Hystéria: Goldschmidt – Spišiak – Bella

Pojem *heslo nbusr123* momentálne označuje súbor bezpečnostných opatrení, ktorých prípadné odhalenie vzbudí úsmev smerom k ich vykonávateľom.


* v piatok hackeri prostredníctvom svojich hovorcov Pajkus a spol. oznámili, že vypli o 16.00 NBÚ od internetu. Hovorca NBÚ to *vzápätí poprel.* Servre sa zvonku vypnúť nedajú. O niekoľko dní tvrdí, že incident „vypnutie od internetu“ *sa neudial „na ich území“.* Musí ale vysvetliť, prečo na cudzom území bolo používané už v apríli kompromitované heslo na zariadeniach, ktoré poskytovali službu „ich územiu“. Prečo naznačuje, že to nie je problém a že to nie je problém NBÚ? Nebolo dostatočným poučením, že aprílový hack „nedôležitej časti siete“ môže mať vcelku nečakané následky?
* je jasné, že v apríli sa okamžite začalo vyšetrovanie samotného hacknutia (pretože pochopiteľne nikto nedal podnet na vyšetrenie úrovne bezpečnosti aká počas útoku a pred ním panovala v NBÚ) a je mi jasné, že samotné tragicky jednoduché podmienky na jeho uskutočnenie neboli nijako porovnateľne vyšetrované. Preto je dnes pochopiteľné, že vyšetrovatelia konajú v súlade s tým, čo vyšetrujú a samotné NBÚ ani vinníci akosi nie sú zatiaľ postihnutí. Zaujímavé by bolo sledovať slovník vyšetrovateľov voči tým, ktorí dopustili takéto zlyhanie :-)
* je jasné, že teraz všetko pôsobí ako neustále odkláňanie pozornosti od omnoho väčšieho problému: prečo vyšli najavo skutočnosti ako diletantský prístup k prístupu k vlastným systémom (v apríli)? Prečo vyšli najavo skutočnosti, že firma s bezpečnostnou previerkou poskytuje NBÚ služby s použitím kompromitovaných hesiel? Aký je potom stav ďalších bezpečnostných opatrení, návykov, riešení, dokumentácie a systémov? Nie je táto otázka ďalekonásobne dôležitejšia pre celý štát ako problém KTO je hacker a za ČO ho považuje policajt Spišiak (aj keď mu pravdu neberiem, nie je jeho názor ani momentálne vyšetrovanie tak dôležité).
* sympatie voči tej alebo inej strane zrejme nemajú žiadnu oporu v zákonoch. Výklad zákonov je dokonca rôzny a dosť často počúvame rôzne príklady o „domoch, zámkoch“. Všetky majú rôzny stupeň podobnosti, no vždy záleží na chápaní konkrétneho prípadu a pre samotný problém predošlého odseku je tento pohľa pomerne nedôležitý. Naozaj je nepodstatná otázka miery kriminalizácie činu hackera.
* začína mi to silne pripomínať knižku Hacker Crackdown. Veľká inštitúcia plná kravaťákov (krvaťákov) proti malému stredoškolákovi, ktorý ma len tú smolu, že má chuť dozvedieť sa viac aj za hranice, ktoré sú pre drvivú väčšinu nezaujímavé a zbytočné. A zdá sa, že doslova ide tankový útok proti školákom. A opäť zopakujem slovo precedens (ktoré si obľúbili aj vystupujúce osoby v médiách), nedávajme príliš príležitostí na sympatie k trestným činom a riešme radšej jadro problému. Hacker tu bude zrejme vždy, ale *heslo nbusr123* môžeme eliminovať rýchlejšie.
* hlúpi ľudia sa radšej zaoberajú zločinnosťou hackerov a zámerne zabúdajú na omnoho väčší problém spoločnosti. Prečo to robia? Zrejme je to na posúdenie „viny“ omnoho jednoduchšie. Ľahšie sa lynčuje „skutočné zlo“ ako kamarát „ktorý pochybil“.
Prečo sa tým tak siahodlho zaoberám? No je to celkom zábava sledovať reakcie ľudí, ktorí sa ľahko chytia na ľahšie riešenie: hacker hackol, spáchal trestný čin, nech dostane maximum, čo sa dá. Nemajú ani najmenší záujem čokoľvek a akokoľvek hlbšie skúmať. Možno z nedostatku fantázie? Netuším. Takisto je zábava sledovať vyjadrovanie pána NBÚ. Je zábava sledovať ako sa tvoria precedensy a ako sa tvoria isté historické medzníky. Ten človek, ktorý naťukával do systému to heslo, jeho pocity teraz ma naozaj zaujímajú. V ten moment mu absolútne nenapado akú slávu jeho prsty vkladajú na klávesnicu.
Zaujímavé je tiež sledovať ako tí istí ľudia, ktorí protestujú voči „logovaniu“ komunikácie sú schopní útočiť aj voči banálnej položke podmienok servera Onyx (garantoval nelogovanie niektorých vybraných činností). Malý hlúpy Janko otvára oči nad tým, že hociktorý server si robí niekoľkoročné záznamy o ich činnosti a zároveň je „zhrozený“ tým, že niektorý server to „nerobí“.
Jozef Vyskoč v článku SME tvrdí: „je najvyšší čas sa zaoberať základným vzdelávaním ústavných činiteľov o tom, čo to je informačná bezpečnosť“. Spomeňte si ako z domény štátneho úradu patriaceho MV Vám prichádzajú hoaxové lietadlové hry. Ako Vám kamarát, inak úradník v štátnom úrade, posiela rôzne tie ničím nepodložené ohováračské e-maily. Prečo Vám úradníčka, ktorú ste požiadali o zaslanie informácií e-mailom neskôr posiela listy šťastia. Prečo Slovenská pošta časť svojich služieb pre štátnu správu poskytuje na „hry“ úradníkov?
Zaujímavejší článok je konečne aj na itnews
Čo tam potom, nielen štátna správa ale:
*Je najvyšší čas sa zaoberať základným vzdelávaním spoločnosti o tom, čo to je informačná bezpečnosť!!!*
Kompom sa pri lopate nevyhnete!


Teraz čosi osobnejšie: každý, kto prevádzkuje verejne dostupný systém sa borí s problémami: ako to naprogramovať, skonfigurovať, sprevádzkovať. Ale aj problémami: ako ustíhať zabezpečenie systému. Iste mu príde veľmi blbé, pokiaľ mu to niekto hackne. Pokiaľ mu prepíše úvodnú stránku, tak má trochu roboty naviac. Sú ale aj prípady, keď naserie úplne vymazanie obsahu. Osobne som najradšej, pokiaľ sa ku mne dostane upozornenie na nedostatok a mám čas ho vyriešiť (opravou alebo aj nútenou odstávkou). Verím viac v to, že ako prvý sa mi ozve ten s upozornením. Vždy sa bojím toho, že spúšťam systém, ktorý nie je bezpečný. A dosť sa bojím pokiaľ ho nasadzujem do prostredia, kde absentujú isté „návyky“.

Written by rony

4 komentáre

spyros

Podla toho, co hovori Spisiak, je to jednoduche. Policia tvrdi, ze server ONYX, kde sidlila Hysteria sa pouzil na utok proti NBU. Potom je vsjo jasne a policajti si s chutou pre seba zabrali cely server.
A o tom to cele je…

rony

[3] a pritom to kludne mohlo byt aj tak, ako prikazovali pravidla: hackovali si sami doma a na hysterii si o tom pokecali. a mozno ani to nie, mozno boli odsledovane z pocitacov tych stredoskolakov navstevy hysterie :-)

Comments are closed.