Správa z tlače: "Bratislava 4. februára (TASR) - Polícii sa dnes v bratislavskej Petržalke podaril úspešný záťah voči nelegálnym užívateľom internetu. Počas akcie v istej internetovej kaviarni a počítačovej herni zistili, že na jeden oficiálny internetový vstup bolo nelegálne pripojených až 29 počítačov. Ako pre TASR konštatoval vedúci skráteného vyšetrovania Okresného riaditeľstva PZ Bratislava 5 Gabriel Deák, polícia v tejto súvislosti už začala trestné stíhanie vo veci neoprávneného obohacovania. K obvineniu konkrétnych osôb zatiaľ nedošlo. V prípade, že sa podarí páchateľa odhaliť, súd ho môže potrestať zákazom činnosti, peňažným trestom, prípadne dvojročným väzením. Nelegálne pripájanie na internet, keď sa na jeden oficiálny vstup pripojí viacero užívateľov je novým fenoménom kriminality. Generálny riaditeľ spoločnosti UPC Slovensko Martin Maťašeje konštatoval, že nelegálne pripojenie spomaľuje a znehodnocuje rozvoj internetu na Slovensku. Spoločnosti prevádzkujúce internetové siete prichádzajú podľa neho len v Bratislave mesačne rádovo o niekoľko stotisíc korún. Maťašeje ocenil doterajšiu spoluprácu s políciou v boji proti nelegálnym užívateľom internetu. Copyright TASR 2004" Elektronické aj papierové média nás deň čo deň zásobujú podobnými správami. Zvyknem ich len povrchne prejsť pohľadom. Nasleduje hlasitá nadávka na adresu autora, na osoby vystupujúce v príbehu, prípadne len tak, všeobecne. A správa upadne do zabudnutia. Ale tentoraz sa stalo niečo nezvyklé. Krátky článok sme dopodrobna rozobrali s priateľmi. V príjemnej družnej debate sme strávili viac ako hodinu. O závery vyplývajúce z našej diskusie som sa rozhodol podeliť s vami v tomto príspevku. TASR opäť potvrdila, že do oblasti informačných technológií nevidí. Uverí každej blbosti, čo jej kto narozpráva. Prípadne ide na ruku rôznym záujmovým skupinám, či už je to polícia SR, alebo súkromná spoločnosť UPC. Chápal by som, ak by polícia zasiahla proti porušovateľom zmluvy s firmou UPC. Ale záťah proti "nelegálnym užívateľom internetu"? To mi pripadá, ako keby samotnej polícii nebolo jasné proti komu vlastne zasahovala (našepkal im túto formuláciu sám generálny riaditeľ UPC Maťašeje?). Možno to policajtom bolo až príliš jasné a potrebovali ukázať pouličnej zmesi, že oni tie počítače a internety ovládajú. Rozumiete tomu, že si prevádzkovateľ internetovej kaviarne a počítačovej herne zakúpi pripojenie k internetu od firmy UPC, a vedome poruší zmluvu? Namiesto jedného povoleného počítača ich tam pripojí 29 a nechá sa odhaliť? Je za tým vyjadrenie odporu voči nerozumnej politike firmy UPC? Chamtivosť? Alebo je to čisto len neuveriteľná ľudská hlúposť? Nepracuje náhodou majiteľ kaviarne pre IT oddelenie TASR? Korunu tomu všetkému nasadil pán generálny riaditeľ, vraj "nelegálne pripojenie spomaľuje a znehodnocuje rozvoj internetu na Slovensku". Možno je s majiteľom kaviarne v príbuzenskom vzťahu. Neverím, že takýto exoti nepatria do jednej rodiny. Za to, že spoločnosti poskytujúce pripojenie k internetu (pán riaditeľ sa bojí povedať, že najmä UPC) prichádzajú mesačne rádovo o niekoľko sto tisíc (sic!), si môžu spoločnosti sami. Na vine je ich obchodná politika. Prečo UPC nevypustí zo zmluvy zmienku o pripojení len jedného počítača a neobmedzí šírku pásma pre jedno pripojenie na akceptovateľnú hodnotu (pre zákazníka aj pre spoločnosť)? Ale namiesto toho UPC špicľuje svojich zákazníkov a vyvíja zvláštne vzťahy s políciou SR. Ako vyzerá typické pripojenie viacerých počítačov "na jeden oficiálny vstup"? K oficiálnemu vstupu sa pripojí PC s Linuxom, nastaví sa na ňom routovanie, firewall a NAT. Jedna sieťová karta má IP adresu oficiálneho vstupu, druhej je pridelená IP adresa z lokálneho adresného priestoru (napr. 10.0.0.0, alebo 192.168.0.0). Ostatné počítače sú, napr. pomocou HUBu, pripojené k lokálnej sieti a všetky pakety smerujú cez Linuxový router. Jednoduché ako facka, za pár hodín je sieť pripravená k prevádzke. Ako mohlo UPC odhaliť, že kaviareň mala pripojených 29 počítačov? Mohli sledovať dáta idúce z kaviarne a podľa obsahu dát určiť, že linka je zdieľaná viacerými počítačmi. Mohli sledovať verzie web prehliadačov v HTTP requestoch, alebo sledovať určité charakteristiky v TCP spojeniach a štatisticky určiť, že sa na nich podieľa viac zdrojových počítačov (viď "http://wep.7a69.org/w/fnat.pdf"). Ak by kaviareň mala zle nastavené parametre Linuxového routra, bolo by možné odhaliť, že za Linuxovým počítačom je NATovaná lokálna sieť. A to nasledujúcim trikom. Majme jedno oficiálne pripojenie s verejnou IP adresou 123.123.123.123 k sieti 123.123.123.0. Druhá sieťová karta nech má adresu 192.168.1.1, počítače v lokálnej sieti majú IP adresy v rozsahu 192.168.1.1 až 192.168.1.254. Ak z počítača fyzicky pripojeného k verejnej sieti vyšleme ARP request s otázkou: "Kto má IP adresu z lokálnej siete za Linuxovým routrom?", zle nakonfigurovaný router nám na karte pripojenej k verejnej sieti odpovie: "Lokálna IP adresa sa schováva za mojou verejnou ethernetovou adresou" Pre generovanie ARP requestov bol použitý ping. Výstup z tcpdumpu vyzerá nasledovne: 14:43:18.100312 arp who-has 123.123.123.123 tell 123.123.123.124 14:43:18.100460 arp reply 123.123.123.123 is-at 0:4:76:8e:cf:8a Linuxový router odpovedal nášmu počítaču (IP adresa 123.123.123.124), že IP adresa 123.123.123.123 sa nachádza na jeho karte s ethernetovou adresou 0:4:76:8e:cf:8a, čo je v poriadku. Po zmene IP adresy našeho počítača na lokálnu (IP adresa 192.168.1.123) a vyslaní ARP requestu s otázkou: "Kto má IP adresu 192.168.1.1 (lokálna sieťová karta na Linuxovom routri)?", sme dostali nasledovnú odpoveď: 14:52:31.447725 arp who-has 192.168.1.1 tell 192.168.1.123 14:52:31.447876 arp reply 192.168.1.1 is-at 0:4:76:8e:cf:8a A to už nie je dobré ani náhodou. Z tohto totiž vieme, že počítač pripojený k oficiálnemu vstupu má minimálne dve IP adresy. To môže znamenať, že sme narazili na nelegálnych užívateľov Internetu. Stačili by k záťahu takéto nepriame dôkazy? Ja bežne používam viac druhov prehliadačov v rovnaký čas, alebo mám na počítači viac IP adries pre testovacie účely. Porozumeli by slovenskí policajti nepriamym dôkazom, ktoré sú založené na zatiaľ nie v reálnej praxi overenej štatistickej metóde, alebo pokusom s príkazom ping? Asi nie. Je dosť pravdepodobné, že v tomto prípade dostala spoločnosť UPC od niekoho teplý bonz a po fyzickej kontrole kaviarne a zistení potrebných detailov kontaktovali políciu. Ako sa vyhnúť zásahu? Neporušujte zmluvu! Nech je obchodná politika UPC akokoľvek debilná, podpisom zmluvy súhlasíte s podmienkami v nej uvedenými. Stále máte možnosť zmluvu nepodpisovať, prípadne zrušiť a ísť k inému poskytovateľovi. Ak sa aj napriek tomu rozhodnete riskovať, na záver je tu pre vás pár dobrých rád: - dobre si nakonfigurujte router (firewall, NAT), aby nedochádzalo k presakovaniu nežiadúcich informácií z lokálnej siete. Aby ste zabránili prípadu uvedenému vyššie, zapnite si na sieťových interfejsoch RP (reverse path) filter, - zabráňte tomu, aby poskytovateľ pripojenia mohol skúmať dáta prúdiace od vás a k vám. Stačí, ak vytvoríte enkryptovaný tunel medzi Linuxovým routrom a ďalším počítačom v internete mimo siete poskytovateľa a všetky pakety budete routovať cez vytvorený tunel. Ak by poskytovateľ chcel preskúmať obsah paketov, musel by spolupracovať s majiteľom počítača na druhom konci tunelu, prípadne s poskytovateľom pripojenia pre tento počítač, - nešírte, aký ste vymakaný a ako ste vydrbali s poskytovateľom. Skôr či neskôr vás niekto nabonzuje. Poďakovanie: F. za testy, B. za korektúry, Pajkus za linku na fnat.pdf Autor: Mikuláš Papuča Zdroje: http://sme.sk/clanok-1254914.html http://wep.7a69.org/w/fnat.pdf http://howtos.linux.com/howtos/Adv-Routing-HOWTO/index.shtml
Čo ty na to?board