Bezpieczeństwo bez wyjątków

Nie sposób wyliczyć powodów, które skłaniają administratorów do odstępstw w zasadach polityki bezpieczeństwa. Komunikatory internetowe, zdalny dostęp VPN, załączniki do poczty elektronicznej są źródłem najczęstszych problemów.

Nie sposób wyliczyć powodów, które skłaniają administratorów do odstępstw w zasadach polityki bezpieczeństwa. Komunikatory internetowe, zdalny dostęp VPN, załączniki do poczty elektronicznej są źródłem najczęstszych problemów.

Inżynieria społeczna robi karierę od czasu, gdy Kevin Mitnick obwołał ją najważniejszym wyzwaniem dla bezpieczeństwa informacji. Nie umniejszając doniosłości tej tezy, wypada stwierdzić, że bezpieczeństwo informacji leży nie po stronie użytkowników, ale jednak i mimo wszystko - przede wszystkim po stronie twórców oprogramowania oraz administratorów. Myśl tę nietrudno obronić, bowiem każdy rozsądny i doświadczony administrator zna ludzką naturę w kwestii bezpieczeństwa na tyle, że nie powierzy jej użytkownikom.

Weźmy pod lupę scenariusz znany z wielu firm, polegający na blokadzie na zaporze sieciowej protokołów programów do wymiany plików P2P. Zakaz dotyczy wszystkich, oczywiście poza administratorami i osób, którym administratorzy udostępnili P2P po znajomości. Tak oto za wiedzą administratorów w zabezpieczeniach powstaje - niby kontrolowana - luka. Tak oto profesjonalizm administratorów staje się tylko pozą.

To tylko komunikator

Bezpieczeństwo bez wyjątków

Przykłady można mnożyć. Komunikator internetowy wydaje się programem, który nie może w żaden sposób zagrozić integralności i bezpieczeństwu sieci. Użytkownicy, a także początkujący informatycy, są zwolennikami tworzenia w firmach sieci kontaktów poprzez programy typu czy Gadu-Gadu. O tym, na ile bezpiecznie powinni się czuć, mogli przekonać się 3 miesiące temu, kiedy zostały opublikowane usterki w programie Skype. Pozwalały one na ataki typu przepełnienie bufora i zdalne uruchomienie jakiegoś programu (raport firmy Secunia, skype callto:// skype://).

Wiele osób podejrzewało, że jest to wojna marketingowa i że hakerzy zostali opłaceni, ponieważ częstotliwość odnajdywania nowych problemów i nadawany im rozgłos mógł na to pośrednio wskazywać. Okazało się jednak, że był to przypadek pokazujący młodym adeptom włamań kierunek, w którym mogliby się udać. Następne na liście najbardziej popularne komunikatory także zostały zaatakowane: komunikator AOL, Jabber, ICQ i Gadu-Gadu - wszystkie przez ostatnie pół roku zostały poddane wielkiej próbie bezpieczeństwa.

Nawet nasz polski produkt, który nie powinien być narażony na częste ataki z powodu relatywnie małej grupy osób go używających (produkt jest używany głównie w Polsce), także został zaatakowany. System przetwarzania obrazków umożliwił w starszych wersjach przepełnienie bufora klienta i łatwe wykonanie na nim dowolnego polecenia systemowego.

Problem z komunikatorami pojawia się w dwóch kwestiach. Nieważne, czy jest to połączenie z serwerem Gadu-Gadu, czy bezpośrednie połączenie z drugim komputerem - jeżeli otrzymujemy od kogoś wiadomość, dochodzi ona w jeden z dwóch sposobów do naszego komputera. Jeżeli wiadomość jest odpowiednio spreparowana (poprzez programy zewnętrzne), umożliwi hakerowi zawieszenie programu lub pobranie i uruchomienie konia trojańskiego. Ktoś mógłby protestować, że najnowsza wersja zapory ochroni go przed takim problemem, tylko że zagrożenie pojawia się w postaci zwykłej wiadomości - przeglądanie logów na nic się nie zda.

Oczywiście istnieje możliwość blokowania pakietów, w których wykryty został kod przypominający polecenia systemowe (zwykle w formie kodu maszynowego). Do tego potrzebna jest jednak duża baza sygnatur lub zaawansowana heurystyka. Dodać wypada także kwestię dużej mocy obliczeniowej. Dla większości firm średnich, a nawet dużych (w Polskiej skali) rozwiązanie tego rodzaju jest poza zasięgiem finansowym.

Tymczasem naprawdę jest się czego bać, co pokazuje najnowszy wirus IM.MySpace04.AIM, napisany dla komunikatora AIM. Wirus jest na tyle "inteligentny", że rozmawia z naszego komunikatora z innymi użytkownikami i prosi ich o kliknięcie na łącze prowadzące do zawirusowanej witryny WWW. Co ciekawe, wirus potrafi odpowiadać na pytania, rozpoznaje wiele zwrotów i jest dowodem na to, że wszystkie dotychczasowe rozwiązania są za słabe w zetknięciu z pomysłowością włamywaczy.

Administrator sieci może zapobiec takiemu zagrożeniu. Teoretycznie. Być może znajdzie tyle siły, by wywalczyć w firmie zdrowe zasady. To już nie jest kwestia kompetencji technicznych, ale rozgrywka polityczna - komunikatory są bez wątpienia użyteczne i pracownicy znajdą dowolne kontrargumenty, by obalić obawy administratora.

Poczta pocztą, ale...

Drugim problemem w sieciach firmowych i korporacyjnych jest zezwalanie pracownikom na przesyłanie między sobą zabawnych filmów niezwiązanych z pracą prezentacji oraz synchronizowanie prywatnej poczty z firmowym kontem pocztowym. Taki wyjątek od reguł może okazać się kosztowny. Reklamy, prezentacje, zdjęcia, kawały - mogą nie być szkodliwe, ale czy na pewno nie są - tego nie wiadomo. Tak się składa, że często w tej właśnie postaci ukrywane są wirusy.

Polityka bezpieczeństwa powinna zabraniać takiego ruchu, a jeżeli już na niego zezwala, powinna być zabezpieczona dobrym rozwiązaniem skanującym. Jeżeli natomiast program skanujący nic nie wykryje, nie oznacza to, że wirusa tam nie ma. Jest to prawda, ale częściowa. Nowe wirusy nie są wykrywane i jedynym sposobem na ich wytropienie pozostaje dobra polityka bezpieczeństwa, o czym większość z nas zapomina.

Sprawdzoną metodą zabezpieczania poczty elektronicznej (ale nie stuprocentowo pewną) jest wymuszenie ruchu przez usługę proxy, która powinna zapisywać na dysku lokalnym wszystkie pliki pobierane i uruchamiane przez użytkownika. Jeśli nie zdążymy na czas, przynajmniej dowiemy się, że problem istnieje.

Prywatna Sieć Publiczna

Trzecim obszarem zagrożeń jest zdalny dostęp. Administratorzy najchętniej zabroniliby korzystania z udogodnień VPN, gdyby sami nie musieli z nich korzystać na co dzień. Rozwiązania VPN są wykorzystywane w większości firm i nie ma co marzyć o ich wyłączeniu, ale zdalny dostęp zawsze można racjonalizować. Przede wszystkim czym innym jest dostęp z komputera firmowego, a czym innym z prywatnego. Wprowadzenie takiego ujednolicenia w praktyce jest bardzo trudne - zależnie od firmy i stanowiska scenariusze mogą być różne. Liczy się efekt.

Jeśli dajemy dostęp do sieci firmowej z urządzeń, które nie podlegają kontroli, trudno spać spokojnie. Komputery prywatne, nawet najlepiej zabezpieczone, pozostają poza ochroną administratora. Gdyby można było śledzić ich ruch i logi tak samo, jak w przypadku komputerów firmowych, sprawa byłaby prosta. Niestety nie jest. Oczywiście można sięgać po sprawdzone narzędzia typu End-Point Security, ale bez praw administracyjnych do komputera ich przydatność jest ograniczona. Poza tym nie każdy system VPN posiada tak rozbudowane programy klienckie, jak np. Check Point.

Jeśli zezwalamy na wyjątki, nie ustrzeżemy się zagrożenia stosując nawet cały dostępny arsenał środków ochronnych. Zabezpieczenia o charakterze lokalnym nie są dla włamywacza problemem - wystarczy chwila i zostaną wyłączone. Najważniejszym punktem bezpieczeństwa danych jest zawsze urządzenie brzegowe, router, zapora, most, serwer pośredniczący itp., który nie działa jako lokalna usługa na chronionym komputerze.

Praca z obciążeniem

Użytkownik nigdy nie zrozumie, czym jest polityka bezpieczeństwa i należy się z tym pogodzić. Administrator tymczasem musi rozumieć konsekwencje tego, co robi, bądź czego zaniecha. Nie jest nim, ponieważ jest "fajnym gościem", ale dlatego, że firma ufa jego kompetencjom i charakterowi. Jeśli toleruje wyjątki, dowodzi to, że na zaufanie nie zasługuje. W wielu firmach nie można używać Skype'a i firmy te jakoś funkcjonują. Ostatecznie przecież taniej jest podpisać komercyjną umowę na usługi VoIP w sieciach WAN, niż igrać z niebezpieczeństwami. Gdy zdarzy się kradzież informacji, ci, których uważaliśmy za dobrych znajomych, odwrócą się, nie chcąc rzucać na siebie choćby cienia podejrzeń.

Jeden wyjątek wystarczy

Jeśli politykę bezpieczeństwa dla serwera poczty określimy bardzo surowo, a później ulegniemy naciskom, cała konstrukcja polityki weźmie w łeb. Prywatna poczta spamowana wirusami to dla włamywaczy najłatwiejszy cel. Często pracownicy umieszczają swoje adresy prywatnych kont e-mail na stronach domowych czy blogach - to wystarczy. Sprytny haker spreparuje takiego e-maila, aby jego odczytanie w pracy skończyło się przełamaniem zabezpieczeń i udostępnieniem interesujących go informacji. Stworzenie wyjątku wspierane jest często argumentacją, że komputery firmowe posiadają skanery antywirusowe. Prawda, ale przecież to nie oznacza automatycznie, że są bezpieczne. Powierzając bezpieczeństwo sieci jednemu programowi, sami dajemy włamywaczom narzędzie do ręki - człowiek zawsze jest sprytniejszy niż program.


TOP 200