Razgovor s Damirom Rajnovicem i Cedomirom Igalyjem

Razgovor s Damirom Rajnovicem i Cedomirom Igalyjem voden je 18. rujna 1996. na SRCU. Povod za razgovor bilo je osnivanje CARNet CERT-a. Razgovor je trebao trajati relativno kratko - najvise 20-tak minuta, no velik izbor tema na kraju je oduzio razgovor na vise od 45 minuta. Uprkos opasnosti da nekima ovaj tekst mozda bude predugacak za citanje, ipak sam se odlucio da zbog zanimljivosti i raznovrsnosti obradenih tema objavim cijeli razgovor.

CARNet CERT (C-CERT) osnovan je sredinom srpnja. Moji sugovornici, Damir Rajnovic i Cedomir Igaly su osobe koje su za njegovo osnivanje i pokretanje prvih aktivnosti najvise zasluzne. Takoder, rijec je o osobama koje se vec dugo vremena bave pitanjima zastite sustava i jedni su od najvrsnijih strucnjaka u Hrvatskoj po tom pitanju.

  • Nedavno je osnovan CARNet CERT. Sto je i tko su CARNet CERT?

    Damir Rajnovic: CARNet CERT je institucija cija bi djelatnost trebala pomoci da postojeci instalirani sustavi budu sigurniji od zlouporaba. To ukljucuje prevenciju, otkrivanje i saniranje incidentnih situacija. To je mozda najkraca moguca definicija. Za sada, CARNet CERT cinimo samo Cedo i ja. Pri tome treba uociti da ni Cedo ni ja nismo ukljuceni u rad CARNet CERT-a s punim radnim vremenom. CARNet CERT nema stalno zaposlenih djelatnika. U sali kazemo da CARNet CERT ima 0.75 zaposlenih s punim radnim vremenom jer Cedo radi na poslovima CARNet CERT-a s nesto malo vise od pola, a ja s nesto manje od pola punog radnog vremena.

  • Planirate li imati i stalno zaposlene djelatnike s punim radnim vremenom?

    Damir Rajnovic: Da, CARNet CERT bi to svakako trebao imati.

  • Kako ce se financirati djelatnost CARNet CERT-a? Planirate li imati svoj budzet?

    Damir Rajnovic: Kako ce to na kraju tocno izgledati jos nije rijeseno. Moguca su najmanje dva modela: zasebni budzet ili da radimo kao sastavni dio CARNet usluga i da se nas rad financira iz CARNet-ovog budzeta. Krajnja odluka ovisi o CARNet CEC-u (CARNet-ov izvrsni odbor) koji donosi takve odluke.

  • CARNet CERT je slozena institucija. Koliko je do sada ucinjeno na izgradnji strukture CARNet CERT-a koja je opisana u osnovnim dokumentima CARNet CERT-a? Na primjer, predsjednik CARNet CERT-a jos ne postoji. Da li su zadani neki rokovi u tom smislu?

    Damir Rajnovic: Prilicno je tesko realizirati slozenu strukturu sa samo dva djelatnika. Ono sto je opisano u nasim dokumentima je struktura CARNet CERT-a kada u njegov rad bude ukljuceno vise ljudi. Predvideno je da C-CERT naraste na 4 do 7 djelatnika. Tocan broj ovisi o kolicini posla. Nije zadan rok za popunu novim ljudima jer trenutno nema ni potrebe za njima. Namjera je da se krene s minimalnim brojem ljudi, te da se taj broj postupno povecava u skladu s potrebama i mogucnostima. Od "fomalne hijerarhije" CARNet CERT-a za sada postoji samo predstavnik CARNet CERT-a u FIRST-u i to je funkcija koju ja obavljam.

  • Da li je mozda osnivanje CARNet CERT-a malo zakasnilo obzirom da sam CARNet postoji vec duze vrijeme? Sto je kocilo osnivanje CARNet CERT-a?

    Damir Rajnovic: Ne bih rekao da je nesto kocilo osnivanje CARNet CERT-a. Jednostavno, CARNet je jedan ogroman posao i kad se krene u realizaciju jednog tako velikog posla onda se ne moze napraviti sve odjednom nego se mora ici nekim redosljedom. A da li se zakasnilo? I da i ne. Koliko se sjecam do sada je bilo svega nekoliko vecih incidenata. Mislim da to nije prevelik broj.

  • Kako su se ti incidenti rjesavali do sada?

    Cedomir Igaly: To je ovisilo o prilikama. Obicno bi se okupili ljudi koji se bave zastitom sustava i oni ciji su strojevi bili ukljuceni u incident. Nije postojao neki stalni model. Dogadali su se i incidenti o kojima se nije gotovo nista niti znalo izvan institucija u kojima su se dogodili. Na primjer, kada se radilo o nekim incidentima koji su se dogadali unutar ETF-a, tj. FER-a.

  • Izvjescivanje je vrlo vazna komponenta za uspjesan rad CARNet CERT-a. Da bi se moglo reagirati na neki incident, prvo treba znati da se dogodio.

    Cedomir Igaly: Da. To je problem i izvan Hrvatske. Svega oko 10% svih incidenata se prijavi CERT-u ili drugim odgovarajucim institucijama.

    Damir Rajnovic: Ponekad je problem i uociti da je doslo do incidenta. Najveci se dio manjih incidenata niti ne uoci, a samo manji dio uocenih incidenata se prijavi.

  • Da li ce se CARNet CERT baviti samo CARNet-om i sigurnoscu strojeva i mreza direktno spojenih na CARNet i hoce li institucije koje su povezane na Internet putem CARNet-a imati obavezu suradivati s CARNet CERT-om i prijavljivati incidente?

    Damir Rajnovic: Mi cemo prvenstveno raditi za CARNet. U skladu sa svojim mogucnostima i raspolozivim resursima rado cemo pomoci i drugima u Hrvatskoj. Prema mojim informacijama, u Hrvatskoj postoji jos samo jedna grupa ljudi na HRT-u koja se sustavno bavi sigurnoscu sustava i to samo za njihove interne potrebe. Takoder, za sada, a najvjerojatnije ni u buducnosti, ne planiramo nametati suradnju s CARNet CERT-om institucijama prikljucenim na CARNet. Tim ustanovama cemo samo preporuciti ili ih zamoliti za suradnju s CARNet CERT-om.

  • Moze li CARNet CERT uopce raditi ako ne dobiva informacije o incidentnim situacijama?

    Damir Rajnovic: I u tom slucaju mozemo raditi na prevenciji, na cemu radimo vec i sada. Planiramo i odrzavanje tecajeva, seminara i izdavanje razlicitih dokumenata. U svakom slucaju, cak i ako izostane suradnja s ustanovama koje su prikljucene na CARNet, u sto ne vjerujem, mi cemo se brinuti za sigurnost unutar samog CARNet-a.

  • Da li CARNet CERT jamci onima koji ce poslati informacije o incidentima tajnost takvih podataka?

    Damir Rajnovic: Da. To je i zahtjev koji postavlja FIRST. Klasifikacija i uporaba svih informacija, bez obzira na njihov izvor, tocno je definirana CARNet CERT dokumentima.

  • Koji su prvi problemi kojima ce se posvetiti CARNet CERT?

    Damir Rajnovic: Vec je pocelo izdavanje CARNet CERT obavijesti s aktuelnim informacijama koje su vezane uz sigurnost sustava. Nedavno smo CARNet CEC-u odrzali prezentaciju svog rada i tom je prilikom takoder bilo rijeci o tome sto prvo treba napraviti. Prva stvar je nase ukljucivanje u izradu dokumenta koji ce opisivati CARNet-ov tzv. "site security policy". Na temelju tog dokumenta bit ce zasnovane daljnje odluke o konkretnom polozaju i ulozi CARNet CERT-a.

  • Kakva je vasa procjena stanja sigurnosti na CARNet-u?

    Cedomir Igaly: Problem je u tome sto je na CARNet vezan velik broj razlicitih ustanova, a u mnogima ne postoji osoba koja bi imala dovoljno znanja za administriranje instaliranih sustava. Ipak, cini mi se da medu ustanovama koje su vezane na CARNet postoje i one u kojima se barem pokusava baviti pitanjima sigurnosti sustava.

  • Postoje li "crne tocke" na CARNet-u i koje su?

    Cedomir Igaly: Postoje. To su upravo takve ustanove u kojima se odrzavanjem sustava bave ljudi kojima je to sporedan posao. Oni taj posao obicno rade i mimo svoje volje, a ne posjeduju niti dovoljno znanja i iskustva. Na kraju se dogada da se svega nekoliko sistem-inzinjera sa SRCA, pored ostalih poslova, mora brinuti i za sve takve ustanove, a tih se svega nekoliko ljudi ipak ne mogu sami brinuti za 80-tak ili 100-tinjak razlicitih radnih stanica po razlicitim ustanovama.

    Damir Rajnovic: Problem su i lokalni "genijalci" koji na svoju ruku mijenjaju konfiguracije sustava i instalirani softver na nacin da rade stetu.

  • Koliko su upravo neprofesionalizam i neobucenost ljudi koji odrzavaju sustave sigurnosni rizik?

    Cedomir Igaly: Mislim da je to glavni problem. Mozda nije neposredno vezano uz ovo pitanje, ali u nekim institucijama su se dogadali i radikalni slucajevi poput toga da cistacice iskljucuju iz struje radne stanice da bi skuhale kavu ili da ljudi iskljucuju modeme jer su "ispustali cudne zvukove".

  • Od cega se sastoje ulaganja u sigurnost sustava?

    Damir Rajnovic: Uglavnom je rijec o puno vremena i truda.

  • A novaca?

    Damir Rajnovic: Pa mozda i ne toliko u odnosu na to koliko je potrebno uloziti vremena.

  • Izgleda da je, pored redovitog instaliranja patcheva, primjena svega nekoliko relativno jednostavnih public domain ili freeware rjesenja doprinjela znacajnom unapredenju sigurnosti sustava na SRCU. Pri tome mislim, na primjer, na S/key i ssh.

    Cedomir Igaly: Na prvo mjesto stavio bih tcp wrapper. Vec on moze pomoci u velikom broju slucajeva.

  • Znaci li to da je ipak moguce uz samo malo dodatnog napora izgraditi relativno siguran sustav ili mrezu?

    Cedomir Igaly: Tako je. Znam da je na nekim strojevima vec tcp wrapper zaustavio provaljivanja u sustav. To nije dovoljna zastita ali pomaze vec u vecini slucajeva. Takoder, tu je i S/key. Na primjer, u pozadini slucaja provale u SRCU koji se nedavno spominjao u novinama bila je provala u jedan Linux sustav na koji je onda instaliran snifer. Tim sniferom su onda bili snimljene neke root lozinke pomocu kojih je dalje provaljivano u druge sustave. S/key koji se danas koristi na SRCU, a koji omogucava koristenje jednokratnih lozinki, cini tako prikupljene lozinke koje su vec jednom iskoristene neupotrebljivim.

  • Nekoliko puta se u proslosti SRCE spominjalo u kontekstu provala u sustave. Medu novijim slucajevima mozda je najpoznatiji tzv. slucaj "Electron" koji si upravo spomenuo. Od starijih slucajeva sjecam se provale u dns.srce.hr i snifera instaliranog na jedno od SUN racunala. Kakva je danas situacija na SRCU u vezi sigurnosti sustava i mreze?

    Cedomir Igaly: Nemam potpun pregled nad svim strojevima i ne znam sto je sve na svakoga od njih instalirano, ali mislim da u ovom trenutku nema nekih vecih problema. I dalje je najveci problem javno racunalo jagor.srce.hr. Na njemu je oko 6500 korisnickih racuna. Upravo jucer se dogodio jedan neuspio naivan pokusaj krade passworda putem elektronicke poste.

  • Sa stanovista sigurnosti sustava, da li je svejedno kojeg proizvodaca se koristi oprema?

    Damir Rajnovic: Ja ne bih SUN-a! (smijuci se)

    Cedomir Igaly: Problem je sa SUN-om sto je jako popularan i istrazen od strane crackera. A i sam SUN katkada probleme sa sigurnoscu svojeg operativnog sustava ne rjesava kako treba.

    Damir Rajnovic: U principu trebalo bi biti svejedno ciji se Unix sustav koristi, medutim pokazalo se da je za SUN poznato i prijavljeno najvise "rupa" u sustavu koje se mogu zlouporabiti. Takoder, mnogim ljudima je dostupan i izvorni kod od SUN-ovog operativnog sustava - i od starijih i od novijih verzija. Na primjer, HP i Digital izgledaju nekako sigurnijim u tom smislu.

  • Nije li s Digitalom problem sto ima najrestriktivniju politiku distribuiranja patcheva, premda se patchevi koji se ticu sigurnosti sustava ipak mogu slobodno skinuti s mreze?

    Damir Rajnovic: Da, cini mi se da Digital izdaje i objavljuje patcheve "na kapaljku".

  • Operativni sustav koji dolazi je Windows NT. Nudi li on dovoljnu zastitu pred provalnicima?

    Damir Rajnovic: (Uz veliki osmjeh na licu) Bojim se da ne. S NT-om radim svega nekoliko mjeseci, ali vec vise od godinu dana pratim NT-security listu jer je to operativni sustav koji ce se sve vise pojavljivati na mrezi. Cinjenica je da mnogi jako lose ocjenjuju NT upravo po pitanju sigurnosti sustava. Microsoft najcesce uopce ne priznaje postojanje propusta u svojim proizvodima. S druge strane, NT je na neki nacin previse user-friendly prema nestrucnim korisnicima i omogucava im slobodno proizvoljno mijenjanje nekih vaznih parametara sustava, sto takoder moze predstavljati problem po sigurnost sustava.

  • Vrijeme Unix sustava jos uvijek nije proslo?

    Damir Rajnovic: Da, nije. NT jest tu i ostat ce i dalje prisutan. Medutim, kako sada stvari stoje, on je prikladan za rad uglavnom unutar manjih poduzeca ili odjela, za opsluzivanje lokalnih mreza od 20-30 korisnika.

  • Hoce li uvodenje ATM tehnologije u CARNet povecati mogucnost provaljivanja u sustave? Pri tome mislim na mogucnosti zlouporabe velikih mogucnosti konfiguriranja ATM mreze.

    Damir Rajnovic: Pratim neke Usenet grupe i mailing liste koje se bave problemima sigurnosti ATM mreza. Strana su iskustva da i nije bas tako lako provaliti u ATM mreze, kao sto bi se nekome mozda moglo uciniti zbog njihove velike konfigurabilnosti. Svakako, zlouporaba administratorskih ovlasti nad ATM mrezom moze naciniti velike stete, ali niti mreze zasnovane na starim tehnologijama nisu imune na takve stvari. Ipak, na definitivan odgovor treba pricekati.

  • Tko su hackeri ili crackeri u Hrvatskoj? Da li su to, uvjetno receno, "profesionalci" ili "amateri"?

    Damir Rajnovic: Meni se cini da su prije amateri nego profesionalci.

    Cedomir Igaly: I ja tako mislim. Najcesce je dovoljno zatvoriti rupu kroz koju su neovlasteno usli u sustav i time ih definitivno zadrzati izvan sustava jer ne znaju neki alternativan put za provalu u sustav. Obicno je rijec o crackerima koji su informacije o slabosti nekog odredenog sustava dobili putem neke od crackerskih mailing lista ili nekim drugim kanalima, a nije rijec o tome da su sami otkrili neki bug ili rupu.

  • Tko je izvor takvih informacija kojima se sluze crackeri?

    Cedomir Igaly: Najcesce se radi o ljudima koji imaju izvorni kod nekog operativnog sustava ili samo nekog njegovog djela, te njegovim proucavanjem otkriju neku rupu. Nakon toga oni informaciju o tome posalju na neku crackersku mailing listu ili koriste neki drugi nacin za distribuiranje tih informacija. Ponekad se s tim informacijama distribuira i gotov kod za provaljivanje u sustave. Ipak, takvih ljudi ima relativno malo. Vecina samo kopira i slijedi tude upute.

  • Na kraju, cini mi se da postoji jedna vjecna tema medu obicnim korisnicima: Smiju li osobe zaduzene za odrzavanje i sigurnost sustava citati tudu postu ili tude datoteke? Ako da, kada i na koji nacin? Postoji li na CARNet-u dokument koji bi to regulirao?

    Damir Rajnovic: Ne, administratori nikako ne smiju citati tudu postu ili datoteke.

  • Postoje li izuzeci od tog pravila?

    Damir Rajnovic: Ako postoji osnovana sumnja da je pod necijim korisnickim imenom doslo do zlouporabe korisnickih privilegija, onda se to ipak moze tolerirati. Sto se tice dokumenta koji bi to regulirao, CARNet CERT nema nikakav takav dokument. Mislim da je isti slucaj i sa samim CARNet-om.

  • U stvari, neka treca osoba unutar ustanove bi trebala odobravati takve zahtjeve od strane administratora?

    Damir Rajnovic: Da, za otvaranje tudih datoteka ili citanje tude poste nuzno je da administrator zatrazi pismeno odobrenje od pretpostavljenih. Takoder, odobrenje koje dobije smije vrijediti samo za neki tocno odreden i ogranicen vremenski period. Nakon tog perioda takvo pracenje korisnika mora se prekinuti, a bez obzira na rezultate pracenja korisnika treba obavijestiti da je bio pracen i iz kojih razloga. Ovo je moje osobno misljenje, a mislim da CARNet nema nikakav sluzbeni stav o tome.

    Cedomir Igaly: Mislim da postoje povodi koji mogu opravdati pracenje korisnika i citanje sadrzaja njegovih datoteka. Na primjer, ako se pouzdano zna da netko pokrece programe koji na mrezi traze propuste u zastiti udaljenih sustava, pokrecu trojanske konje ili crack programe.

  • Ipak, po ustanovama bi trebali postojati dokumenti koji to odreduju?

    Damir Rajnovic: Svakako. Mislim da bi svaka ustanova trebala sama donijeti svoja pravila i svoje dokumente koji to odreduju. Naime, neka ustanova moze imati neke svoje razloge da donese i puno stroza pravila. Na primjer, negdje se moze odrediti da se stalno kontrolira sadrzaj svog prometa na mrezi ili redovito prati sadrzaj sve poste koja dolazi ili odlazi iz ustanove.

    (Razgovor vodio: V.Braus)

Pogledajte takoder:

CN: Osnovan je CARNet CERT
CDA0004: OSNIVANJE CARNet CERT-a
CARNet CERT Web stranice

(c) 1996 CARNet novosti