::::::::::. :::::::..   :::.,::::::   :::         ...     .        :   
    `;;;```.;;;;;;;``;;;;  ;;;;;;;''''   ;;;      .;;;;;;;.  ;;,.    ;;;  
     `]]nnn]]'  [[[,/[[['  [[[ [[cccc    [[[     ,[[     \[[,[[[[, ,[[[[, 
      $$$""     $$$$$$c    $$$ $$""""    $$'     $$$,     $$$$$$$$$$$"$$$ 
      888o      888b "88bo,888 888oo,__ o88oo,.__"888,_ _,88P888 Y88" 888o
      YMMMb     MMMM   "W" MMM """"YUMMM""""YUMMM  "YMMMMMP" MMM  M'  "MMM



Tento clanok bol pisany za ucelom uverejnenia v Prielome #22, zial nedostal sa tam. Tak ho uverejnujem aspon tu.

Správa z tlače: "Bratislava 4. februára (TASR) - Polícii sa dnes v
bratislavskej Petržalke podaril úspešný záťah voči nelegálnym užívateľom
internetu.

Počas akcie v istej internetovej kaviarni a počítačovej herni zistili, že na
jeden oficiálny internetový vstup bolo nelegálne pripojených až 29 počítačov.

Ako pre TASR konštatoval vedúci skráteného vyšetrovania Okresného riaditeľstva
PZ Bratislava 5 Gabriel Deák, polícia v tejto súvislosti už začala trestné
stíhanie vo veci neoprávneného obohacovania. K obvineniu konkrétnych osôb
zatiaľ nedošlo.

V prípade, že sa podarí páchateľa odhaliť, súd ho môže potrestať zákazom
činnosti, peňažným trestom, prípadne dvojročným väzením.

Nelegálne pripájanie na internet, keď sa na jeden oficiálny vstup pripojí
viacero užívateľov je novým fenoménom kriminality. Generálny riaditeľ
spoločnosti UPC Slovensko Martin Maťašeje konštatoval, že nelegálne pripojenie
spomaľuje a znehodnocuje rozvoj internetu na Slovensku. Spoločnosti
prevádzkujúce internetové siete prichádzajú podľa neho len v Bratislave
mesačne rádovo o niekoľko stotisíc korún. Maťašeje ocenil doterajšiu
spoluprácu s políciou v boji proti nelegálnym užívateľom internetu.

Copyright  TASR 2004"

Elektronické aj papierové média nás deň čo deň zásobujú podobnými správami.
Zvyknem ich len povrchne prejsť pohľadom. Nasleduje hlasitá nadávka na
adresu autora, na osoby vystupujúce v príbehu, prípadne len tak, všeobecne.
A správa upadne do zabudnutia.

Ale tentoraz sa stalo niečo nezvyklé. Krátky článok sme dopodrobna rozobrali s
priateľmi. V príjemnej družnej debate sme strávili viac ako hodinu.

O závery vyplývajúce z našej diskusie som sa rozhodol podeliť s vami v tomto
príspevku.

TASR opäť potvrdila, že do oblasti informačných technológií nevidí. Uverí
každej blbosti, čo jej kto narozpráva. Prípadne ide na ruku rôznym záujmovým
skupinám, či už je to polícia SR, alebo súkromná spoločnosť UPC.

Chápal by som, ak by polícia zasiahla proti porušovateľom zmluvy s firmou UPC.
Ale záťah proti "nelegálnym užívateľom internetu"? To mi pripadá, ako keby
samotnej polícii nebolo jasné proti komu vlastne zasahovala (našepkal im túto
formuláciu sám generálny riaditeľ UPC Maťašeje?). Možno to policajtom bolo až
príliš jasné a potrebovali ukázať pouličnej zmesi, že oni tie počítače a
internety ovládajú.

Rozumiete tomu, že si prevádzkovateľ internetovej kaviarne a počítačovej herne
zakúpi pripojenie k internetu od firmy UPC, a vedome poruší zmluvu? Namiesto
jedného povoleného počítača ich tam pripojí 29 a nechá sa odhaliť? Je za tým
vyjadrenie odporu voči nerozumnej politike firmy UPC? Chamtivosť? Alebo je to
čisto len neuveriteľná ľudská hlúposť? Nepracuje náhodou majiteľ kaviarne pre
IT oddelenie TASR?

Korunu tomu všetkému nasadil pán generálny riaditeľ, vraj "nelegálne
pripojenie spomaľuje a znehodnocuje rozvoj internetu na Slovensku". Možno je s
majiteľom kaviarne v príbuzenskom vzťahu. Neverím, že takýto exoti nepatria do
jednej rodiny. Za to, že spoločnosti poskytujúce pripojenie k internetu (pán
riaditeľ sa bojí povedať, že najmä UPC) prichádzajú mesačne rádovo o niekoľko
sto tisíc (sic!), si môžu spoločnosti sami. Na vine je ich obchodná politika.
Prečo UPC nevypustí zo zmluvy zmienku o pripojení len jedného počítača a
neobmedzí šírku pásma pre jedno pripojenie na akceptovateľnú hodnotu (pre
zákazníka aj pre spoločnosť)? Ale namiesto toho UPC špicľuje svojich
zákazníkov a vyvíja zvláštne vzťahy s políciou SR.

Ako vyzerá typické pripojenie viacerých počítačov "na jeden oficiálny vstup"?
K oficiálnemu vstupu sa pripojí PC s Linuxom, nastaví sa na ňom routovanie,
firewall a NAT. Jedna sieťová karta má IP adresu oficiálneho vstupu, druhej je
pridelená IP adresa z lokálneho adresného priestoru (napr. 10.0.0.0, alebo
192.168.0.0).  Ostatné počítače sú, napr. pomocou HUBu, pripojené k lokálnej
sieti a všetky pakety smerujú cez Linuxový router. Jednoduché ako facka, za
pár hodín je sieť pripravená k prevádzke.

Ako mohlo UPC odhaliť, že kaviareň mala pripojených 29 počítačov? Mohli
sledovať dáta idúce z kaviarne a podľa obsahu dát určiť, že linka je zdieľaná
viacerými počítačmi. Mohli sledovať verzie web prehliadačov v HTTP
requestoch, alebo sledovať určité charakteristiky v TCP spojeniach a
štatisticky určiť, že sa na nich podieľa viac zdrojových počítačov (viď
"http://wep.7a69.org/w/fnat.pdf").

Ak by kaviareň mala zle nastavené parametre Linuxového routra, bolo by možné
odhaliť, že za Linuxovým počítačom je NATovaná lokálna sieť. A to nasledujúcim
trikom.

Majme jedno oficiálne pripojenie s verejnou IP adresou 123.123.123.123 k sieti
123.123.123.0. Druhá sieťová karta nech má adresu 192.168.1.1, počítače v
lokálnej sieti majú IP adresy v rozsahu 192.168.1.1 až 192.168.1.254. Ak z
počítača fyzicky pripojeného k verejnej sieti vyšleme ARP request s otázkou:
"Kto má IP adresu z lokálnej siete za Linuxovým routrom?", zle 
nakonfigurovaný router 
nám na karte pripojenej k verejnej sieti odpovie: "Lokálna IP adresa sa
schováva za mojou verejnou ethernetovou adresou"

Pre generovanie ARP requestov bol použitý ping.

Výstup z tcpdumpu vyzerá nasledovne:

14:43:18.100312 arp who-has 123.123.123.123 tell 123.123.123.124
14:43:18.100460 arp reply 123.123.123.123 is-at 0:4:76:8e:cf:8a

Linuxový router odpovedal nášmu počítaču (IP adresa 123.123.123.124), že IP
adresa 123.123.123.123 sa nachádza na jeho karte s ethernetovou adresou
0:4:76:8e:cf:8a, čo je v poriadku.

Po zmene IP adresy našeho počítača na lokálnu (IP adresa 192.168.1.123) a
vyslaní ARP requestu s otázkou: "Kto má IP adresu 192.168.1.1 (lokálna sieťová
karta na Linuxovom routri)?", sme dostali nasledovnú odpoveď:

14:52:31.447725 arp who-has 192.168.1.1 tell 192.168.1.123
14:52:31.447876 arp reply 192.168.1.1 is-at 0:4:76:8e:cf:8a

A to už nie je dobré ani náhodou. Z tohto totiž vieme, že počítač pripojený k
oficiálnemu vstupu má minimálne dve IP adresy. To môže znamenať, že sme narazili
na nelegálnych užívateľov Internetu.

Stačili by k záťahu takéto nepriame dôkazy? Ja bežne používam viac druhov
prehliadačov v rovnaký čas, alebo mám na počítači viac IP adries pre
testovacie účely.

Porozumeli by slovenskí policajti nepriamym dôkazom, ktoré sú založené na
zatiaľ nie v reálnej praxi overenej štatistickej metóde, alebo pokusom s
príkazom ping? Asi nie.

Je dosť pravdepodobné, že v tomto prípade dostala spoločnosť UPC od niekoho
teplý bonz a po fyzickej kontrole kaviarne a zistení potrebných detailov
kontaktovali políciu.

Ako sa vyhnúť zásahu? Neporušujte zmluvu! Nech je obchodná politika UPC
akokoľvek debilná, podpisom zmluvy súhlasíte s podmienkami v nej uvedenými.
Stále máte možnosť zmluvu nepodpisovať, prípadne zrušiť a ísť k inému
poskytovateľovi. Ak sa aj napriek tomu rozhodnete riskovať, na záver je tu pre
vás pár dobrých rád:

- dobre si nakonfigurujte router (firewall, NAT), aby nedochádzalo k
  presakovaniu nežiadúcich informácií z lokálnej siete. Aby ste zabránili
  prípadu uvedenému vyššie, zapnite si na sieťových interfejsoch RP (reverse
  path) filter,

- zabráňte tomu, aby poskytovateľ pripojenia mohol skúmať dáta prúdiace od
  vás a k vám. Stačí, ak vytvoríte enkryptovaný tunel medzi Linuxovým routrom a
  ďalším počítačom v internete mimo siete poskytovateľa a všetky pakety budete
  routovať cez vytvorený tunel. Ak by poskytovateľ chcel preskúmať obsah
  paketov, musel by spolupracovať s majiteľom počítača na druhom konci tunelu,
  prípadne s poskytovateľom pripojenia pre tento počítač,

- nešírte, aký ste vymakaný a ako ste vydrbali s poskytovateľom. Skôr
  či neskôr vás niekto nabonzuje.

Poďakovanie: F. za testy, B. za korektúry, Pajkus za linku na fnat.pdf

Autor: Mikuláš Papuča

Zdroje: http://sme.sk/clanok-1254914.html
	http://wep.7a69.org/w/fnat.pdf
	http://howtos.linux.com/howtos/Adv-Routing-HOWTO/index.shtml