Sun Jun  8 17:53:32 CEST 2003

dnes som dostal toto vyjadrenie od triuhorky s doplnujucim infom 
o veciach okolo telekomu. dostal som tiez informaciu ze uz nebudu 
komunikovat kanalom, ktory som pre nich na hysteria.sk vytvoril.
hysteria.sk, ani ja osobne nepozname pravu identitu triuhorky. 
hysteria.sk je portal urceny na anonymnu komunikaciu na internete 
a ma za ciel byt zdrojom alternativnych pohladov na veci okolo informatiky.
sme ekvivalentom telefonnej budky a nevieme kto si k nam chodi zavolat.
dalsie informacie/otazky/atd prosime smerovat na hysteria(at)hysteria.sk

pajkus, pajkus(at)hysteria.sk

sprava od triuhorky:
----------------------------

vzhladom na reakcie ludi a medii na clanok o ropuche v 
prielome 20, pridavame nejake dodatocne heslovite informacie:

- aktivity na sieti st spominane v clanku su datovane od leta 2002
- v auguste 2002 sme mali plny pristup k takmer vsetkym aktivnym 
prvkom siete st (cisco smerovace)
- od decembra 2002 sme mali pristup na niekolko unixovych serverov 
st
- v marci 2003 sme prostrednictvom hysteria.sk upozornili priamo 
st na nedostatky v zabezpeceni ich internetovej siete
- zhruba po tyzdni od nasho upozornenia st podniklo kroky na zvysenie 
bezpecnosti spominanych zariadeni
- priblizne v strede maja sme prisli o posledny pristup na zariadenie 
st
- pocas nasich prienikov neboli znicene ani modifikovane ziadne zariadenia 
ani data st
- v juny 2003 bol zverejneny clanok v e-zine prielom #20

---------------------------------------

Sun Jun  8 20:48:26 CEST 2003

tak predsa dalsia sprava od triuhorky. 

---------------------------------------


Slovenske telekomunikacie, a.s. nezaznamenali tento vikend ziadne vniknutie do svojej internetovej siete.
Zverejnene informacie - technicke parametre siete Slovenskych telekomunikacii, a.s., vratane IP 
adries niektorych routerov boli ziskane nezakonnym vniknutim do internetovej siete spolocnosti 
asi pred dvomi mesiacmi


- v clanku sa o tomto vikende nehovorilo, hodnotena bola situacia za posledneho cca tristvrte roka, 
do siete sme sa nedostali pred dvoma mesiacmi, pred dvoma mesiacmi st obrdzali 500kb log 
z telnet sessiony ktora bola taky maly trip po ich routeroch a vtedy az zacali podnikat kroky. 
od st sme sa ziadnej odpovede nedockali ani nic typu "dakujeme za upozornenie"

"Nasa spolocnost vtedy prijala okamzite opatrenia - zamedzila aktivne pristupy do boxov a zaviedla 
obmedzenia na prihlasovanie, nasledne sme upravili overovanie z esterneho prostredia"


- v tejto organizacii trva pri takejto situacii prijat okamzite opatrenia cca tyzden...

Slovenske telekomunikacie, a.s. urobili aj dalsie opatrenia, ktore viedli k eliminovaniu 
pripadneho pokusu o narusenie siete ST IP


- opatrenia boli bezpredmetne, ak by sme mali zaujem tu siet polozit mohli sme tak urobit kedykolvek 
v obdobi od cca augusta 2002 do marca 2003 

Slovenske telekomunikacie, a.s. zodpovedne prehlasuju, ze potencionalni hackeri sa nedostali 
na aktivnu cast siete spolocnosti (teda do privilegovaneho modu na backbone)


- pravda je ze sme nemali enable mod na vsetkych routeroch, ale mali sme enable na vsetkych dialup 
routeroch cez ktore sa pripajaju uzivatelia st online a na niektorych dalsich (linky pre 
markizu, vub, urad pre jadrovu bezpecnost, fond ochrany vkladov, atd.)

Uz spominanym vniknutim do internetovej siete spolocnosti neboli ohrozene komunikacne aktivity 
klientov Slovenskych telekomunikacii, a.s., nakolko nasa spolocnost vyssie uvedene opatrenia prijala 
takmer okamzite po zisteni vniknutia do internetovej siete.


- ospravedlnujem sa za vyraz ale toto su uplne dristy, pol roka im lozime po routeroch v enable mode 
potom im to povieme, im trva tyzden nez s tym nieco urobia a este povedia ze prijali okamzite opatrenia 
a ze nic nehrozilo... to je smiesne a ze neboli ohrozene komunikacne aktivity ? mohli sme namiesto
upozornenia zacat davat shutdowne na linkach mazat IOS a reloadovat tie routre, to by bolo urcite
pre jednu aj druhu stranu lepsie.


Hackeri sa pri svojich nezakonnych aktivitach dostali k niektorym mailom administratorov siete 
prostrednictvom tzv. logservere. "Tento server patri iba medzi podporne servre, nesluzi pre potreby 
zakaznikom, ale len pre vnutorne potreby technickych specialistov nasej spolocnosti. Prevadzka zakaznickych 
servrov je dostatocne chranena najmodernejsimi technickymi prostreidkami. Udaje, ktore boli publikovane ako 
vysledok hackerskeho utoku boli starsie zalohy telefonneho zoznamu a nemaju ziaden podstatny vyznam pre 
nasu spolocnost. Su dokonca volne dostupne na strankach slovenskych telekomunikacii", dodal Jan Kondas.


- logserver je nepodstatna vec, ved sa tam ukladaju len logy z celej siete pre spatnu analyzu toho co sa 
kedy kde dialo, pre funkcnost a bezpecnost siete nema vobec vyznam (tieto slova boli pochoopitelne satiricke), 
este by sme odporucili osetrit bug v at daemone na tom serveri (da sa tam pod ktorymkolvek uzivatelom zmazat 
akykolvek subor na disku) je to race condition v atd, nastroj na mazanie by ste mali najst 
niekde v /tmp/.../at-del ak sa dobre pamatame. logserver.telecom.sk je bezvyznamny pre zakaznikov, ale 
myslime, ze dost vyznamny pre administratorov. "starsie zalohy telefonneho zoznamu a nemaju ziaden vyznam pre 
nasu spolocnost" jasne /etc/shadow v ktorom je 82000 + nieco uzivatelov urcite nema ziadnu cenu 
(mame zacat zverejnovat tie hesla alebo co ?) nabuduce ked backupujete /etc tak aspon spravte potom 
chmod 600 etc.tar ;) aby niekto zas niekde v nejakej zalohe nenasiel 82000 hesiel.


Utoky hackerov na internetove a firemne siete velkych spolocnosti a institucii su celosvetovym problemom, 
Slovensko nevynimajuc. V niektorych krajinach su zakony nekompromisne voci neautorizovanym pristupom 
do siete inych spolocnosti. Bohuzial, na Slovensku legislativa v tomto smere zaostava. 
Slovenske telekomunikacie, a.s. disponuju velmi kvalitou a hlavne bezpecnou IP sietou, ktorej 
prevadzka je systematicky monitorovana a kontrolovana z hladiska bezpecnosti a integrity.


- a zasa dalsie hluposti, by ma zaujimalo cim monitorovana, podla mailov co sa posielali medzi adminmi 
to skor vyzeralo ze ked sa nieco niekde udeje tak sa o tom dozvedia az zo staznosti zakaznika, ze nieco 
nefunguje. Najmodernejsiu sietou, iste hardware sa da, este keby to vedel niekto konfigurovat.
A hladisko bezpecnosti ? Ak by niekto v tej sieti len trochu dbal na bezpecnost tak si vsimnu
ze sa im pol roka niekto prihlasuje po routeroch a necakaju az kym im to ten navstevnik oznami.

Cela tlacova sprava je zmes vyhovoriek a mam pocit, ze clovek co ju daval dokopy, ten clanok ani necital 
a nevie ani celkom k comu sa to vlastne mal vyjadrit. A prirodzena rekacia, vyhovorit sa na stat ved on 
moze za to ze vsetci ti zli "hackeri" robia vsetkym velkym monopolnym firmam zle. My sa len snazime 
upozornit na situaciu ktora je. 

----------------------------

a este jeden log z tripu po st