Stali czytelnicy zapewne pamiętają, że „popełniłem” kilka tekstów o bezpieczeństwie w sieci, o systemach i sieciach komputerowych. Od ponad dziesięciu lat moją specjalnością jest zarządzanie sieciami heterogenicznymi. Oczywiście w skali mikro, bo dotyczy to głownie szkół i małych stosunkowo podmiotów. Jednakże ze względu na zasady bezpieczeństwa nigdy bym nie wymienił ewentualnych podmiotów, dla których coś robię lub robiłem. Wśród znajomych mam też adminów „pełną gębą”, a nawet takich, którzy pracują dla największych w kraju podmiotów. Polityka bezpieczeństwa to jest w informatyce swoiste dziesięć przykazań, za ich nieprzestrzeganie idzie się do piekła. Piekłem jest włamanie.
W swojej pracy zaliczyłem dwa włamania. Jedno dotyczyło szkoły i było spowodowane złamaniem jednego z przykazań. Przykazanie to brzmi: „zmuś użytkowników, by używali możliwie skomplikowanych haseł”. Ja niestety tego zaniedbałem, przyszedł nowy nauczyciel, by założyć mu konto pocztowe, więc siedząc przy serwerze zrobiłem to od razu i kazałem mu samemu wklepać dwa razy hasło. W ten sposób użytkownik zrobił sobie hasło takie samo jak login, a że były to czasy kont systemowych, to ktoś wykorzystał to szybko, używając popularnego skanera ssh sprawdzającego stosowanie prostych zestawień jak admin – admin, root – root albo admin – admin1.
Dwa dni później nudząc się na posiedzeniu rady pedagogicznej, włączyłem laptopa i zacząłem przeglądać logi serwera. I szok. Z jednej strony widzę na własne oczy, że nauczyciel coś tam bazgrze sobie w kajecie ziewając po kryjomu, a w logach widzę, że właśnie korzysta z protokołu IRC. W zeszycie? Bez komputera? Od razu zrozumiałem, że mam włamanie. Dostęp do serwera mógł dalej skutkować dostępem do komputerów dyrekcji i administracji, danych osobowych i finansowych, a więc katastrofą na lokalną skalę.
Tego samego dnia serwer został „zaorany” i postawiony na nowo, a konta użytkowników przestały być kontami systemowymi. Dawały wyłącznie dostęp do poczty i były kontami wirtualnymi. Na dodatek przygotowałem panel www do zmiany hasła, który wymagał, żeby wśród znaków były przynajmniej dwie cyfry i dwie wielkie litery, a hasło musiało mieć minimum 8 znaków ascii.
Nigdy już nie złamałem przykazania, które każe dawać użytkownikom tylko tyle praw, ile naprawdę im potrzeba. Drugie włamanie nie było już tak emocjonujące i dotyczyło takiego półprywatnego serwera, który i tak miał w niedługim czasie zostać wyłączony, a włamano się przez aplikację phpMyAdmin do zarządzania bazą MySQL. Paradoksalnie to włamanie mogło być groźne, bo włamywacz uzyskał dostęp do katalogów www i mógł tam umieszczać pliki. Na szczęście dysk tam był stareńki jak cały serwer i nie było wiele miejsca. Ten serwer również został wyłączony możliwie szybko po włamaniu.
W czasie ostatniej awantury internetowej związanej z ACTA doszło do włamania – choć to określenie na wyrost – na stronę kancelarii premiera. W sieć poszła fama, że login do panelu administracyjnego brzmiał admin, a hasło admin1. Taka wpadka mogła się przydarzyć jakiemuś niewydarzonemu adminowi z Koziej Wólki dziesięć lat temu, ale nie miała prawa się zdarzyć informatykom zajmującym się stroną premiera. Nie popieram włamywania się na jakiekolwiek strony, nie darzę też sympatią script-kiddies, bo przypominają mi przysłowiową małpę z brzytwą. Najczęściej wykorzystując gotowe narzędzia nie wiedzą, co robią i zupełnie przypadkiem mogą stać się źródłem poważnych problemów. Jeden z moich znajomych mówi, że jeśli już wiesz jak się włamać i potrafisz to zrobić, to przestaje to być fajne i wcale nie chcesz tego zrobić.
To, co mnie zaniepokoiło w całej tej historii, to fakt, że do dziś nie usłyszeliśmy, że z zespołu informatycznego zwolniono w trybie natychmiastowym tyle to a tyle osób. Osoby zarządzające stroną powinny wylecieć na bruk, na przysłowiowy „zbity pysk”. W tym wypadku mamy do czynienia ze strukturami informatycznymi państwa i tam nie ma miejsca na łamanie podstawowych przykazań, tam się nie powinno dawać drugiej szansy.
8 komentarzy “admin1”
Cóż, niestety mamy takiego admina no.1, który podał swoim „unijnym partnerom” na srebrnej tacy swoje jaja wraz z dołączonym młotkiem.
Wolę już takiego, co to nie umie obsługiwać laptopa, zapiski robi na kartce, nie ma konta w banku ani prawa jazdy. Za to wszystko mówi z głowy i nikt mu na kartce nic nie zapisał. Prawdziwy geniusz nie wymaga gadżetów. Niestety, ostał nam się tylko jeden.
Kto to taki?
Jakiś ty ZERRO niedomyślny. Przecież nie Tusk, bo on jest informatykiem w KRM i to on miał takie hasło. To Jarosław Zbawca on by miał hasło trudne przyklejone na karteczce do monitora.
A któż to miał hasło przylepione do monitora? Że przypomnę „niebieski7”.
Żeby było jaśniej.
http://www.se.pl/multimedia/galeria/77834/haso-do-komputera-premiera-niebieski-7/
Ciepło, belfer. Ale pomyliłeś osoby.Cienki magister a doktor nauk prawnych, to chyba jest różnica. Jasne?
Chyba, że posiada się nick o wdzięcznej nazwie: ZERRO.
Nie rozśmieszaj mnie. Doktoraty braci Kaczyńskich wyjątkowo i wręcz groteskowo (w świetle ich późniejszej ideologii) związane były z socjalistyczną rzeczywistością PRL. Wstydziłbym się dziś przyznać, że mam taki doktorat, to obciach.
Na szczęście w mojej osobistej historii nie ma żadnych prac o tematyce socjalistyczno-leninowskiej.
pytanie miało być retotryczne 😀
@father boss
Każdy ma swojego idola, a Ty akurat wierzysz w swojego wręcz fanatycznie, z domieszką mistycyzmu. Zdaję sobie sprawę, że nawet gdyby Belfer krytykował czyścicieli szamb, to znalazł byś niezbite dowody, że Prezes lepiej od nich pływa w gównie 😀
I to akurat byłaby prawda. 😉