Nazaj
Razkrili skupino, ki je zlorabila uporabniška imena in gesla omrežja SIOL

Ljubljana, 11. junija 1998 - Na tiskovni konferenci Ministrstva za notranje zadeve so kriminalisti predstavili rezultate preiskave vdorov v računalniške sisteme in primere zlorabe uporabniških imen in gesel za dostop v Internet. Kaznivih dejanj zlorabe osebnih podatkov (člen 154. KZ RS), poškodovanja računalniških podatkov in programov (225. člen KZ RS) ter izdelovanja in pridobivanja pripomočkov, namenjenih za kaznivo dejanje (3. točka 309. člena KZ RS) so osumljeni dijaki oziroma študentje S.D., Č.M., L.D. in R.I., znani tudi pod vzdevki Glumac, X- Ray, Yogurt in Cr00k oziroma Levjesrčni.

Sedmega aprila 1998 je kriminalistična služba od omrežja SIOL prejela obvestilo o zlorabi uporabniških imen in gesel za dostop v Internet. Ugotovili so, da je hekerska organizacija z imenom X-ORG na spletnem strežniku WHITEMOON.ORG, ki se nahaja v ZDA, uporabnikom Interneta, ki so v obrazec vpisali svoje podatke, za 2.000 SIT po navadni pošti z odkupnino pošiljala ukradena uporabniška imena in gesla uporabnikov SIOL-a. Kriminalisti so za pomoč zaprosili Interpol ZDA in SI-CERT (Slovenski Computer Emergency Response Team), ki deluje v ARNES-u. Odkrili so, da je heker z nadimkom Cr00k s pomočjo programa TBL preusmerjal elektronske komunikacije iz poštnega strežnika SIOL na drugo lokacijo in zapisoval osnovne podatke o komunikaciji, med njimi tudi ime in geslo uporabnika.

Preiskavo je pospešil Levjesrčni, ki je na spletnih straneh skupaj z 230 uporabniškimi imeni in gesli (v pomešanem vrstnem redu, kar pa ni preprečevalo poizkusov iskanja pravih parov in s tem nedovoljene uporabe Internet storitev) objavil zgodbo o tem, kako je sam žrtev zlorabe. Določenim novinarjem je posredoval 121 pravih parov in gesel (nekateri so njihovo delovanje tudi preizkusili) in zagotovil, da lahko v 24 urah zagotovi nova gesla, če z objavljenimi ne bodo zadovoljni.

V sodelovanju s strokovnjaki ARNES in SIOL so 26. in 27. maja kriminalisti sistematično analizirali podatke in informacije iz vseh razpoložljivih virov in odkrili identiteto Levjesrčnega. Kmalu je postalo jasno, da sta Levjesrčni in Cr00k v resnici ista oseba, pri njem pa so našli tudi neposredne dokaze za ti trditvi. Zasegli so mu tudi programska paketa BOUNCER in TBL (tudi v izvirni programski kodi), ki oba omogočata že opisano prestrezanje in preusmerjanje elektronskih komunikacij. Dokazov, da je Levjesrčni ukradena gesla preprodajal, niso našli, so pa našli dokaze, da jih je on objavil in posredoval noviranjem ter še nekaterim drugim osebam. SIOL je uporabnikom, katerih računi so znatno odstopali od povprečnih, terjatve odpisal in sam kril stroške, po njihovi oceni okoli 17,5 MIO SIT.

Že pred prijetjem Levjesrčnega se je pojavil sum, da so v prodajo vpletene osebe iz območja Maribora. 3. junija 1998 so kriminalisti UNZ Ljubljana in Maribor ob pomoči strokovnjakov Uprave kriminalistične službe MNZ in Uprave za informatiko in telekomunikacije MNZ opravili hišne preiskave v Mariboru pri članih organizacije X-ORG z nadimki X- Ray, Glumac in Yogurt. Zasegli so klasično dokumentacijo in elektronske datototeke, ki nedvoumno kažejo na to, da so bili prijeti pripadniki hekerske organizacije X-ORG vpleteni v protipravno pridobivanje in prodajo odtujenih Internet uporabniških imen in gesel. Gesla so sprva pridobivali posamično v manjšem številu, ker je eden izmed njih našel pomanjkljivost v sistemu zaščite poštnega strežnika SIOL, ko pa so preko Cr00ka pridobili še programa BOUNCER in TBL, so pričeli gesla množično prestrezati in trgovati z njimi.

V dneh od 4. junija dalje so kriminalisti pregledovali obsežne zasežene datoteke (izpis selektiranih datotek na tiskalnik je dolg nekaj tisoč strani formata A4). Ob pregledu datotek so ugotovili, da je eden izmed prijetih osumljencev v letošnjem letu vdrl tudi v računalniški sistem Ministrstva za šolstvo in šport (za kar so kriminalisti v februarju letos prejeli ovadbo zoper neznanega storilca) ter na spletni strani spremenil vsebino. Vsaj v času od 25. marca do 24. maja je prestrezal tudi elektronsko pošto uporabnikov v MŠS ter njihovih korespondentov in jo kopiral na disk svojega računalnika. Prestregel je tudi nekatere uradne dokumente, ki so bili v omrežnem prometu skupaj z elektronsko pošto.

Istega dne so odkrili tudi datoteke, v katere so se zapisovali rezultati prikritega delovanja "vohunskih programov", popularno imenovanih z angleško besedo sniffer. Prisluškovalni program je bil skrivoma instaliran na Internet strežnike Fakultete za elektrotehniko oz. Fakultete za računalništvo in informatiko v Ljubljani, ter na omrežne strežnike ponudnika Internet storitev K2. NET. V prisluškovalnih datotekah z nekaj deset tisoč zapisi do kriminalisti doslej našli 733 uporabniških imen in gesel, ki jih uporabljajo pri medsebojnem komuniciranju uporabniki. Analizirani zapisi nakazujejo na to, da so bili lahko prizadeti uporabniki naslednjih domen (lokalnih strežnikov):

EUnet.si, K2.net, abakus.si, amadej.si, amis.net, arnes.si, b2mb.si, earthlink.net, edus.si, geocities.com, hal.si, home.com, ibe.si, nd- mb.si, nevtron.si, onet.pl, sgn.net, sigov.si, simnet.net, siol.net, symantec.com, kiss.uni-lj.si, uni-lj.si, uni-mb.si, unistar.si, usa. net, zrcalo.si, 140.146.176.0, 161.6.31.0, 194.165.108.0, 195.246.17. 0, 195.250.194.0, 195.250.206.0, 198.6.51.0.

Seznam bodo kriminalisti po vsej verjetnosti še dopolnili, saj lastniki nekaterih domen še niso znani.

9. junija so kriminalisti obvestili upravljalca omrežja K2.net, da je na njihovem omrežju instaliran sniffer. Strokovnjaki K2.NET so takoj zavarovali dokaze in po temeljitem pregledu sistema res našli prikrit program za prisluškovanje elektronskim komunikacijam.

Kriminalisti so tudi povedali, da ni indicov, da je bila v krajo SIOLovih gesel vpletena konkurenca, kar so objavljali nekateri mediji. Pohvalili so strokovnjake ARNES, SI-CERT in SIOL, ki so brezpogojno sodelovali pri preiskavi, hitro so se odzvali tudi strokovnjaki drugih institucij, ki so bile napadene in za to niso vedele vse dokler jih kriminalisti niso obvestili.

Dalibor Cerar

P.S.: Kljub vsemu dogajanju SIOL še vedno ne omogoča kodirane spremembe gesla na naslovu http://servis.siol.net, različnega gesla za dostop in za elektronsko pošto, protokola IMAP za branje pošte, zadnje dni pa imajo tudi težave z beleženjem časa, ki so ga uporabniki porabili na Internetu. Upam, da bodo sedaj, ko so storilci odkriti, pljunili v roke in izboljšali varnost svojega sistema.

Vesel bom komentarjev, pripomb, predlogov. Mimogrede, danes je vlada izbrala tudi drugega GSM ponudnika.

Še nekaj uporabnih naslovov:

Strani se nahajajo na strezniku http://www.kabi.si


HTML pripravil Dalibor Cerar (dalibor@kabi.si)