Big Brother

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: .cCuMiNn.
Datum: 19.7.2004
Hodnocení/Hlasovalo: 0/0

Některé služby na Inetu jsou děsně ukecané a prozradí nám dost zajímavé informace. Big Brother je jednou z nich.

Pokud jste administrátor UNIXových/Linuxových serverů, patrně vám není cizí program jménem Big Brother (http://bb4.com). BB dokáže monitorovat stavy různých zařízení počítače, jako například http dostupnost, konektivita, aktuální využití CPU či pevných disků, dostupnost ftp, pop3 a podobně. Tedy informace, pro provozující společnost relativně důležité. Jedná se o standardní klient-server aplikaci, která může běžet na více různých platformách - UNIX, Linux, NT, klientský software je pak k dispozici mimo těchto i pro různé Macy, Novelly, AS/400, VAXEN atd. Existují i klienti třetích stran, oficiálně nepodporované BB4.
Hlavním přínosem celé věci je fakt, že všechny důležité informace jsou ihned vidět na jedné webové stránce. Takže, pokud spravujete více serverů, tento produkt vám umožní okamžitě získat přehled o všech z nich navštívením jednoho webu, což je docela užitečné. Status "vše v pořádku" systém indikuje zelenou barvou, zásadní problémy pak poznáte podle červené. Například zásadní věc jako dostupnost (conn) je měřena pingováním zařízení, a pokud se systém "nedovolá", dá okamžitě webmasterovi vědět. Mezi zelenou a červenou barvou je ještě několik stupňů, které značí různá "pokročení" závady.
Celkový status ještě navíc vidíte v záhlaví okna prohlížeče, tedy pokud je někde červený alert, bude mít okno titulek red:Big Brother. O tom se budeme bavit za chvíli, je to docela důležité.
Administrátoři obvykle monitorují zásadní "jevy" které mohou na serveru nastat. Když máte webserver, tak vás určitě budou zajímat položky http a conn, prostě proto, že se chcete ujistit že se lidé stále mohou k vašemu serveru připojit. Ale existuje spousta dalších testů, např. monitorování Oracle databáze či seznamu připojených uživatelů apod. Vlastně není problém napsat monitorování počasí.

Kde je problém?

Nyní, když je všem jistě jasné, k čemu je program dobrý, můžeme přistoupit k hlavní "zajímavosti", kvůli které vlastně tento článek vznikl. Ocitoval bych zde dvě věci z oficiálního BB4 Technologies FAQ - Section 5: Security Considerations (http://bb4.com/bb/help/bb-faq.html#5.0). Vše, co je zde uvedeno by mělo být bráno uživateli v potaz, ale nás nyní zajímají tyto dvě konkrétní věci.
"BB nepotřebuje běžet jako root. Doporučujeme vytvořit uživatele 'bb' a program nechat běžet pod ním" a "Doporučujeme zabezpečit výstupní stránky BB heslem."
Asi se ptáte, pro jsou pro vás tyto věty tak důležité... No, předně víte, že administrátoři budou mít BB spuštěný nejspíše pod uživatelem 'bb', který ovšem může mít také rootovská práva. To dává útočníkovi ihned jeden funkční účet a jelikož se patrně často nepoužívá, může mít nějaké slabší heslo. Ale to není to, o čem má být tento článek. Druhá důležitá věc je, že informace, které jsou na BB stránkách, jsou natolik důležité, že se doporučuje je zabezpečit heslem.
Dotáhneme li tento úsudek ještě o kus dále, můžeme se domnívat, že mnoho serverů takto heslem zabezpečený výstup z BB nemá. A které stránky nejsou zaheslované, ty jsou vidět. A které jsou vidět...už asi tušíte, kam mířím. Ano, roboti různých vyhledávacích enginů je určitě také prošli a rádi vám je naservírují, pokud se správně zeptáte.
Zkuste zadat do Googlu "green:Big Brother" včetně uvozovek, výsledek tak bude přesnější. Dostanete kolem 16ti tisíc výsledků. Pravda, spousty z nich se opakují, neboť robot zaindexoval více stránek jednoho serveru, ale určitě můžeme předpokládat, že existuje hodně strojů, na které se můžeme takto podívat. Kdybyste se chtěli podívat na servery jiného statusu, stačí pochopitelně změnit barvu ve vyhledávacím dotazu. Použití Googlu má navíc tu výhodu, že se můžete podívat do jeho archivu (Cached sites) pro případ, že by na nějakém serveru již BB neběžel.
Když si projdete pár výpisů, zjistíte, že většina stránek patří malým ISP či různým školám. Zkusme například artemis.cs.yale.edu, toho času s IP adresou 128.36.232.57 a rhino.zoo.cs.yale.edu. Jak jsem zjistil IP? Jednoduše. Kliknete-li na zelené či jakékoliv jiné tlačítko, dostanete výpis ne nepodobný tomuto: rhino.zoo.cs.yale.edu - conn green Sun Jun 30 01:33:15 EDT 2002 Connection OK PING 128.36.232.12 (128.36.232.12) from 128.36.232.57 : 56(84) bytes of data. 64 bytes from 128.36.232.12: icmp_seq=0 ttl=255 time=379 usec --- 128.36.232.12 ping statistics --- 1 packets transmitted, 1 packets received, 0% packet loss round-trip min/avg/max/mdev = 0.379/0.379/0.379/0.000 ms
Takže od teď není sporu o tom, kam se BB snaží dopingovat, v tomto případě rhino.zoo.cs.yale.edu, odpověď přišla od 128.36.232.57 resp. artemis.cs.yale.edu.
Nedalo mi velkou práci zjistit, že na téměř všech jejich serverech běží Tripwire, takže se jedná o UNIXové systémy a pravděpodobně byste zažili těžké chvilky, pokud byste s nimi měli nějaké nekalé úmysly. Na druhou stranu můžeme krásně vidět, jací uživatelé jsou právě nalogovaní. Momentálně je to celkem 33 lidí a vzhledem k tomu, že je půl druhé v noci, tak patrně někteří odešli bez odlogování.
Chtěl jsem získat více informací o serverech univerzity Yale, tak jsem se opět podíval na Google, ale tentokrát jsem hledal zelda.cs.yale.edu. BB výstup na tomto serveru jasně hovoří o několika počítačích, patrně různých kateder. Chcete-li vědět, čím plucky.cs.yale.edu obsluhuje HTTP, stačí opět kliknout na zelené tlačítko:
lucky.cs.yale.edu - http green Sun Jun 30 01:45:21 EDT 2002 http://plucky.cs.yale.edu - Server OK HTTP/1.1 200 OK Server: Microsoft-IIS/4.0 Content-Location: http://plucky.cs.yale.edu/index.html Date: Sun, 30 Jun 2002 05:45:21 GMT Content-Type: text/html Accept-Ranges: bytes
A jsme tady, běží na zastaralém IIS 4.0. Z BB výstupu zeldy je také vidět, že monitorují tiskárny, což přímo provokuje k poslání nějaké zprávy na philo-printer.philosophy.yale.edu. A jestli vás to zajímá, jedná se o HP LaserJet 4050 Series. Dozvěděl jsem se to kliknutím na tlačítko "Printer"...
Mimochodem, na této stránce, zjistil jsem, že na některých server běží TELNET, POP3, Oracle, FTP, a IMAP, které vám ochotně řeknou svoji verzi, Oracle mimochodem ukáže i všechny připojené uživatele. Také, jak jsem zjistil, pouze geologové mají svoje data včetně BB stránek chráněna.

Výsledek

Jak vidíte, byl jsem schopen zjistit velké množství informací o infrastruktuře cíle během několika málo minut. Navíc jsem neporušil žádné zákony, neboť jejich WWW stránky jsou dostupné pro všechny. Možná by mi trvalo 10 či více minut zjistit všechny tyto informace o jednom systému, ale za stejnou dobu můžu mít totéž o čtyřiceti systémech. Díky Big Brotherovi.
Rád bych podotkl, že většina firem vůbec neukazuje tyto stránky zaměstnancům mimo IT oddělení a při troše snahy a při takto použitém BB může například nějaký menší ISP sesbírat obrovské množství nebezpečných informací, které pak může v závislosti na nově zveřejněných chybách lehce využít či zneužít. Také bych chtěl říct, že jsem tento článek nenapsal jako návod na hackování cizích systémů. Napsal jsem ho, protože bezepečnost BB je nesmírně důležitá a veřejné vystavování takovýchto informací může vést ke katastrofě. Možná právě teď, kdy dočítáte tento článek, někdo právě dokončil čtení infrastruktury vašeho podniku...