Włamywaczowi pozostało jedynie legalnie zalogować się do sieci firmy przez VPN i równie legalnie "poprawić" stronę WWW - a potem z rozbawieniem obserwować, jak na grupach dyskusyjnych zawrzało, gdy wszyscy zaczęli rozważać najbardziej nieprawdopodobne hipotezy włamania do tak dobrze zabezpieczonego serwera WWW .

Było to w czasach, gdy spam stanowił zaledwie kilka procent ruchu pocztowego w Internecie, a o phishingu jeszcze nikt nie słyszał. Rozwój tego ciemnego biznesu dowodzi, że rzesza naiwnych użytkowników Internetu nie tylko nie maleje, ale wręcz rośnie. Statystyki pokazują, że w firmie zatrudniającej nie kilka, ale kilkaset osób, przynajmniej kilkanaście z nich bezzwłocznie i w najlepszej wierze uruchomi konia trojańskiego, jeśli tylko treść będzie dostatecznie przekonująca.

Aplikacje klienckie

Producenci oprogramowania do zdalnego dostępu przez VPN również specjalnie nie utrudniają życia autorom koni trojańskich i wirusów wykradających dane. Przeanalizowany przez NTA Monitor klient SafeNet Soft-PK przechowuje login i hasło dostępowe w rejestrze Windows, skąd - jeśli tylko wie się, gdzie szukać - można je bez problemu wydobyć.

Hasło jest co prawda przechowywane z atrybutem scrambled, czyli jest zakodowane prostym algorytmem zastępującym jedne znaki innymi, ale bez szyfrowania tajnym kluczem. Daje to tyle, że nie można go przeczytać od razu, za pomocą edytora rejestru. Potrzebne jest dodatkowe narzędzie do odkodowania, co przy dzisiejszych narzędziach i mocy obliczeniowej stanowi w sumie formalność.

Co więcej, to samo hasło w postaci odkodowanej można znaleźć w innym miejscu - w pamięci operacyjnej komputera, której część wykorzystuje klient VPN. Wystarczy wiedzieć, gdzie szukać - na przykład we wspomnianym Soft-PK jest to kilkaset bajtów od miejsca, w którym przechowywany jest komunikat "My Connections/New Connection". Tekst hasła wyróżnia się wśród otaczających go bajtów zerowych jak rodzynek w cieście.

Jednak nawet uzyskanie samej nazwy użytkownika jest już dużą pomocą dla włamywacza. Wiele szyfratorów dostępowych jest podatnych na ataki polegające na zgadywaniu hasła dla znanego konta użytkownika (patrz niżej). Włamanie jest możliwe nawet wtedy, jeśli nazwa użytkownika nie jest przechowywana na komputerze ofiary - często jest to po prostu adres e-mail, tworzony według typowego wzoru - imię, nazwisko, "małpa", nazwa firmy, kropka, "com", kropka, "pl".

Podsumowując, sam klient łączący się do sieci VPN i uwierzytelniający się loginem i hasłem jest jednym z najsłabszych punktów tej sieci. Bierze się to stąd, że działa on w niebezpiecznym środowisku (sieć publiczna - dial-up, DSL, GPRS) i na podatnym na ataki systemie, jakim jest laptop.

Klient ma być bezpieczny

Niezwykle trudno jest zapobiec takiemu wyciekowi w sytuacji, gdy użytkownik - lub system operacyjny użytkownika - umożliwia wydanie złodziejowi poufnej informacji. O ile w sieci lokalnej można po prostu posadzić użytkowników przed terminalami graficznymi, którym konie trojańskie nie szkodzą, o tyle problem VPN nie dotyczy głównie komputerów przenośnych.

W tej sytuacji jedynym skutecznym zabezpieczeniem wydaje się rezygnacja z tradycyjnej i łatwej do powielenia kombinacji login-hasło. Zamiast stałego hasła można stosować tokeny generujące hasła jednorazowe - takie jak RSA SecurID, SecureComputing SafeWord, Vasco DigiPass, PassGo Defender czy ActivCard. Oczywiście każdy token musi być również obsługiwany przez urządzenia dostępowe VPN - i tutaj wybór jest również spory. Obsługiwane są one przez urządzenia Cisco, Check Point, Nortel i inne.

Wysoki stopień bezpieczeństwa dają również rozwiązania oparte na infrastrukturze klucza publicznego (PKI) wykorzystujące certyfikaty X.509 i silne uwierzytelnienie IKE za pomocą algorytmu RSA. Zwykle są one przeznaczone właśnie do uwierzytelnienia klienta uzyskującego zdalny dostęp do sieci VPN z komputera PC lub laptopa (np. Cisco VPN Client). Bezpieczeństwo zapewnia konieczność fizycznego posiadania karty mikroprocesorowej oraz znajomości kodu PIN odblokowującego możliwość posłużenia się zawartym na karcie kluczem prywatnym.

Podstawową barierą do stosowania tokenów lub rozwiązań opartych na PKI jest niestety cena. Można odnieść wrażenie, że są one traktowane przez producentów urządzeń z wysokiej półki jak ekskluzywna fanaberia, za którą należy zapłacić dodatkowo, podczas gdy segment tańszych urządzeń (np. Asmax) w ogóle nie zauważa istnienia innych metod uwierzytelnienia poza hasłem. Bodziec do rozwoju rozwiązań, które zapełniłyby tę lukę rynkową, może dać środowisko open source, które z reguły szybko wypełnia podobne luki rynkowe. Już teraz w niemieckim projekcie StrongS/WAN dostępna jest bardzo dobra obsługa kart mikroprocesorowych na potrzeby IKE.

Zmniejszenie ryzyka można osiągnąć także przez zabezpieczenie oprogramowania laptopa lub PDA, z którego użytkownik łączy się z zewnątrz do VPN. Odebranie mu uprawnień administratora, odgórnie narzucona polityka instalacji uaktualnień oprogramowania i ściśle kontrolowana konfiguracja - zwłaszcza klienta VPN i zapory firewall - to kroki radykalne, ale konieczne, aby mówić o rzeczywistym bezpieczeństwie zdalnego dostępu.