Takie artefakty przeszłości znajdziemy praktycznie w każdej organizacji – często nawet nie zdajemy sobie sprawy, że stojący w kącie pokoju admina komputer z niezastąpioną w firmie aplikacją jest pod kontrolą OS-u, dla którego już od pięciu lat nie są dostarczane aktualizacje. „Działa, więc nie ma problemu, nikomu nie wadzi – nie ma sensu dotykać i zastępować czegoś, co funkcjonuje sprawnie” – ten typ myślenia jest dość popularny.

Takie podejście to proszenie się o kłopoty. „Główny problem z takim sprzętem czy oprogramowaniem polega na tym, że nikt go już nie wspiera, nie łata luk i nie rozwiązuje nowo odkrywanych problemów z bezpieczeństwem. Firmy nie zdają sobie sprawy z tego, jakie może to stanowić zagrożenie dla ich systemów informatycznych” – mówi Walker White, prezes firmy BDNA, która monitoruje wykorzystanie w dużych organizacjach sprzętu pozostającego w fazie EOL (end of life – koniec resursu) i cyklicznie publikuje raporty opisujące te zjawisko.

Zobacz również:

• Intel może stanąć w obliczu poważnego wyzwania
• Google wzmacnia bezpieczeństwo przeglądarki Chrome

Oto opracowany m.in. na podstawie jej danych przegląd najpoważniejszych zagrożeń wynikających z pozostawiania w firmowych systemach informatycznych przestarzałych technologii. Warto odnotować, że trudno tu rozgraniczyć precyzyjnie problemy związane ze sprzętem i z oprogramowaniem – choćby dlatego, że wiele luk teoretycznie dotyczących sprzętu tak naprawdę dotyczy wykorzystywanego w tym sprzęcie oprogramowania. Często problemem jest też fakt, że dany sprzęt nie obsługuje technologii z dziedziny bezpieczeństwa, będących obecnie standardem w wielu organizacjach – chodzi np. o komputery pozbawione obsługi Unified Extensible Firmware Interface (UEFI)/Secure Boot, automatycznego szyfrowania dysków, uwierzytelniania przez uruchomieniem systemu itp.

Dla IT to lista spraw, które jeśli dotąd nie zostały załatwione, wymagają pilnego rozwiązania.

1. Komputery z tradycyjnym BIOS-em

Starsze urządzenia ze standardowym BIOS-em nie obsługują SecureBoot, funkcji UEFI wprowadzonej w Windows 8, blokującej próby uruchomienia złośliwego oprogramowania podczas procesu bootowania systemu. Ciekawą funkcją, której brakuje w starszym sprzęcie, są też rozwiązania takie jak HP SureStart, które wykrywa niepożądane modyfikacje BIOS i w razie zidentyfikowania zagrożenia przywraca podpisaną cyfrowo, bezpieczną kopię tego oprogramowania.

2. Komputery nieobsługujące PBA lub TPM

Technologie Pre-boot Authentication (PBA, uwierzytelnianie przed rozpoczęciem uruchamiania systemu) oraz Trusted Platform Module stanowią dodatkową warstwę ochronną systemu, nie pozwalając na wystartowanie OS-u, jeśli użytkownik nie potwierdzi swoich uprawnień (np. podając hasło). PBA uruchamia się po starcie BIOS-u, ale przed załadowaniem systemu – ta funkcja znana jest od lat, ostatnio w wielu scenariuszach zastępuje się ją rozwiązaniem opartym na microsoftowym BitLockerze oraz układzie TPM.

3. Stare routery

Szczególnie te przeznaczone do zastosowań domowych czy małych biur i wyprodukowane przed rokiem 2011. Wiele z tych modeli nie jest już wspieranych przez producentów (choć od tej reguły bywają wyjątki – warto to sprawdzić) i mają poważne, niezałatane luki w zabezpieczeniach.

4. Dyski nieobsługujące automatycznego szyfrowania

Dyski, które same szyfrują swoją zawartość (self-encryptingdrive – SED) są dostępne od 2009 r. Szczególnie chętnie korzystają z nich pracownicy mobilni, którzy są narażeni na zgubienie lub kradzież sprzętu. Do uzyskania dostępu do przechowywanych na nich danych niezbędne jest podanie hasła (dodatkowego – oprócz hasła logowania do systemu)

Warto dodać, że wielu ekspertów sugeruje wycofywanie z użytku wszelkich starych dysków – ponieważ nawet jeśli nie stanowią one bezpośredniego zagrożenia dla poufności informacji, to są w naturalny sposób bardziej podatne na awarię i utratę danych.

5. Przestarzałe systemy operacyjne

W kwietniu 2014 r. Microsoft oficjalnie zakończył świadczenie wsparcia technicznego dla Windows XP – obecnie sami przedstawiciele firmy przyznają, że nawet jeśli ktoś używa oprogramowania antywirusowego na XP, to jego efektywność jest ograniczona, a sam system podatny na ataki. Ale problem nie dotyczy tylko popularnego Windowsa XP – w wielu firmach wciąż działają stare systemy serwerowe (Windows Server 2003) czy niewspierane od lat serwery FTP

6. Niewspierane aplikacje biurowe

Ten sam problem dotyczy zresztą oprogramowania użytkowego – ktokolwiek używa wciąż w firmie np. MS Office 2002, Office 2003 czy Office 2007, ten każdego dnia narażony jest na atak. Wiele z wchodzących w skład tych pakietów aplikacji ma niezałatane krytyczne błędy, pozwalające na nieautoryzowane uruchomienie kodu z prawami administratora.

7. Stare oprogramowanie firmowe

Podobnie ma się sytuacja również ze starymi aplikacjami stworzonymi dla konkretnej firmy – zarówno będącymi dziełem jej programistów, jak i zewnętrznych dostawców. Wiele firm trzyma się takiego oprogramowania z obawy przed kosztami tworzenia/wdrażania nowych aplikacji, jednocześnie zapominając, że stanowią one realne zagrożenie dla bezpieczeństwa (szczególnie, jeśli dostępne są z zewnątrz).

8. Zaniedbane przeglądarki

Praktyka pokazuje, że nie ma czegoś takiego jak w 100% bezpieczna przeglądarka – we wszystkich pojawiają się błędy pozwalające przestępcom m.in. na fałszowanie adresów URL, ataki typu cross-sire scripting, nieautoryzowane uruchomienie kodu itp. Dlatego tak ważne jest, by wszyscy pracownicy korzystali zawsze z najnowszej, w pełni zaktualizowanej wersji przeglądarki (niezależnie od tego, który program wybiorą) – zadaniem administratorów jest wymuszenie tego na użytkownikach.

9. Przestarzałe pluginy

Obok przeglądarek to właśnie dziurawe wtyczki i rozszerzenia do przeglądarek są od zawsze ulubionym celem przestępców – są łatwe do zaatakowania, dziurawe i bardzo popularne. Warto rozważyć, czy na pewno wszystkie są użytkownikom w danej organizacji niezbędne (np. rozszerzenia powiązane z Adobe PDF, Adobe Flash, Java czy Microsoft Silverlight) – jeśli nie, zbędne należy usunąć, a pozostałe regularnie aktualizować.

10. Słabo zabezpieczone protokoły

TCP/IP powstał w początkach internetu, gdy bezpieczeństwo nie było priorytetem (a i zagrożeń było znacznie mniej niż obecnie). Od tego czasu sytuacja znacznie się zmieniła, warto więc zadbać, by organizacja korzystała z możliwe najlepiej zabezpieczonej komunikacji internetowej. Eksperci zalecają m.in. przesiadkę z SSL (Secure Sockets Layer) na TLS (Transport Layer Security), i to raczej wersję 1.2 i późniejsze, ponieważ starsze nie są obecnie uważane za w pełni bezpieczne (warto odnotować, że wykorzystywany do obsługi płatności w sieci standard PCI DSS 3.1 nie uznaje już SSL i starszych wersji TLS za spełniające odpowiednio wysokie wymagania bezpieczeństwa).

11. Stare urządzenia i systemy mobilne

W świecie rozwiązań mobilnych ewolucja oprogramowania i sprzętu następuje szybciej niż w świecie desktopów i laptopów – większość kilkuletnich urządzeń z tego segmentu nie jest już wspierana przed producentów. iPhone’ów z 2011 r. nie można zaktualizować do najnowszej wersji, co oznacza, że użytkownicy nie mają dostępu do najnowszych łat bezpieczeństwa. Jeszcze gorzej jest z Androidem, bo w jego przypadku kontrola nad aktualizacjami jest rozproszona i producenci telefonów udostępniają je według swojego widzimisię.

12. Przestarzałe urządzenia internet rzeczy

Internet Rzeczy (Internet of Things, IoT) wydaje się stosunkowo nowym zjawiskiem, ale urządzenia pasujące do tej kategorii są z nami na tyle długo, że wiele z nich podpada już pod kategorię „przestarzałe, bez wsparcia”. Dotyczy to na przykład kilkuletnich kamer IP, które nie są już obsługiwane przez producentów, co jednak nie powstrzymuje przestępców przed szukaniem luk w ich zabezpieczeniach i próbami ataku. Zadanie to jest o tyle łatwiejsze, że wiele z takich urządzeń wspiera tylko przestarzałe protokoły zabezpieczające (o których pisaliśmy wcześniej).

Co dalej?

Dodajmy, że organizacjom, które chcą maksymalnie uszczelnić i zabezpieczyć swoją infrastrukturę informatyczną, amerykański CERT (US-CERT) radzi wdrożenie kilku procedur, ułatwiających zapanowanie nad wspomnianymi powyżej problemami. Podstawą jest oczywiście bezwzględne aktualizowanie wszelkiego wykorzystywanego oprogramowania, i to w możliwe krótkim czasie po udostępnieniu poprawek (i po przetestowaniu ich pod kątem zgodności z firmowymi systemami). Zalecanym rozwiązaniem jest również tworzenie białych list oprogramowania dopuszczonego w danej organizacji oraz ograniczenie dostępu do przywilejów administracyjnych.

US-CERT doradza też maksymalne automatyzowanie czynności związanych z aktualizowaniem oprogramowania oraz korzystanie z urządzeń/aplikacji/rozwiązań ułatwiających te operacje (czyli np. wybieranie produktów wyposażonych w automatycznie działające mechanizmy aktualizacyjne).

W przypadku urządzeń mobilnych również krytyczne jest aktualizowanie, a także ograniczenie dostępu do aplikacji z niepewnych źródeł (czyli np. wymuszenie korzystania wyłącznie z zasobów Apple Store czy Google Play). Warto, by administratorzy na bieżąco śledzili wszelkie doniesienia o zagrożeniach, lukach i problemach z bezpieczeństwem – np. biuletyny producentów oprogramowania/sprzętu, a także alerty wydawane przez organizacje takie jak CERT.