[FreeBSD] kerdes biztonsaggal/betoressel kapcsolatban (Szilveszter figyelmebe!)

[Miklos Niedermayer]

Hello!


> 16. Kiserlet miatt buntetendo, aki szandekos buncselekmeny elkoveteset
> megkezdi, de nem fejezi be.
> 
> Tehat itt a valasz az elso kerdesre: Igen, az is buntetendo, ha valaki csak
> probalgatja a gepeden a scriptjeit. Az elkovetes megkezdodott, es nem rajta
> mult, hogy nem volt eredmenyes. Tehat nem kell megvarni B.Gates
> megjeleneset a honlapodon.

Itt fontosnak tartanám megemlíteni, az eredeti kérdésre: nem, nem mehetsz
minden script kiddie-vel a rendőrségre, és nem is dumálhatod meg velük, hogy
mostantól minden ilyen kísérletről csak dobsz nekik egy emailt (túl sok lenne
a feljelentés)...  Azt ugyanis marha nehezen fogod bizonyítani, hogy _az_ a
script kiddie neked tényleg akkora kárt okozott, hogy indokolt legyen a dolog.
Tehát eleve úgy mész el a rendőrségre, hogy 
 a) próbálkoztak, károm van, és még várható is (majd a helyreállítás után)
 b) most még nincs károm, de biztos, hogy lesz (és kb. elég sok, tehát nem pár
    ezer forint)

Rendőrségi feljelentésnél ennek mindössze annyi szerepe van, hogy el kell
dönteni, komolyan kell-e venni a dolgot, ill. a rendőrségre tartozik-e.  A
későbbiekben, ha komolyabbra fordul a dolog (ügyészség -> bíróság), neked kell
bizonyítanod a kár meglétét, ugyanis kár nélkül nincs bűncselekmény.  Ez nem
olyan komoly bizonyítás mint amit a szemben lévő delikvenstől követelnek meg,
de egy esetleges 'ügyben' erre is rákérdezhetnek (mondjuk a másiknak az
ügyvéde) és hasraütésszerűen nem lehet megjátszani, hogy ez a script kiddie
most nekem 70000 ft kárt csinált azzal, hogy szarakodott és 2 éjszakát azon
ültem, hogy utánajárjak, mert lesz annyi sütnivalójuk, hogy megmutassák, nap
mint nap mászkálnak ilyen script kiddiek ugyanígy és érdekes módon ők nem
csinálnak kárt, stb.


> A logok, noha mindent nem bizonyitanak, de kiindulopontnak jok. Emelle
> jarul meg az erintett rendszer esetleges szakertoi vizsgalata, a
> kezeloszemelyzet tanuvallomasa, az IDS logok ha voltak, stb.

Ami itt igazán számít, az a saját tanúvallomás, és a logok.  A
szakértői vizsgálat itt nem igazán jellemző, ugyanis nem várhatod el, hogy
mondjuk betörtek a bazi nagy gépedre ilyen-olyan speckó szoftverekkel, és
akkor a hatósági szakértő majd tudjon utánajárni.  Ha te vagy az ISP vagy
hasonló, akkor indulásként bőven megelégszenek azzal, ha a dolgozóid
tanúvallomásként állítják a betörés meglétét, ezekről te mellékeled a
logjaidat, értelmezéssel (pl. hogy a logrészletben mi mit jelent).  Nem
valószínű, hogy az első körökben belekötnek a logba, nincs rá okuk.


> az kell, hogy a rendszeren a betores utan ne valtoztass, mert ha iziben
> reinstallalod a rendszert, akkor annyi a nyomoknak. Ezzel egy kulon
> segedtudomany foglalkozik, a "szamitogepes bonctan" (hulye forditas, de
> most talaltam ki) szoval a computer forensics. Elegge kifinomult
> eszkozokkel nincs olyan adat, amit valaha egy lemezre irtak, amit ne
> lehetne visszanyerni, mindegy hogyan toroltek le. Gondoljatok arra, hogy az
> adatmentessel foglalkozo profi cegek, pl a Kurt, meg olyan gepek lemezeit is

Jó, ez egy kicsit most túlzás.  Az ISP-től nem fogják elvárni, hogy nyújtsa át
a szervereit hatósági vizsgálatra, de azt sem várják el ilyen nagyjából
enyhébb esetekben, hogy ne állítsa helyre az üzemet, mondjuk mentés után,
olyan mentés után, ami garantálja, hogy megmarad a szükséges infó (és itt,
ezen a ponton, ha úgy néz ki, hogy komolyabb fogásról van szó, a cég nyugodtan
felkérhet egy másik szakértő céget arra, hogy vegyen részt ebben a mentésben
és log feldolgozásban, a költségeket majd a gyanúsított, és akkor a következő
körben már úgy mennek a rendőrségre, hogy egy rakás, szakértőként azonnal
megbízott cég által kielemzett dokumentummal, és ebbe már nehezebb belekötni).


> Az mas kerdes, hogy ezzel meg csak a buncselekmeny megtortentet
> bizonyitottad. De az elkovetore konkretizalt gyanuhoz azt is kell
> bizonyitani, hogy azt o es nem mas kovette el. Ez mar trukkosebb.

Amennyiben 'szokásos' akcióról van szó, ismeretlen tettes ellen teszel
feljelentést és a megfelelő adatok birtokában a rendőrség fogja kideríteni és
bizonyítani a tettest, más szolgáltatókon, telefontársaságokon stb. keresztül.


> "h4x0r kirandulasok" tilosak, es ne toleraljak, ha megis elofordul. Ki kell
> dolgozni, hogy a geped felugyelete lehetoleg minel tobb irasban is
> kovetheto nyommal folyamatos legyen. Meg a nem tul IQ bajnok aruhazi
> biztonsagi orok is allandoan vezetnek esemenynaplot arrol, hogy mi tortent.

Pl. root logout script, ahol minden logoutnál leírod, hogy mit csináltál, és
ez loggolódik, vagy valami hasonló.  Nagyon sok jelentősége a nyomozás
szempontjából nincs, talán csak abban, hogy ha ezeket te így szépen korrektül
le tudod tenni az asztalra, akkor egyrészt szóba áll veled mindenki, másrészt
később is nehezebb lesz beléd kötni.


> Legyenek egyertelmuek a felelossegi viszonyok a gep felugyeleteben. Igy
> lehet kivedeni, hogy a bizonyitasi eszkozokbe valaki belemaszatoljon akar
> veletlenul.

Tehát alá kell íratni azokkal, akik a gépet basztatják, hogy miért felelnek és
mit szabad és mit nem.  Igen, azokkal, akik a gépen dolgoznak / azt
felügyelik.  Erre szükség lehet és jobb helyeken benne van a munkaköri
leírásban stb-ben.  Ezzel megint kicsit más irányból, de azt garantálod, hogy
nálad 'rendben' vannak a dolgok, esetleges komolyabb ügynél nagy szerepe
lehet.  Pl. egy épületben dolgoznak 15-en, ebből 5-nek van hozzáférése ahhoz a
szekrényhez, amiben a backupok vannak, ebből 2 számítástechnikus.  Plusz van
még 4 számítástechnikus a cégnél.  Szép kis gáz lehet, ha elkezdik megkérni
egymást, hogy nyissák ki nekik a backup szekrényt (a szalagról ugye olyat is
visszatölthetnek, amihez magán a szerveren nincs joguk), és amíg nincs
aláíratva mindenkivel, hogy tudja, hogy ahhoz a szekrényhez másnak nincs joga,
addig a káosz nálad van, és egy esetleges komolyabb rombolásos ügynél ez is
számíthat (tessék fantáziálni egy kicsit).


Üdv

Mico