Autor: Tomáš Přibyl, externí odborný redaktor ICTsecurity

Počítačové sítě rostou co do komplexnosti a důležitosti. Na druhou stranu: požadavky na ně kladené jsou stále stejné a dalo by se říci, že překvapivě jednoduché. Tedy udržet systém v běhu s vysokou mírou spolehlivosti, výkonu a bezpečnosti. Když si to uvědomíme, máme otázku sledování a řízení sítě výrazně usnadněnou.

Správně postavená otázka

Pokud se nějakého bezpečnostního experta zeptáte na to, před čím vlastně musíme informační systém nebo počítačovou síť chránit, postaví se do pozoru jako by spolkl pravítko a hrdě začne recitovat desítky hrozeb. Počínaje viry a spywarem přes spam a otázky zálohování až po cílené útoky a sociální inženýrství.

Tato otázka i odpověď jsou ale ne zrovna šťastně postavené. Spíše než před čím se chránit je lepší se ptát, čeho chceme dosáhnout. Uvědomme si, že zajištění bezpečnosti jakéhokoliv informačního prostředí se zaměřuje na ochranu důvěrnosti (přístup k informacím mají jen subjekty s patřičným oprávněním), integrity (informace jsou přesné a komplexní), dostupnosti (informace jsou v případě potřeby k dispozici) a ověřitelnosti (lze dohledat a prokázat manipulaci s informacemi). Toto jsou čtyři základní stavební kameny, na kterých bezpečnost stála, stojí a ještě nějaký ten pátek zřejmě stát bude.

Zajištění těchto čtyř základních potřeb stojí na několika pilířích. Jednak je to celkem pochopitelný hardware a software, jednak bezpečnostní politika (včetně kontroly její účinnosti a jejího (ne)dodržování) a jednak uživatelé (plus jejich vzdělávání: lhostejno, jde-li o manažery, správce nebo řadové uživatele). A především musíme mít v systému pořádek: protože řídit můžeme jen něco, v čem máme řád a o čem máme přehled, nikoliv něco, v čem máme chaos.

Před čím se tedy chránit?

Přece jen se ale taxativnímu vyjmenování dnešních hrozeb neubráníme: když už pro nic jiného, tak proto, abychom si uvědomili, nakolik jsme proti nim imunní a chránění. Vyvarujeme se přitom seznamu virů nebo obecných rizik, ale podíváme se na nejčastější chyby, které v praxi děláme – a které slouží útočníkům.

Praxe ukazuje, že k největšímu množství kompromitací dochází díky instalacím nevhodných webových aplikací, které nemají dostatečné bezpečnostní vlastnosti. Nabídka na trhu je široká, navíc si webové aplikace může dnes vyvinout „na klíč“ kdekdo. Bohužel se v této souvislosti často zapomíná na to, že mezi „aplikací“ a „bezpečnou aplikací“ je přece jen poněkud rozdíl. Mnozí tvůrci celou svoji bezpečnostní politiku staví na konstatování „nejde o rozšířený software, tudíž je pro útočníky nezajímavý“. Což je pravda, ale pouze v případě masových útoků, nikoliv v případě ataků cílených.

Zkrátka: webové aplikace se stávají velmi snadným terčem útoků. Na internetu lze najít scénáře desítek základních typů napadení počínaje buffer overflow nebo injektáží a konče třeba prostým traverzováním. Kvalitní webová aplikace musí být prokazatelně vyvíjena bezpečně. V ideálním případě by měla být kvalitně prověřena (resp. opakovaně prověřována) pomocí penetračních testů a posuzována nezávislými odborníky.

Na druhém místě mezi útoky na počítačovou síť najdeme nešvar známý jako základní heslo. Jde o to, že správce nainstaluje nějakou aplikaci (zpravidla podpůrnou) a neobtěžuje se změnit její defaultní heslo. Důsledkem je, že tajný přístupový kód zná v podstatě kdokoliv, kdo umí jen trochu pracovat s internetem. Aneb zkuste si někdy do jakéhokoliv vyhledávače zadat „default password(s)“ – a možná budete překvapeni, kolik stránek se stovkami a tisíci hesel pro nejrozšířenější aplikace získáte. Samozřejmě, že pokud útočník zná heslo, cesta do systému je zcela volná. Jde o totéž jako zamknout – a nechat klíče v zámku…

Dalším častým prohřeškem síťové bezpečnosti jsou nesprávně nakonfigurovaná síťová zařízení jako routery nebo switche. Špatná konfigurace obecně je vodou na mlýn útočníkům a v případě těchto síťových zařízení to platí dvojnásob. Když už nic jiného, je možné z nich získat informace užitečné pro provedení útoku. A to není málo…

Pro provedení útoku se hodí i informace „zapomenuté“ nebo přístupné na webových serverech. Jedná se např. o interní dokumenty, ke kterým by měli mít přístup pouze zaměstnanci nebo pověřené osoby. Stejně tak jde o informace o použitém software (verze, lokalizace apod.), konfiguraci sítě, stylu práce apod. To všechno jsou informace, ze kterých se kousek po kousku dá poskládat kompletní obrázek o tom, jak síť nebo alespoň některé její části vypadají. A jak se bez pozvání dostat dovnitř.

Další a další prohřešky

Hesla jsme už jednou zmínili, ještě se k nim ale vrátíme. Nejde přitom jen o špatnou politiku hesel, ale obecně špatnou politiku autentizace. Slabá hesla jsou obecným problémem. Kdekdo doporučuje používat dlouhá, komplikovaná a často měněná hesla: tato praxe se ovšem ukazuje jako kontraproduktivní. Neboť zde dochází k tvrdému rozporu mezi teoretickou bezpečností vypadající dobře na papíře a praxí, kdy si podobná hesla uživatelé prostě nejsou schopni zapamatovat, takže tuto politiku různým způsobem obchází.
Je zkrátka zapotřebí vytvořit mechanismus tvorby a správy, který by dostatečně zkomplikoval útočníkovi život, ale na druhé straně který by nečinil z využívání ICT peklo. Že jde o nalezení rovnováhy mezi dvěma zcela protichůdnými požadavky, asi netřeba zdůrazňovat.

Možná to zní zvláštně, ale mezi bezpečnostní slabiny velmi často patří i různé testovací servery, na jejichž existenci bylo zapomenuto a které jsou stále připojené k internetu. Nebo na které zapomenuto nebylo – ale v testovacím provozu na internetu stále běží. Právě pro jejich testovací charakter jim často nebývá z hlediska bezpečnosti přisuzována odpovídající důležitost. Ale pozor! Tyto servery mohou potenciálním útočníkům hodně napovědět ohledně vámi používaného software, jeho slabin, vašich zvyklostí… A kvůli absenci zabezpečení jde o nápovědu velmi snadno přístupnou. Čili: že jde o testovací hardware víte vy, ale útočníkovi je to zcela jedno. Pro něj takovýto server představuje zlatou bonanzu.

A konečně: častou chybou je také špatná architektura. A to zvláště špatná architektura hranic v síti. Třeba při instalaci firewallu bývají některé části sítě opomenuty a ocitají se tak mimo jeho ochranu: ovšem nakládáno je s nimi, jako by chráněným prostředím byly. Což je vůbec snad největší problém a výzva dnešní informační bezpečnosti. Sítě už nemají pevně stanovené hranice. Uživatelé připojují a odpojují různá zařízení (v lepším případě povolená), vydávají se s nimi do terénu, k internetu se připojují na cestách, k vnitropodnikové síti se připojují z domova atd. Síť tak nemívá pevně stanovené hranice a pravidla je zapotřebí vynucovat.

Jednoduchý závěr

Když víte, kam a na co se dívat, dramaticky zvyšujete pravděpodobnost, že něco uvidíte…