A hasła do serwerków Kancelarii Sejmu brzmią...

Właśnie jeden z komentarzy przypomniał mi o notatce z 2004 roku: Przy okazji: administracja Sejm.gov.pl. Wisi tam sobie niewinnie, chociaż była wówczas również dyskusja w Usenecie. Jednym słowem - sprawa niezabezpieczonego poprawnie serwera Kancelarii Sejmu nie jest niczym tajnym ani nowym. 4 lata temu administrator serwera stwierdził, że dziura musi zostać, "...ze względu na licencje związane z Verity". Ciekawe, czy te licencje naprawdę powodują, że serwera nie można zabezpieczyć...

Gdyby się komuś przypadkowo ręka prowadząca mysz osunęła na jakąś ikonę oprogramowania do skanowania portów (która to ikona pojawiła się na desktopie prawdopodobnie w wyniku działania np. jakiegoś konia trojańskiego, złośliwie instalującego na komputerze niedoświadczonego użytkownika kompromitujące oprogramowanie "hackerskie", bo trudno sobie wyobrazić, że "przez przypadek" palce zaawansowanego użytkownika ułożą się w odpowiednią komendę na konsoli), pewnie zauważy, że firewall blokuje wyjście na świat tego serwera. Dostępne są jedynie usługi: na porcie 80 (www), 113 (auth) czy 8009 (wyszukiwarka CGI). Od przynajmniej czterech lat widać zahaszowane hasła i nadal nikt się nie włamał (albo przynajmniej głośno o tym nie mówi). Maszynka służ pewnie jako "single-task serwer" (czyli można się ewentualnie teleportować do zamkniętego pomieszczenia). Oczywiście można wyciągnąć hasła (ze względu na zastosowanie słabego algorytmu szyfrowania) i pewnie pomocne byłyby tu słowniki haseł, które za pomocą współczesnych "usług" i zebranych w Sieci zasobów dostępne są dla każdego po dwóch, może trzech kliknięciach...

Dwa hasła są proste (jedno bardzo medialne, drugie mniej, chociaż drugie trzyliterowe). Oba zresztą widać na ilustracji do tej notatki..

Ktoś bardziej zdeterminowany, gdyby już poznał hasła na jeden z serwerów, mógłby sprawdzić, czy aby na innych serwerach one się nie powtarzają... Wiele jest możliwości...

Pamiętacie jaka była "afera", gdy program "Teraz My" zajął się tematem "zabezpieczeń serwerów policji"? A wtedy nie udało się "znanemu hackerowi" przechwycić policyjnej poczty (show rządzi się swoimi prawami i czasem wystarczy powiedzieć, że się coś może zrobić, niekoniecznie faktycznie potrafić czy móc). Dlatego uspokajam czytelników: wszystko jest w porządku. Państwo jest bezpieczne i nic się nie stanie, jeśli ktoś pozna hasła na serwer Kancelarii Sejmu. A może warto postulować, by tego typu polityka była stosowana również w innych instytucjach publicznych? Wówczas łatwiej byłoby "mirrorować" (por. Przejmujemy państwo).

PS. Właśnie sprawdziłem i widzę, że Hack.pl w styczniu 2007 roku wrócił do sprawy i opublikował wówczas tekst: Sejmowy serwer dalej z lukami? Tam też przywołana pierwsza odpowiedź administratora:

Mysle ze jednak jeszcze daleko do przejecia kontroli. Wiem ze jest stary Apache ale tak musi zostac. Przynajmniej mozna epatwoac mozliwoscia bejrzenia /etc/passwd i paru innych. Dziekuje za zainteresowanie. Byc moze kiedys uda sie zmienic wersje co nie jest proste ze wzgldu na licencje zwiazane z Verity. Zwykle odzywaja sie problemy z zakupem nowych wersji i tak musi poki co pozostac.

Przeczytaj również:

• Bezpieczeństwo systemów FBI, czy w Polsce są takie raporty?
• Hasło na dziś: Infrastruktura Krytyczna Państwa
• Jak zaoferować unikalną wiedzę czyli Home.pl vs Hack.pl
• Fuszerka wykonawcy, szukanie luki, oferta naprawy i kajdanki
• Ciąg dalszy w sprawie, w której kajdanek użyto po podpisaniu klauzuli poufności
• Dyskusja o bezpieczeństwie systemów... Policji
• Zatrzymano chłopaka, który umieścił "złe psy" na stronie suwalskiej policji
• Bezpieczeństwo maszyn do głosowania: klucz ze zdjęcia
• Cisza przedwyborcza: atak hackerów, gra nerwów czy dziennikarstwo?
• Internet a polityka, czyli włamania na witrynę PiS i porno w PO
• Skanowanie portów - czy znamy jakieś polskie przypadki?
• Stado może przejść przez dziurę po sprytnej krowie, czyli CSS nie jest "skutecznym" zabezpieczeniem