byl na Neviditelném psu publikován email od správce armádního serveru. Správce si stěžoval, že hack a ostuda s ním spojená přerušila jakékoliv armádní snahy zprostředkovávat jakékoliv informace na internetu. Obdobně reagovaly i ostatní státní instituce – internet začaly ignorovat nebo podceňovat ve snaze vyhnout se případné ostudě. Hacknutí MAMedií do toho vneslo další rozměr – co se děje s daty, k nimž se hackeři takto dostanou? Brutální hack Mobil.cz a Seznamu, který měl nebo mohl mít za následek zničení cenných dat, pak znamel rozsáhlé odsouzení hackování obecně. Ondřej Neff, do té doby na Neviditelném psovi vedoucí koutek hacknutých stránek na protest proti postupu hackerů tento archiv smazal,
<blockquote><p> Jeden ze členů hackerské skupiny CzERT později v rozhovoru pro časopis Excalibur prohlásil: „Na Netforce (síť, na které je server Mobil umístěn) byl v té době doslova hackerský kabaret. Hackovalo tam více lidí, viděli jsme jejich stopy. Nevěděli jsme však, kdo to byl.“ Ačkoliv se zdálo pravděpodobné, že za samotné smazání serveru Mobil.cz nebyl zodpovědný přímo CzERT, ostrou kritiku a rozhořčení sklidila skupina právě za to, že hacknuté servery nechávala otevřené a bezbranné, takže si je mohl jakýkoliv trouba s naprostým minimem znalostí libovolně podat. Ondřej Neff tehdy prohlásil: “Je to, jako kdyby se vám někdo vloupal do bytu, celkem nic neukradl, ale nechal dveře dokořán.“</p>
</blockquote> <blockquote><p> Časopis Excalibur, rozhovor s členem CzERTa, Neologicem: Ten mobil.cz som robil ja… kratko nad ranom - asi okolo 5 am sme diskutovali so seteuidom na cZert chat robotovi. seteuid cital vtedy cerstve vydanie neviditelneho psa, a tam neff robil narazku na to ze www.mobil.cz asi hackol cZert, pri tom to nebola pravda. dokonca bola kopia www.mobil.cz umiestnena na archive hacknutych stranok. tak sme si povedali ze by vznikla velmi vtipna a absurdna situacia ked ten server www.mobil.cz naozaj hackneme. www.mobil.cz sa nachadzal na sieti inet provajdera “netforce”, ktory seteuid velmi dobre poznal.. cela siet *.netforce.cz bola totiz uz niekolko mesiacov domovom viacerych hackerov, aj ja som par krat zneuzil ich masiny na presmerovanie IP packetov (tzv. redirektormi). seteuid bezal na netforce sniffer (program zachytavajuci hesla na lokalnom ethernete), takze mal zoznam viacerych login/hesiel na pocitace v netforce. tie mi dal a isiel spat :)ja som potom skocil do Nitry na pocitac sai.uniag.sk a z neho som zautocil na mobil.cz. nebolo mozne sa dostat na www.mobil.cz cez telnet, myslim ze tam mali hosts.deny ktory povoloval pristup iba z niektorych vybranych masin. FTP vsak mali pristupne odvsadial, takze som pouzil dost stary trik ze som uploadol cez FTP subor .forward a program na otvorenie shellu na specifikovanom porte, ktory sa spustal prave cez .forward. potom som poslal postu na server mobilu a otvoril sa mi shell na vysokom porte, takze som mohol interaktivne pracovat na www.mobil.cz. ked uz som tam bol lognuty tak to bolo dost jednoduche.. ziskal som prava httpd a zmenil html stranky, to bolo asi o 6:45 am a potom som isiel hned spat. ked som sa zobudil poobede, bola uz na inete velka fama o tom ze czert vymazal www.mobil.cz…kontaktoval som neffa a spravcov z mobil.cz ohladne tej veci a napisal som im ze som to ja nebol.. spravcovia mobil.cz mi dali za pravdu podla informacii o mojom utoku ktore som im poskytol. vedel som ze na netforce bol v tej dobe doslova hackersky kabaret.. hackovalo tam viacej ludi - videli sme ich stopy. nevedeli sme vsak kto to bol. musel to byt nejaky hacker ktoreho zavist voci cZertu priviedla k tomu aby vymazal cely server www.mobil.cz </p> </blockquote>
Hackování na českém internetu tímto rozhodně neskončilo. Následovaly další servery, ovšem již komerčního charakteru. Došlo na Union Banku (diskuse o zabezpečení bank), výrobce WinProxy a také poskytovatele internetu LantaNet. Hackeři se ale přeci jen více zaměřili na firemní servery, kde se daly očekávat větší sympatie lidí, než při útoku na oblíbené internetové destinace, navíc destinace po dlouhou dobu vznikající jen z nadšení a fandovství autorů.
Kromě toho, že se proti hackování vyslovila poměrně velká část lidí, kteří o něm doposud smýšleli spíše sympatizujícně, byl asi nejdůležitějším výsledkem únorových hackerských útoků v roce 1997 zvýšený důraz na zabezpečení internetových serverů a to nejenom firemních, ale také serverů čistě internetových projektů. A také to, že jsme si pořídili prvního bezpečnostního experta. Ale o tom zase někdy příště.