Sdělovací technika

telekomunikace - elektronika - multimédia


Kompletní seznam článků

Noční můra bezpečnostního správce před 20 lety

Zbyněk Malý, ANECT

S nárůstem metod a postupů moderního řízení informační bezpečnosti stoupá také význam bezpečnostního správce, jehož začlenění v organizační struktuře společnosti je klíčové pro úroveň zabezpečení. Bezpečnostní správce ručí za rozhodující procesy spojené se zaváděním a údržbou informační bezpečnosti. V minulosti to byl takový yetti – každý o něm mluvil, ale nikdo ho nikdy neviděl. Správu bezpečnosti prováděli ve firmách všichni administrátoři, z velké většiny se jednalo o antivirovou ochranu a následné čištění napadených počítačů.

Jaké byly hrozby v minulosti?

Jednalo se především o počítačové viry. Jejich historie začíná počátkem osmdesátých let 20. století. V roce 1983 sestrojil výzkumný pracovník Frederick Cohen první program, který se dokázal sám množit, a zavedl také označení „virus“, a to v odborné přednášce Experiments with Computer Viruses z roku 1984: „Počítačový virus je program, který dokáže infikovat jiný program tak, že do něj zkopíruje své tělo, čímž se infikovaný program stává prostředkem pro další aktivaci viru.“ V případě Cohenova programu se však v podstatě jednalo o neškodný kód, který se pouze uměl sám reprodukovat. První skutečný virus, který mohl nějak uškodit, naprogramovali v roce 1986 bratři Basit a Amjad Farooq Alvi a pojmenovali jej Brain (Mozek). Objevil se 19. ledna 1986. Útočil sice jen na určitou část disku, ale na starších počítačích způsobil větší škody.


 

Obr. 1 První počítačový virus, vyvinuli v lednu 1986 bratři Basit a Amjad Farooq Alvi a pojmenovali jej Brain

 

V té době ještě nebyl rozšířený Internet, a tak se tehdejší viry šířily pomocí disket. Jejich snahou proto bylo dostat se na disketu a spustit se v jiném počítači. Některé viry se „slušnou metodou“ snažily požádat o umožnění zápisu na disketu. Diskety se totiž daly zamknout, a byly tak fyzicky chráněné proti zápisu, ale tuto možnost využívalo jen minimum uživatelů. Zajímavá byla i rychlost šíření virů: pokud měl virus štěstí, přesunul se do vedlejšího státu během několika měsíců. Cílem takových virových nákaz nebylo získat data ani ovládnout počítač, ale znemožnit (znepříjemnit) práci na počítači.

Po rozšíření operačního systému Windows 95 a s připojením k Internetu pomocí modemu (vytáčené spojení) začaly i útoky na peněženky běžných uživatelů. V této době měly viry většinou podobu nějakého spustitelného souboru a spoléhaly na náhodné spuštění. Jedním z virových útoků byla instalace tzv. dialeru (program, který dokáže přesměrovat internetové spojení na dražší, tzv. žluté linky, kdy minuta připojení stála desítky korun). Na chodu a rychlosti Internetu se dialery nijak neprojevovaly, a že je máte nainstalované, jste se dozvěděli až z účtu za telefon.

Před přibližně patnácti lety vznikly skriptovací jazyky a makra, jejichž úkolem bylo usnadnit práci s počítači. Tyto jazyky a makra se logicky zneužívaly také pro tvorbu „počítačové havěti“. Prvním případem byl červ Bubbleboy. (Rozdíl mezi červem a virem spočívá v tom, že červ je schopen se šířit sám, bez závislosti na přenosu hostitele.) Tento červ sám sebe rozesílal pomocí skriptů a aplikace Microsoft Outlook. Principem bylo zneužití chyby, která umožňovala spuštění skriptu (tedy i viru) ihned při zobrazení zprávy.

Dalším velmi úspěšným červem, který nepotřeboval žádné bezpečnostní záplaty, ale použil jen obyčejné lákadlo v podobě fotografií tenistky Anny Kurnikovové, byl červ VBS/SST.A. Červ používal techniku dvojité přípony, kdy do e-mailů vkládal soubory AnnaKournikova.jpg.vbs. Šíření viru bylo snazší i kvůli výchozímu nastavení Windows, které skrývalo příponu souboru, takže naprostá většina uživatelů našla ve zprávě soubor AnnaKournikova.jpg, který považovali za neškodnou fotografii. Pikantní na tomto červu je, že byl vytvořen ve volně dostupném generátoru VBSWG.

Kromě virů, které se šířily zneužíváním bezpečnostních děr ve Windows, existovaly také viry, které se rozesílaly e-mailem a vydávaly se za bezpečnostní opravu chránící před nějakým novým virem. Problematika velkého rozšíření Internetu, bezpečnostních děr a jejich zneužívání vedla v roce 2002 k založení iniciativy Trustworthy Computing a současně byla do operačních systémů Windows 2000 a XP integrována služba Automatické aktualizace.

Zajímavou metodu používal v roce 2003 virus Win32/Bugbear, který vkládal do e-mailu texty, jež našel v dokumentech napadeného počítače. Text byl většinou naprosto vytržený z kontextu, ale pokud byl v mateřském jazyce, nevzbuzoval v uživatelích obavy z nebezpečné zprávy. Bugbear se dokázal jako první rozšířit celosvětově za zhruba 14 hodin. Díky vloženým textům z dokumentů nalezených v počítači také způsobil nemalé potíže některým osobám a především firmám.

Současnost

V současné době, kdy se všechny informace zpracovávají pomocí počítačových technologií a komunikační kanály využívají internetového propojení, vzrůstá potřeba řízení informační bezpečnosti. Bezpečnost informací již neznamená pouze ochranu proti virům a zabránění jejich průniku do počítačových sítí, ale jedná se o komplexní systémové řešení.

Systém řízení bezpečnosti informací je známý pod zkratkou ISMS (Information Security Management System) a musí zahrnovat problematiku prevence, detekce i reakce, tedy zabránit vniknutí do systémů, v případě, že se to stane, dokázat najít slabé místo a pokusit se zabránit úniku. Tohoto lze dosáhnout soustavou technických řešení a díky personálu, jenž má na starosti správu a obsluhu těchto technických řešení a v neposlední řadě tu část, která je i dnes spíše popelkou, nicméně je stejně důležitá jako ostatní skupiny – část procesní. Tyto procesy definují, kdo a jakým způsobem bude reagovat na nestandardní stav systému, komu a v jakém čase se toto reportuje atd.

Součástí procesní části musí být i práce s uživateli výpočetní techniky, neboť v poslední době se hodně rozšířily techniky sociálního inženýrství (např. phishing), které si jako cíl útoku vybírají nejslabší článek v řetězu zpracování informací – člověka. Je tedy nutné seznamovat všechny uživatele s novými formami útoků, s jejich projevy a možnostmi, jak zabránit úniku informací – firemních dat i osobních údajů, např. přístupu k elektronickému bankovnictví.

Hrozby

Potenciální narušení bezpečnosti představuje hrozbu. Kvůli tomuto riziku je třeba snažit se této možnosti zabránit, nebo na ni alespoň být dobře připravený. V ohrožení jsou přitom dostupnost, důvěrnost a integrita systému – systém musí být dostupný v daném čase, jen přesně definované skupině uživatelů a informace v systému nesmí být nijak pozměněny.

Hrozby dělíme do čtyř kategorií:

-       Odhalení/prozrazení – neautorizovaný přístup k informacím,

-       podvod – přijetí falešných dat,

-       narušení/ničení – rušení správné operace nebo zabránění této operaci,

-       uchvácení/přisvojení – neautorizované využívání nebo kontrola části systému.

Tyto kategorie jsou poměrně široké a některé hrozby můžou spadat do více kategorií současně. Stručně si proto představíme základní a nejčastější hrozby.

Monitorování komunikace (Snooping)

Snooping je pasivní, neautorizované odchytávání informací a řadí se do kategorie odhalení/prozrazení. Funguje na principu odposlouchávání (nebo čtení) komunikace třetí, neoprávněnou osobou (procesem) nebo na principu procházení souborů či systémových informací, popřípadě odposlouchávání komunikace na síťovém médiu.

Modifikace přenášených dat (Modification/alternation)

Modifikaci přenášených dat můžeme zařadit hned do tří kategorií hrozeb. V situaci, kdy se příjemce na doručená data spoléhá a na jejich základě se rozhoduje o dalších akcích, se jedná o kategorii podvod. Pokud se těmito daty řídí chod systému, jde o hrozbu narušení/ničení nebo uchvácení/přisvojení, podle důsledků. Speciální podkategorií modifikace přenášených dat je situace, kdy jsou data proudící po síti upravována. Příkladem může být útok man-in-the-middle, kde narušitel odchytává a čte zprávy od odesílatele a posílá je (možná pozměněné) původnímu příjemci, to celé ve snaze nebýt odhalen.

Maškaráda (Masquerading)

Maškaráda je jak formou podvodu, tak formou uchvácení/přisvojení. Ve většině případů se jedná o aktivní hrozbu, v níž se setkáváme s vetřelcem, který do procesu vystupuje jako legitimní uživatel. Existuje však i typ maškarády, který vyžaduje povolení – delegace. Delegace funguje tak, že jedna entita autorizuje druhou, aby konala rozhodnutí jejím jménem. Honza např. deleguje na Janu právo vystupovat v některých úkonech jeho jménem. Když k tomu dojde, Jana se nesnaží tvářit, že je Honza, ale řekne: „Jsem Jana a mám právo učinit toto rozhodnutí Honzovým jménem.“ Pokud o to bude Honza požádán, potvrdí to. Naproti tomu při maškarádě se Jana bude tvářit, že je Honza, a o maškarádě nikdo (ani Honza) nebude vědět.

Podvádění (Spoofing)

Spoofing je podobně jako maškaráda jak formou podvodu, tak formou uchvácení/přisvojení, jde přitom také o aktivní hrozbu. Příklad spoofingu si ukážeme na přihlašování do internetového bankovnictví. Uživatel se snaží přes Internet přihlásit k serveru, na kterém je portál jeho internetového bankovnictví, ale dostane se na jiný server, který o sobě tvrdí, že je tím požadovaným. Nic netušící uživatel tedy zadá své přihlašovací údaje, záškodnický server si je uloží, uživateli oznámí, že zadal nesprávné údaje, a přesměruje ho na správný server. Tam už se uživatel bez problémů přihlásí, ale za několik dní zjistí, že mu mezitím někdo vybílil účet.

Popření původu (Repudiation of origin)

Popření původu je formou podvodu. Vezměme si příklad dvou obchodníků. Domlouvali spolu velký obchod, ale nepohodli se. První pošle druhému výhružný e-mail. Policie to vyšetřuje a dotazuje se prvního, jestli výhružný e-mail odeslal. Obchodník pravost e-mailu odmítne a popře, že by takový e-mail kdy odeslal. Pokud se policii nepodaří prokázat, že je e-mail od něj, útok byl úspěšný.

Odmítnutí přijetí (Denial of receipt)

Jedná se o formu podvodu. Za příklad nám nyní poslouží zákazník, který si objednal drahý notebook. Obchodník vyžaduje platbu předem, čemuž se zákazník nebrání a zaplatí. Obchodník notebook odešle. Po nějaké době se zákazník zeptá, jestli už mu byl notebook zaslán. Jestliže už zákazník notebook dostal, jedná se o útok odmítnutí přijetí, a pokud obchodník nemá jak prokázat, že zákazník už notebook převzal, jedná se o úspěšný útok.

Zpožďování (Delay)

Zpožďování je dočasné blokování služby. Je to forma uchvácení/přisvojení, ale může hrát i podpůrnou roli v podvodu. Doručení zprávy má být typicky provedeno v nějakém časovém intervalu t. Pokud je útočník schopen zajistit, aby doručení zprávy trvalo déle, než je časový interval t, bude útok úspěšný. Využít se toho dá např. za situace, kdy nejsme schopni simulovat primární DNS server, ale sekundární už ano. Stanice potřebuje informace od DNS serveru, pošle tedy žádost primárnímu DNS serveru. Jelikož jsme schopni zajistit zpoždění zprávy, a tudíž její propadnutí, další žádost bude namířena na sekundární DNS server, který je plně v naší moci. Nyní můžeme odeslat stanici informace podle svých potřeb.

Odmítnutí služby (Denial of service)

Odmítnutí je dlouhodobé blokování služby. Stejně jako u zpožďování se jedná o formu uchvácení/přisvojení a s pomocí dalších mechanismů může být použita k podvodu. Útočník se snaží zabránit serveru v poskytování služeb. Zamezení může probíhat na zdrojích serveru (útočník zajistí vytížení všech zbývajících zdrojů serveru), na komunikačním médiu, případně jinak. K odmítnutí služby ale může dojít i jinými cestami, které nemusejí, nebo dokonce nemůžou být považovány za útok, ale je třeba je brát v potaz a také se na ně připravit. Jedná se např. o výpadky proudu, havárie disku nebo celého serveru, požár a jiné komplikace.

Průnik do systému (Systém penetration)

Průnik do systému nastává, když se do systému dostane neautorizovaná osoba. Jedná se o ohrožení, které můžeme zařadit do všech čtyř kategorií hrozeb, protože není zřejmé, jaký má útočník cíl: modifikaci uložených dat (podvod), zcizení důvěrných dat (odhalení/prozrazení), neoprávněné použití zdrojů systému (uchvácení/přisvojení), blokování některých služeb (narušení/ničení) nebo některou z kombinací těchto cílů.

Narušení autorizace (Authorization violation)

O narušení autorizace mluvíme ve chvíli, kdy se osobě autorizované pro akci X podaří provést akci Y, pro kterou ovšem autorizaci nemá. Jedná se o hrozbu velmi podobnou průniku do systému, zařazení do kategorií hrozeb i oblasti ohrožení proto zůstávají stejné.

Škodlivý software (Malicious logic)

Tzv. škodlivý software by vydal na samostatnou kapitolu, a tak jen ve zkratce uvedeme několik příkladů softwaru, které sem spadají:

-       trojský kůň (Trojan horse),

-       vir (virus),

-       červ (worm),

-       backdoor/trapdoor,

-       logická nebo časovaná bomba (logic or time bomb),

-       zombie.

Ve většině případů je jejich cílem příprava pro další útok, ať už na hostitelský počítač, nebo na jiné počítače v Internetu, odesílání hesel či soukromých informací, napadání nebo modifikace systému, využívání zdrojů, šíření se do jiných programů, do jiných počítačů, a jsou schopny i dalších škod. Škodlivý software můžeme tedy s (ne)klidným srdcem zařadit do všech kategorií hrozeb i do všech oblastí ohrožení.

Útoky a útočníci

Útok je realizací hrozby a jeho důsledkem je ztráta nebo snížení hodnoty aktiva. Chceme-li útoku účinně zabránit, je nejprve nutné pochopit uvažování útočníka a jeho motivaci. Stejně tak je však potřeba umět přesně a objektivně zhodnotit své vlastní schopnosti, abychom předešli chybám v důsledku nesprávného pochopení hrozby a nezvolili špatná protiopatření.

Pochopením útočníka se můžeme podívat na celý problém jeho očima a uvědomit si rizika, která by nám jinak pravděpodobně unikla. Většina lidí si útočníka představí jako teenagera ve vytahaném černém tričku, s mastnými vlasy a bledého jak stěna, protože dnem i nocí sedí u počítače. Takoví útočníci skutečně existují, ale představují jen zlomek z celé své populace. Pojďme si tedy představit jednotlivé typy útočníků, které pro začátek rozdělíme na útočníky externí (ti, co jsou mimo organizaci) a interní (působí v rámci naší organizace).

Externí útočníci

Útočníci, o kterých se veřejnost dozvídá nejčastěji, spadají takřka výhradně do kategorie externích útočníků. Patří mezi ně jak teenageři, tak profesionální hackeři najatí vládou nebo organizacemi. Kromě hackerů, kteří se snaží primárně škodit, existují i tzv. white hats neboli etičtí hackeři. Jejich snahou není systém narušit, ale nabourat se do něj, aby nalezli slabinu a poukázali na ni. Při tom ovšem můžou i škodit, třebaže to nezamýšleli.

Ne všichni útočníci představují stejné riziko, a proto je vhodné si je rozdělit do několika kategorií. Ideální je rozdělit útočníky podle jejich schopností a dostupných prostředků. Původní klasifikace používala tři kategorie (1, 2, 3), ale ta už v dnešní době není zcela reprezentativní. Použijeme tedy klasifikaci rozšířenou o další dvě skupiny.

Kategorie 0

Útočníci, kteří disponují pouze minimem znalostí o systému a využívají komukoliv běžně dostupné předpřipravené nástroje a postupy pro útoky na známá zranitelná místa. Útočí na systémy tak, že tyto nástroje zkoušejí metodou pokus-omyl, anebo čistě náhodně, necíleně odhalí nějaké zranitelné místo. Pro zabezpečené systémy nepředstavují riziko svými znalostmi a schopnostmi, ale především svým obrovským počtem. Této kategorii se někdy říká také script kiddies. Neútočí pro zisk, nýbrž pro pocit, že se někdy někam dostali.

Kategorie 1

Často chytří útočníci, kteří nemají dostatek znalostí o systému ani nedisponují většími finančními prostředky. Využívají cenově běžně dostupných nástrojů nebo služeb, které umožňují zmapovat v dohledné době princip fungování systému. Obvykle zkoušejí útočit na známé bezpečnostní slabiny (např. slabá hesla) a nemají snahu vyhledávat nové. Podobně jako u script kiddies představuje hrozbu především jejich velké množství.

Kategorie 1.5

Osoby či skupiny osob s možnostmi na rozhraní mezi kategorií 1 a 2. Inteligentní útočníci se základními znalostmi systému a schopnostmi programovat, využívají cenově dostupných nástrojů, útočí na známé chyby a snaží se hledat i nové slabiny.

Kategorie 2

Zkušení jedinci nebo týmy s nákladným a sofistikovaným vybavením, se kterým zvládnou provést analýzu systému v relativně krátkém čase. Nechybí jim specializované technické znalosti a zkušenosti, a pokud na to mají dost času, dokážou proniknout takřka do všech systémů. Většinou to ale nejsou schopni provést, aniž jsou detekováni.

Kategorie 3

Profesionální týmy využívající zařízení, která na trhu nejsou běžně dostupná, a disponující velkým množstvím prostředků. Tvoří je jedinci s rozsáhlými zkušenostmi s programováním i nabouráváním se do systémů nebo aplikací. Můžou provádět detailní analýzy systému, navrhovat komplexní útoky a využívat nejmodernější analytické nástroje. Jejich útoky se vymykají běžné praxi. Jsou schopni se nabourat takřka do všech sítí, aniž jsou detekováni. Příkladem můžou být vládní organizace.

Interní útočníci

I když nám média představují především externí útočníky, pravdou je, že většina útoků padá na hlavy těch interních. Útočníci z řad zaměstnanců představují specifické riziko v několika ohledech:

-       mají důvěru zaměstnavatele,

-       mají fyzický přístup k síťovým prostředkům,

-       jsou pod ochranou odborů.

Je všeobecně známo, že počítače s přímým přístupem k Internetu jsou z pohledu bezpečnosti konfigurovány přísněji než počítače uvnitř sítě, které mají přístup k Internetu zprostředkovaný. Značné množství firemních dokumentů bývá přístupných na společném síťovém disku, kde není vyžadována autorizace. Interní útočník má tedy oproti svému externímu kolegovi značně zjednodušenou situaci. Navíc může útok vést z počítače svého kolegy, a tím zavést jakékoliv vyšetřování do slepé uličky.

Motivace útočníků

Útočníci se snaží nabourat do systémů z mnoha důvodů. Poznáme-li motivaci konkrétního útočníka, snáze rozpoznáme hrozbu, kterou pro systém představuje. S těmito znalostmi dokážeme při detekci útoku lépe určit útočníkův cíl a efektivněji zabránit jeho dosažení.

Většina útočníků je motivována více než jedním důvodem. Nejčastějšími důvody jsou (seřazeno sestupně podle nebezpečnosti):

  1. popularita (proslulost), přijetí ostatními, egoismus;
  2. finanční zisk;
  3. výzva;
  4. aktivismus;
  5. pomsta;
  6. špionáž;
  7. informační válka.

Proč je obrana proti útočníkům tak těžká?

V běžném boji má bránící se strana nad útočníkem převahu, v oblasti počítačové bezpečnosti je to bohužel právě naopak. Uveďme si několik důvodů, proč tomu tak je:

-       obránce musí zabezpečit systém jak proti útokům zvenku, tak proti možným útokům zevnitř (od zaměstnanců);

-       mnoho útočníků si může dovolit strávit pokusy o útok na systém celý den, kdežto administrátor má kromě zajištění bezpečnosti systému i jinou pracovní náplň;

-       pokud některého hackera přestane váš systém zajímat, najde se deset dalších, které zajímat začne;

-       útočníkovi stačí dokonale zvládnout jeden druh útoku, administrátor musí být schopen odvrátit jakýkoliv;

-       obránce nemůže přejít do ofenzivy (soudní pře jsou pomalé a drahé, napadnout útočníkův počítač je ve většině zemí nelegální, k většině útoků bývají navíc použity zombies);

-       obránce musí zvítězit vždy, jinak je systém kompromitován.

Autor
Posted in: Články