16.02.2020 | 10:37

Adam Haertle

Ktoś przez 5 miesięcy (!) podsłuchiwał hasła użytkowników centrum obliczeniowego UW

Według otrzymanych przez nas informacji od września 2019 ktoś podsłuchiwał loginy i hasła użytkowników jednego z największych klastrów maszyn obliczeniowych w Polsce, zarządzanego przez Uniwersytet Warszawski.

Interdyscyplinarne Centrum Modelowania Matematycznego i Komputerowego pewnie większości z Was znane jest głównie z modelu pogodowego dostępnego pod adresem meteo.pl. Oprócz obliczania, kiedy będzie padał deszcz, prowadzi wiele bardzo zaawansowanych projektów i zarządza sporą infrastrukturą obliczeniową. Jej element stanowi m.in. superkomputer Okeanos, czyli Cray XC40. Zbudowany jest z ponad 1000 węzłów obliczeniowych (dwa 12-rdzeniowe procesory Intel Xeon Haswell i 128 GB pamięci RAM każdy). Jak pisze sam ICM:

Okeanos najlepiej sprawdza się w obliczeniach wielkoskalowych, które w pojedynczym przebiegu wymagają zastosowania kilku tysięcy rdzeni obliczeniowych oraz kilkudziesięciu terabajtów pamięci operacyjnej.

Niestety od września 2019 do lutego 2020 ktoś podsłuchiwał loginy i hasła użytkowników serwera dostępowego do tej właśnie infrastruktury.

Poważny incydent

Od jednego z naszych Czytelników dostaliśmy dokument, który użytkownicy klastra otrzymali od pełnomocnika ds. ochrony danych osobowych ICM-u. Tytuł brzmi „Zawiadomienie o naruszeniu ochrony danych osobowych”.

Oto jego kluczowy fragment:

Prawdopodobnie w dniu 6.09.2019 nieznany sprawca dokonał przełamania zabezpieczeń informatycznych i uzyskał nieuprawniony dostęp do serwera należącego do ICM UW, znajdującego się pod adresem „hpc.icm.edu.pl” (dalej: serwer). Sprawca dokonał podmiany klienta i serwera SSH na zaatakowanym serwerze w celu gromadzenia danych użytkowników logujących się na serwerze w okresie od 6.09.2019 do 11.02.2020 r. Dane te były gromadzone na zaatakowanym serwerze w lokalnym zaszyfrowanym pliku, który następnie mógł zostać pobrany przez sprawcę. Zakres Państwa danych osobowych, który mógł zostać wykradziony przez sprawcę obejmuje: imię, nazwisko, login systemowy oraz hasło dostępowe do serwera.

Wagę tego incydentu determinuje kilka czynników.

Po pierwsze, aby lepiej zrozumieć problem, warto poznać rolę serwera hpc.icm.edu.pl. To maszyna znana także jako login.icm.edu.pl, za pomocą której użytkownicy klastrów dostają się do narzędzi umożliwiających zarządzanie zadaniami obliczeniowymi. Loginy i hasła wykradzione w tym miejscu umożliwiają m.in. zapoznanie się ze zleconymi obliczeniami i ich wynikami, a obliczenia na klastrach ICM-u prowadzą naukowcy z wielu ośrodków badawczych.

Po drugie, z komunikatu jasno wynika, że do włamania doszło najpóźniej we wrześniu 2019. Podsłuchiwanie użytkowników serwera trwało zatem ponad pięć (!) miesięcy, zanim ktokolwiek się zorientował. Nie mówimy tu o przypadkowym serwerze zarządzającym dostępem do schowka na miotły – mówimy o serwerze zarządzającym dostępem do jednego z największych polskich centrów obliczeniowych.

Po trzecie, z komunikatu jasno wynika, że włamywacz nie tylko uzyskał nieautoryzowany dostęp do serwera, ale także zdobył uprawnienia administratora serwera (bez tego nie mógłby podmienić serwera i klienta SSH). Oprócz loginów i haseł użytkowników mógł zatem podsłuchiwać także loginy i hasła administratorów (o ile takich używali, o czym za moment), mógł także próbować uzyskać dostęp do innych serwerów. Co ważne, podsłuchiwać mógł także loginy i hasła na innych serwerach – z komunikatu wynika, że podmienił także klienta SSH.

Hasła do SSH? Który to rok?

Jak bardziej świadoma technologicznie część naszych czytelników wie, logowanie SSH za pomocą loginu i hasła to przeżytek. Od wielu już lat bezpiecznym standardem jest logowanie za pomocą klucza. Klucz prywatny zostaje na stacji użytkownika, klucz publiczny wgrywany jest na serwer docelowy i nawet podsłuchanie całego połączenia nie pomoże włamywaczowi w przechwyceniu danych niezbędnych do podszycia się pod użytkownika na innej maszynie (mając uprawnienia administratora, może się pod niego podszyć na przejętej maszynie). Część użytkowników zaatakowanego serwera korzystała z tej opcji – jednak niestety nie była ona wymuszona domyślnie dla wszystkich. Biorąc pod uwagę rodzaj serwera i zarządzane za jego pomocą zasoby, jest to co najmniej dziwne. Pozostaje mieć nadzieję, że przynajmniej administratorzy korzystali z kluczy i unikatowych haseł.

Niestety użytkownicy, którzy korzystali z logowania za pomocą loginu i hasła, mogą się spodziewać, że wszędzie, gdzie używali tego samego loginu i hasła, ktoś już zajrzał i cokolwiek trzymali tam ciekawego, to zostało już wykradzione. Co więcej, jeśli za pomocą przejętego serwera logowali się gdziekolwiek (także za pomocą klucza), te dane też mogły zostać przejęte przez podmienionego klienta SSH i wykorzystane.

Kto, jak i po co

Ujawniony incydent jest co najmniej ciekawy. Ktoś włamuje się na kluczowy serwer instytucji badawczej i – ryzykując wykrycie – podmienia serwer i klienta kluczowej usługi, by zdobyć hasła użytkowników. Nie chodziło zatem o jednorazową kradzież danych, a raczej o operację zbierania informacji o dłuższym horyzoncie czasowym. Oczywiście wiele lat temu starodawni hakerzy, których celem była satysfakcja i zabawa, na każdym przejętym serwerze zbierali hasła, by potem za ich pomocą zdobywać dostęp do kolejnych serwerów itd. Te czasy jednak odeszły już dawno w niepamięć i większości atakujących można dzisiaj przypisać cele materialne. Nie sposób dzisiaj powiedzieć, kto mógł stać za tym atakiem – może ICM stanie na wysokości zadania, przeprowadzi porządną analizę powłamaniową i opublikuje – w akademickim duchu jawności – jej wyniki.

Wysłaliśmy w tej sprawie kilka pytań do UW – mamy nadzieję, że dostaniemy odpowiedź, którą będziemy mogli opublikować. Jeśli sami wiecie więcej, zapraszamy do kontaktu.

Aktualizacja 2020-02-18

Otrzymaliśmy odpowiedzi na nasze pytania – w tym niektóre bardzo ciekawe.

1. W jaki sposób doszło do przełamania zabezpieczeń serwera.

Trwa wyjaśnianie incydentu. Po zalogowaniu się z uprawnieniami
użytkownika atakujący podniósł uprawnienia od poziomu administratora
wykorzystując podatność systemu.

2. Dlaczego przez wiele miesięcy nie odkryto incydentu.

Wyjaśniamy to, nie było nietypowej aktywności na systemach.

3. W jaki sposób udało się zidentyfikować incydent.

Dostaliśmy informacje o podobnym problemie w innym ośrodku.

4. Ilu użytkowników ma konta na serwerze.

ok. 1000.

5. Ilu użytkowników logowało się w trakcie trwania incydentu.

ok. 400.

Komentarz redakcji

No i pięknie. Włamywacz miał login i hasło jakiegoś użytkownika, a włamanie wykryto po tym, jak o podobnym incydencie poinformował inny ośrodek. Zatem gdzie jeszcze doszło do analogicznych incydentów i ile ośrodków obliczeniowych kontrolowali włamywacze?

Powrót

Komentarze

  • 2020.02.16 11:22 Filip

    Nie koniecznie mial roota, mogl „zatruc” repozytoria pakietow – mozliwe ze UW ma wlasne, niespecjalnie bezpieczne. Moze obraz systemu byl skompromitowany? Pozdro

    Odpowiedz
  • 2020.02.16 11:55 j

    Jakby można było obstawiać zakłady, to stawiałbym na Chińczyków.

    Odpowiedz
    • 2020.02.16 21:25 John Sharkrat

      A po co Chińczycy mieliby włamywać się do UW?

      Odpowiedz
      • 2020.02.16 22:07 Duży Pies

        Piszesz to na poważnie?
        Nie powinieneć pisać komentarzy po pijaku!

        Odpowiedz
        • 2020.02.17 08:52 Prosty ubek

          Masz rację, z UW ,można wykraść polski sposób łamania Enigmy.
          Tak przy okazji to Chińczycy mają 3 kosmodromy, lądowali na księżycu i badali jako pierwsi jego niewidoczną z Ziemi część.

          PS.
          A Polska włamuje się na serwery uczelni w Somalii i Haiti?

          Odpowiedz
        • 2020.02.17 10:57 John Sharkrat

          @Duży Pies na 1000 najlepszych wyższych uczelni 92 to chińskie. Najlepszym z chińskich jest Uniwersytet w Pekinie na 92 miejscu. Najlepszym z Polski to uniwersytet Warszawski 260 miejsce. Najlepszy Rosyjski na 126 miejscu.

          Odpowiedz
        • 2020.02.17 11:08 John Sharkrat

          @Duży Pies
          Duma narodowa – Najmniej wartościowym natomiast rodzajem dumy jest duma narodowa. Kto bowiem nią się odznacza, ten zdradza brak cech indywidualnych, z których mógłby być dumny, bo w przeciwnym wypadku nie odwoływałby się do czegoś, co podziela z tyloma milionami ludzi. Kto ma wybitne zalety osobiste, ten raczej dostrzeże braki własnego narodu, ponieważ ma je nieustannie przed oczyma. Każdy jednak żałosny dureń, który nie posiada nic na Świecie, z czego mógłby być dumny, chwyta się ostatniej deski ratunku, jaką jest duma z przynależności do danego akurat narodu; odżywa wtedy i z wdzięczności gotów jest bronić rękami i nogami wszystkich wad i głupstw, jakie naród ten cechują. – Arthur Schopenhauer

          Odpowiedz
        • 2020.02.17 20:50 Duży Pies

          @ all trolls & haters
          .
          Nie doceniacie albo zwyczajnie nie rozumiecie jak działa chiński wywiad. Dla Chinoli nie ma „mało wartościowych” informacji. Dla nich wszystkie informacje są ważne. Bo z wielu małych drobinek można złożyć coś większego – i tak właśnie działają Chińczycy i wychodzi im to bardzo dobrze!
          Polskie uczelnie i instytuty badawcze są dla nich atrakcyjnie i nie ma znaczenia że UW, UWr, WAT, UJ, AGH to nie MIT, Oxford albo Yale.
          Nie wiemy jeszcze czy włamanie na UW to robota Chińczyków, ale teza taka jest uprawdopodobniona, nie jest niemożliwa.
          .
          Nie jestem nacjonalistą. Nie toleruję nacjonalistów, narodowców, faszystów i wszelkich skrajności, także skrajnej lewicy.
          Wiem że „duma narodowa” to (niestety niebezpieczny) idiotyzm, nie trzeba mi tego komunikować. Cytat Schopenhauera zupełnie nietrafiony, jeśli chodzi o moją osobę.

          Odpowiedz
          • 2020.02.19 17:49 John Sharkrat

            Nie jesteśmy atrakcyjni dla nikogo. Przypomnieć ci historie błękitnego lasera? Ktoś wykradł dane czy wyniki badań? Nie.
            Ile miałeś prób włamania czy włamań do instytutu, w którym pracowano nad Grafenem? Słownie ZERO. Zarówno zwykłych z łomem jak i cybernetycznych.
            Ile miałeś włamań do swego czasu czołowej polskiej firmy produkującej drukarki 3D? ZERO.
            Ile miałeś włamań do firmy pracującej nad perowskitami? ZERO.
            Nikogo to nie obchodzi, tak jak polskiego wywiadu nie obchodzi uniwersytet w Somali czy na Haiti. NIC nie mamy, co miałoby wartość dla kogokolwiek, a już w szczególności dla chińczyków.

          • 2020.02.19 17:55 John Sharkrat

            A i przy okazji przypomnij nam o włamaniach do Lockheed Martin, Boeinga, Dassault Group, MiT czy do Tesli.

          • 2020.02.20 11:59 Prosty ubek

            @John Sharkrat zapomniałeś, że Chińczycy, Amerykanie, Niemcy, ruscy hakerzy włamywali się i to niestety skutecznie do OBRUM i ukradli dokumentację polskiego niewidzialnego czołgu PL-01, na który Polacy wydali już pewnie setki milionów PLN.

            PS.
            PL-01 czyli niewidzialny czołg, którego konstruowanie zakończono pod koniec 2016, jest produkowany od 2018 i wdrażany do Wojska Polskiego.

          • 2020.02.20 17:43 Adam Haertle

            A gdzież to wdrożenie, gdzie zdjęcia – pomyliły Ci się plany z 2013 z rzeczywistością

          • 2020.03.10 22:19 dkbs

            > Dla Chinoli nie ma „mało wartościowych” informacji
            > (…) z wielu małych drobinek można złożyć coś
            > większego – i tak właśnie działają Chińczycy i wychodzi
            > im to bardzo dobrze!

            Przecież to nie jest żaden wyróżnik Chińczyków. Tak samo działa każdy inny wywiad mający aspiracje globalne: rosyjski, amerykański, niemiecki czy francuski.

      • 2020.02.17 18:05 Wiktor

        Zawsze kogoś mogą zainteresować wyniki, a dzięki takiej oszczędza się czas i pieniądze czyli własne zasoby. Chińczycy to sensowny trop

        Odpowiedz
        • 2020.02.19 17:40 John Sharkrat

          Wyniki czego?

          Odpowiedz
  • 2020.02.16 12:23 Prosty ubek

    Przez 3 miesiące ktoś podsłuchiwał Genowefę Kowalską, czołową plotkarkę w mieście. To poważny incydent, bo nikt nie wie na czyj temat i które plotki wypłynęły.

    PS.
    Przecież to budżetówka, więc nie powinno to nikogo dziwić.

    Odpowiedz
  • 2020.02.16 14:19 Wujek Pawel

    Jak do tego doszlo nie wiem, wszak nie od dzis wiadomo, ze uczelaniani admini sa najmadrzejsi na swiecie i wszystko wiedza najlepiej, a jakakolwiek proba zwrocenia uwagi na nieprawidlowosci konczy sie zruganiem zwracajacego uwage. Obstawiam, ze sama wartosc badan wynosi zero, a niedlugo byc moze dowiemy sie, ze serwer wykorzystywany byl do kopania krypto waluty.

    Odpowiedz
  • 2020.02.16 14:39 olek

    Serwer im listuje pliki.

    http://kdm.icm.edu.pl/kdm_wiki/images/

    Odpowiedz
    • 2020.02.16 17:10 Wujek Pawel

      Oj Olku, żeby tylko pliki: https://icm.edu.pl/wp-json/wp/v2/users

      Może jakiś atak socjologiczny przez telefon? Kto wie, może to dopiero początek kompromitacji pana doktora w randze super admina tego bajzlu.

      Odpowiedz
    • 2020.02.16 17:16 Robert

      Bo ktoś go tak skonfigurował ;)

      Odpowiedz
  • 2020.02.16 17:25 Achot

    Jak pięknie karma wraca. 15 lat temu pracowałem w ICM i po takim samym włamaniu próbowałem wdrożyć 2FA dla użytkowników zewnętrznych. Próba została politycznie zablokowana przez szefa działu KDM bo … uniemożliwiłaby dzielenie się hasłami przez użytkowników, na zasadzie że profesor ma konto w ICM i użycza hasła doktorantowi, żeby ten coś tam liczył. Jak widać przez 15 lat nic się nie zmieniło. Pozdrowienia dla mirnaza.

    Odpowiedz
  • 2020.02.16 19:21 mj12

    Pewnie ktoś chciał kopać bitkojny.

    Odpowiedz
  • 2020.02.16 19:30 lajsikonik

    Pytanie od laika: skoro chwalicie logowanie kluczem, to jak dbać o bezpieczeństwo klucza prywatnego?
    Hasło po wycieku przeważnie można łatwo zmienić (chyba, że ktoś już nam zmienił), a klucz?

    Odpowiedz
  • 2020.02.16 21:28 John Sharkrat

    Przecież wiadomo, że to ruskie hackery.

    Odpowiedz
  • 2020.02.16 22:28 Jan

    Ja sobie pracuję na Uczelni jako młody Doktor i wszędzie powinien być moim zdaniem zlecony audyt bezpieczeństwa. W artykule mowa o UW z wydziałem Informatyki, u nas jest jeden Pan Informatyk. :/

    Odpowiedz
    • 2020.02.16 23:00 Tomek z serwisu informatykzakladowy.pl

      Zakładowy?!

      Odpowiedz
    • 2020.02.16 23:40 muchar

      Ale pamiętaj, to jest PAN Informatyk. A nie jakiśtam informatyk. :-)

      Odpowiedz
      • 2020.02.17 11:56 Wujek Pawl

        Otoz to. To jest Pan informatyk magister inzynier i nikt ale to nikt nie moze podwazyc jego kompetencji, a pozniej to wyglada tak jak wyglada.

        Odpowiedz
      • 2020.02.17 12:05 Blob

        To UW informatyk a nie PAN informatyk, rozróżniaj instytucje ;)

        Odpowiedz
    • 2020.02.23 17:38 ćwierć-przewodnik

      U mnie w robocie (uczelnia), szef informatyków mówi: „audyt? ale to dopiero jak już wszystko ogarniemy”.
      A tematów do ogarniania przybywa w nieskończoność…

      Odpowiedz
  • 2020.02.17 12:16 olek

    Tu niby jest jakiś zły kod do spamu .Ale gdzie .??

    https://icm.edu.pl/edukacja/publikacje/publikacje-2012/

    Odpowiedz
  • 2020.02.21 11:44 Prosty ubek

    @Adam Haertle Ale jak ty chcesz sfotografować niewidzialny czołg? Przecież on jest niewidzialny. Jedynym dowodem, że on jest to faktury zakupu i faktury kosztowe, ale są one niestety ściśle tajne, pod specjalnym nadzorem, więc też nie ma do nich dostępu.

    Odpowiedz
  • 2020.02.24 09:29 Marcin

    Zadał bym też pytania
    Jaką była łączna wartość grantów naukowych i prac zleconych prowadzonych przez tych 400 logujacych się
    Jakie kompetencje zawodowe mają administratorzy tych serwerów
    Jakie konsekwencje służbowe zostały wyciągnięty wobec administracji serwerów.

    Odpowiedz
  • 2020.02.28 18:38 draft

    Różnym ludziom, w różnych krajach nie podobała się pewna firma na „H”. A ICM jest dumne, że posiada taki klaster:
    – 8688 rdzeni obliczeniowych
    – 46 TB pamięci RAM
    – 8 PB przestrzeni dyskowej
    hxxps://icm.edu.pl/centrum-technologii/e-infrastruktura-icm/

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Ktoś przez 5 miesięcy (!) podsłuchiwał hasła użytkowników centrum obliczeniowego UW

Komentarze