Gdy stróż nierychliwy

Wiele sieci w Polsce jest słabo zabezpieczonych przed opisanymi wyżej atakami choćby z tego powodu, że administratorzy, chcąc zapewne oszczędzić sobie dyskusji z użytkownikami, nagminnie nie włączają w Active Directory mechanizmu sprawdzania złożoności haseł oraz wymuszania ich okresowej zmiany. Nie wyłączają też przechowywania skrótów haseł na stacjach roboczych, choć w wielu przypadkach przechowywanie jest zbędne. To kontrowersyjne założenie, by ukłon czyniony w stosunku do użytkowników laptopów (logowanie w warunkach niedostępności kontrolera domeny) rozciągać automatycznie na wszystkich użytkowników.

Często ustawia się też opcję "Pliki offline", która umożliwia dostęp do dokumentów przy odłączeniu od serwera. Ta bardzo pożyteczna opcja ma jednak słabą stronę - kopie wszystkich dostępnych dokumentów są przechowywane lokalnie w profilu użytkownika.

Włamywacz wcale nie musi łamać haseł - wystarczy mu sama analiza zawartości twardego dysku. Mechanizmy ochrony NTFS - systemu plików systemów Windows 2000/XP - są bardzo słabe, nie działają bowiem w ogóle, jeśli włamywacz korzysta z oprogramowania, które je ignoruje. Takim programem jest wspomniany NTFSDOS. Podobny (a nawet lepszy) efekt można uzyskać, podłączając partycję NTFS do systemu Linux, a następnie po prostu skopiować pliki na breloczek z pamięcią Flash (już dziś dostępne są urządzenia o pojemności 2 GB).

Podłączenie partycji w trybie "tylko do odczytu" nie zostawia w NTFS żadnych śladów, ani też żadnych wpisów w logach systemowych. Jeśli włamywacz wyłączył uprzednio kabel sieciowy, nie wywoła żadnych alarmów w systemach detekcji intruzów. Gdy nie ma obaw o alarm, skopiowane dane można przesłać przez sieć.

Linux wykrywa większość kart sieciowych, konfiguracja TCP/IP jest prosta, a ponadto modelowo obsługiwane są wszystkie ważniejsze protokoły. Gdy w systemie wykorzystuje się typowo skonfigurowany sensor systemu IDS, uruchomienie obcego systemu nie wywoła alarmu, bowiem cały ruch będzie kierowany przez znaną w systemie kartę sieciową, a ruch będzie raczej typowy.

Dlatego należy koniecznie pamiętać, by alarm wywoływał już sam fakt wykrycia ruchu ze stacji, która nie zarejestrowała się jako gotowa do pracy. Warto też logować wszelką aktywność w nietypowych godzinach. Włamywacz zazwyczaj wysyła zebrane dane na jakiś serwer FTP, skąd zostaną anonimowo odebrane. Logowanie całego podejrzanego ruchu to zabezpieczanie dowodów dla organów ścigania.

Gdy intruz podejrzewa słaby nadzór administratorów nad stacjami roboczymi, może posłużyć się programem do resetowania lokalnego hasła Administratora. Administratorzy zazwyczaj logują się na swoje konta o uprawnieniach systemowych i nie prowadzą audytu haseł zapisanych na stacjach roboczych, a jedynie fakt dostępu do zasobów domeny. Po takim włamaniu pozostają ślady, ale prawdopodobieństwo, że nieuważny administrator je zauważy, jest raczej niskie. Dlatego należy koniecznie ustawić audyt logowania do komputera i zgrywać logi Rejestru Zdarzeń na zdalny, bezpieczny komputer.

Dane idą w krzaki

Nie ma prostej możliwości uruchomienia Windows 2000/XP całkowicie z sieci (tak jak to można zrobić z systemem Linux czy FreeBSD). Podobnie nie uda się uruchomić systemu Windows, tak by wszystkie dyski zawierające jakiekolwiek dane były dyskami sieciowymi. Jedyną możliwością zapewnienia bezpieczeństwa systemom z rodziny Windows jest zapewnienie szyfrowania danych przechowywanych na lokalnym dysku. Można też stosować opcję szyfrowania danych zawartych w określonych katalogach, choć niewątpliwe w ten sposób pozostawia się niepotrzebną furtkę - użytkownik może bowiem - dla wygody, zapisywać dane poza szyfrowanymi katalogami.

Przy systemowym szyfrowaniu danych tworzone są dwa komplety kluczy - w tym także dla administratora. Jeśli włamywacz da radę uzyskać hasło administratora, zaszyfrowane katalogi i pliki stoją przed nim otworem. Uzyskanie hasła to nie to samo, co jego resetowanie. To drugie spowoduje utratę zaszyfrowanych danych przypisanych do użytkownika, co z punktu widzenia włamywacza nie ma sensu.

Dużo lepszym rozwiązaniem od systemowego szyfrowania są obecne na rynku karty szyfrujące dane na twardym dysku. Istotnym zadaniem takich kart jest zabezpieczenie danych przed podsłuchem elektronicznym (przechwycenie emisji kompromitującej), niemniej szyfrują dane dość skutecznie. Dużo bezpieczniejszym rozwiązaniem są dość rzadkie karty kontrolerów ATA, pozwalające na przechowywanie klucza na zewnętrznym, bezpiecznym nośniku w postaci karty kryptograficznej. Kontroler jest widoczny jako standardowe urządzenie, co nie wzbudza podejrzeń, a jednocześnie klucz jest bezpieczny.

Jak widać, szyfrować dane - o ile tylko można - zawsze warto. Hasła - w formie występującej powszechnie - są najsłabszym ogniwem całego systemu zabezpieczeń, dlatego należy koniecznie zadbać przynajmniej o to, by były trudne do złamania. Dotyczy to wszystkich haseł - także (rzadko lub nigdy nieużywanych) haseł lokalnego administratora stacji roboczej. Prostym sposobem na sprawdzenie mocy haseł jest samodzielne sprawdzenie ich za pomocą programu takiego jak LC3 - zanim zrobi to ktoś mający niecne zamiary.