Uniwersytet Warszawski ofiarą szpiegów? Ktoś przez 5 miesięcy podsłuchiwał hasła

Strona główna Aktualności
Superkomputer Okeanos, fot. YouTube (Comtegra.official)
Superkomputer Okeanos, fot. YouTube (Comtegra.official)

O autorze

Ktoś podsłuchiwał loginy i hasła użytkowników jednego z największych klastrów obliczeniowych w Polsce, należącego do Uniwersytetu Warszawskiego – pisze Zaufana Trzecia Strona. Atak trwał od września 2019 r., a więc przez okres co najmniej 5 miesięcy. Nikt w tym czasie nie domyślił się, że coś może być nie tak.

Sprawa wyszła na światło dzienne dzięki pismu z 14 lutego, które otrzymał i ujawnił jeden z czytelników Zaufanej Trzeciej Strony. Firmy i inne podmioty gospodarcze, w związku z Ogólnym rozporządzeniem o ochronie danych (RODO), muszą informować użytkowników swoich usług o przypadkach naruszenia danych. Takie właśnie zawiadomienia zaczął przesyłać UW, a właściwie zarządzane przez niego Interdyscyplinarne Centrum Modelowania Matematycznego i Komputerowego, znane też pod akronimem ICM.

Jednostka dysponuje zaawansowaną infrastrukturą komputerową, w tym superkomputerem Okeanos (1084 węzły Cray XC40, każdy z dwoma 12-rdzeniowymi i 24-wątkowymi układami Intel Xeon i 128 GB RAM), który jest udostępniany poprzez sieć zewnętrznym instytucjom badawczym. Są to m.in. polskie centra meteorologiczne i zespoły akademickie działające w ramach grantów naukowych. Oto zaś kluczowy fragment rzeczonego pisma:

Prawdopodobnie w dniu 6.09.2019 nieznany sprawca dokonał przełamania zabezpieczeń informatycznych i uzyskał nieuprawniony dostęp do serwera należącego do ICM UW, znajdującego się pod adresem „hpc.icm.edu.pl” (dalej: serwer). Sprawca dokonał podmiany klienta i serwera SSH na zaatakowanym serwerze w celu gromadzenia danych użytkowników logujących się na serwerze w okresie od 6.09.2019 do 11.02.2020 r. Dane te były gromadzone na zaatakowanym serwerze w lokalnym zaszyfrowanym pliku, który następnie mógł zostać pobrany przez sprawcę. Zakres Państwa danych osobowych, który mógł zostać wykradziony przez sprawcę obejmuje: imię, nazwisko, login systemowy oraz hasło dostępowe do serwera.

Jak czytamy, 6 września 2019 r. nieokreślony włamywacz dostał się do serwera UW i podmienił serwer oraz klienta SSH, używane w infrastrukturze uwierzytelniania. Co następuje, przejął zapewne wszystkie wpisywane hasła i loginy, efektywnie uzyskując dostęp do kont użytkowników, a więc także reszty ich danych, z informacjami o zlecanych obliczeniach na czele.

Co to oznacza w praktyce? Osoby wykorzystujące superkomputer Okeanos przez około 5 miesięcy znajdowały się na widoku. Włamywacz ma ich nazwiska i dokładną wiedzę o prowadzonych badaniach. Nie wiadomo wprawdzie, jak zamierza te dane wykorzystać, ale łatwo dopisać sobie tutaj wątek szpiegowski. Nikt raczej nie uderzyłby w takim miejscu dla czystej zabawy.

Archaiczne mechanizmy obronne

Adam Haertle z Zaufanej Trzeciej Strony, wypowiadając się jako autorytet w dziedzinie cyberbezpieczeństwa, zwraca przy tym uwagę na archaiczny mechanizm logowania ICM, jakim niewątpliwie jest użycie klasycznego loginu i hasła po SSH. Dzisiaj we wrażliwych instytucjach stosuje się systemy kluczy, które efektywnie eliminują możliwość autoryzacji z poziomu niezaufanego komputera. UW ma taką opcję, ale nie jest ona domyślnie aktywna dla wszystkich kont. Haertle wyraża nadzieję, że chociaż administratorzy korzystali z kluczy, co jednak nie jest pewne.

© dobreprogramy
s