Nyitott a NASA ftp szervere!

Geza Papp, 2004. október 16. 15:37
Az USA, a "Nagy Testvér" mindig élen járt a "személyiségi jogok védelmében" és az utóbbi időben a spamek elleni küzdelemben. A védelem azonban nem mindig tökéletes, akadnak hibák. Jogosan kérdezhetik: Hol lehet olyan hibát elkövetni, ahol e miatt egyrészt a személyiségi jogok sérülnek, másrészt ezzel párhuzamosan a spam-veszély is nő? A válasz igen egyszerű - egy olyan szerveren, mely levelező szerver is, de ezzel párhuzamosan más funkciói is vannak. Ilyen pl. a NASA központi ftp szervere - amelyiken tárolják a levelezők nevét, nicknevét, de ezen kívül sok más teljesen személyes adatot is.
Mivel e szerver regisztrálja a telefonhívásokat - így azt is megtudhatjuk, hogy ki, honnan, és kit hívott. Ezen túl természetesen itt helyezik el a régebbi publikációkat, fényképfelvételeket, stb. Olyan "friss" adat, mely "államtitoknak" minősülhetne" a szerveren feltehetően nincs - ha csak az nem számít titkosnak, hogy megtalálhatóak rajta azon indoklások is, melyekben leírják, hogy egy adott közleményt milyen módosításokkal tehetnek nyilvánossá. (Az ilyen levelek tartalmazzák azokat az url-eket, melyeken e cikkek elérhetők.)

Természetesen (fenntartással) elfogadom azt a feltételezést, hogy egy főként katonai célokat szolgáló intézmény dolgozóinak névsora nem titkos és, hogy ez a "hiba nem is hiba", csak elérhetővé teszi a dolgozók névsorát. Azt, azonban nem tartom elfogadhatónak, hogy szándékosan tették nyilvánossá a nick néven, a valódi néven, mail címen túl a beosztást, az épület- és irodaszámot - és amennyiben "csak mintákat végez valaki a NASA-nak" a valódi munkahelyet is. Különösen a "zárolt cikkek" elérhetőségét nem tartom szándékosnak, de nem tartom annak a telefon, és egyéb más jellegű kapcsolattartásról készült listákat - az elérhető passwordről nem is beszélek.

Mi is történt?

Ma kaptam egy levelet, mely a következőket tartalmazta:

A NASA szervere nyitott:

Az ftp://....................../nickname/ - címen látható lista tartalmazza a "nick" néven kívül a teljes nevet, elektronikus levél címet, telefon-, fax számot, pozíciót (beosztást), az épület és irodaszámot, és a munkáltatót.

Mikor fogják megtanulni...????


Pl:
alias Anderson_Alma aanderso@hq.nasa.gov
Anderson_Alma Alma Anderson-1, Org: C, Employer: NASA, Bldg: HQ, Room: 6P34, Phone: +1 202 358-0835, Fax: +1 202 358-2891

Hasonlóképpen megtalálhatóak azon munkatársak adatai, akik nem a NASA alkalmazásában állnak, csak munkákat végeznek a "cégnek".

pl:
alias Allen_James jallen@hq.nasa.gov
note Allen_James James R Allen-1, Supply Specialist, Org: CFS, Employer: NCI Info Systems, Bldg: HQ, Room: CO51, Phone: +1 202 358-0149, Fax: +1 202 358-3002

Egy kicsit szétnéztem a szerveren. Teljes meglepetésemre minden gyökérkönyvtárat megtaláltam, azok közül csaknem mindegyik megnyitható, tartalma letölthető - többek között a legfontosabb is, a szerver, és a szerver root jelszava, amivel gyakorlatilag minden elérhető lehet, átírható stb:

passwd
ftp:*:9000:90:Anonymous FTP Account:/usr/local/...........e
root:*:0:0:Super-User.............../csh

******************************************************

******************************************************


Azért nem hiszem, hogy ebből minden publikus....

E miatt nem tudom elfogadni azt a feltevést sem, hogy a fenti információkhoz nem véletlenül, egy "nyitva hagyott" szerver miatt, hanem szándékos "adatközlés" miatt lehet hozzáférni. Mi mindennek a veszélye? A kérdés két részre osztható.

A személyes adatok ismeretében lehetőség nyílik zaklatásokra, személyre szóló levelek küldésére, vagy zsarolásokra egyaránt - de ebből a körből nem maradhatnak ki az esetleges fanatikusok általi támadások sem.

A másik - talán komolyabb veszély az, hogy ezzel az információval agyament spammerek új, valós címek százait kapták meg, ahova levéláradatukat zúdíthatják. A levelekkel küldhető károkozókról, vírusokról nem is beszélek. A címek névsora nem más, mint a "spammerek paradicsoma" - és az is marad, mert a szerver zárása után sem tűnnek el a kéretlen levelek íróinak merevlemezéről ezek a címek. (ezzel változtathatnak az AOL májusi mérföldkövén...)

Vannak, lehetnek véletlenek mindenhol, de azt hiszem, hogy egy ilyen - stratégiai fontosságú szerv - mint a NASA egyike azoknak, amik nem engedhetnek meg ily véletlent sem maguknak.

Ui: Mindent megtettünk, hogy az általunk security hole -nak (biztonsági résnek) tartott "jelenségre" felhívjuk az illetékesek figyelmét - és esetleg tisztázzuk azt, hogy valós biztonsági résről van szó, vagy mindez "szándékos". A publikus NASA e-mail címek részben megkapták, de nem válaszoltak levelünkre, vagy, mint nem "létező címek" dobták vissza a levelet. Az Amerikai Nagykövetség webmesterének címe fogadta a levelet. Választ igaz nem kaptunk, de reméljük a szolgálati úton továbbítja azt.
Kulcsszavak: NASA security

Biztonság ROVAT TOVÁBBI HÍREI

Rébuszok helyett kézzelfogható megoldások a NIS2 fejtörőhöz

Nagy érdeklődés övezte a Gábor Dénes Egyetem NIS2 konferenciáját. Ennek egyik oka a téma aktualitása, hiszen a kiberbiztonság szavatolása kötelező törvényi előírás az érintett vállalatok részére. A másik ok, hogy kevés az egész folyamatot átfogó és bemutató esemény, amely nemcsak a NIS2 irányelvben meghatározott jogszabályi előírásokat mutatja be és értelmezi, hanem kézzelfogható, gyakorlati megoldásokat is kínál a vállalatok részére. 

2024. november 22. 11:39

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Huszadik alkalommal adták át a Hégető Honorka-díjakat

2024. november 21. 16:58

Hosszabbít ’Az Év Honlapja’ pályázat!

2024. november 19. 09:54

Törj be a digitális élvonalba: Nevezz ’Az Év Honlapja’ pályázatra!

2024. november 14. 16:36

A virtuális valóság az egészségügyet is forradalmasíthatja

2024. november 12. 18:01