Dětská pornografie se dostává přes filtry

Zaměstnanec sdílející dětskou pornografii uniká odhalení až do příchodu policie. Potom ale věci nabírají spád. ...


Zaměstnanec sdílející dětskou pornografii uniká odhalení až do příchodu
policie. Potom ale věci nabírají spád.
Během posledních několika týdnů moje oddělení zažilo pořádný rozruch, a to
včetně návštěvy policejního vyšetřovatele. V prvních chvílích jsem ho
podezíral, že je na nesprávné stopě, ale později se k mému nemalému překvapení
ukázalo, že nám skutečně unikla nekalá činnost jednoho z našich zaměstnanců.
V USA platí zákon o soukromí v elektronických komunikacích (Electronic
Communications Privacy Act) z roku 1986. Jeden z jeho paragrafů vyžaduje po
poskytovatelích internetového připojení (ISP), aby na písemný příkaz učinili
veškerá nezbytná opatření k uchování elektronických záznamů a dalších důkazních
materiálů, které se vážou k jejich klientům. A to ještě před vydáním soudního
příkazu nebo zahájením jiných právních procedur směrem k těmto klientům.
Zmíněný písemný příkaz může pocházet od orgánů činných v trestním řízení; po
poskytovateli služeb zpravidla požaduje zachování záznamů po dobu přípravy
soudní obsílky nebo před vydáním povolení k prohlídce prostor klienta. Takové
dopisy dostávají ISP celkem běžně naše firma však rozhodně nikoli. A mě nijak
nepotěšilo, že jsem měl příležitost se s jedním takovým seznámit.

Podezření je na světě
Před několika týdny jsem byl povolán do kanceláře našeho právníka, který právě
takový příkaz držel v ruce. Byl napsán na hlavičkovém papíře s třípísmenným
logem nahoře a přikazoval nám uchovat jakékoliv záznamy týkající se síťových
aktivit jednoho z našich zaměstnanců.
Sešel jsem se s vyšetřovatelem. Na úvodní schůzku jsem s sebou vzal i členy
našeho bezpečnostního týmu, aby měli příležitost se s ním seznámit. Zdálo se,
že vyšetřovatel technologiím dost rozumí, což mě překvapilo.
Sdělil nám, že náš zaměstnanec používal svůj domácí počítač k přístupu k
internetovým stránkám s dětskou pornografií. Navíc ale měl vyšetřovatel
podezření, že dotyčný posílal pornografické fotografie, videa a odkazy na
webové stránky také do své e-mailové schránky u zaměstnavatele. A byl zde důvod
domnívat se, že onen pracovník využíval k přístupu na zmíněné nelegální stránky
také svého pracovního počítače.
Byl jsem si téměř jist, že to není možné, jelikož používáme software na
filtrování obsahu, který zamezuje v přístupu na většinu z takových stránek. Ale
příkazu jsme se museli podřídit.

Odposlech
Pokud orgány činné v trestním řízení chtějí monitorovat něčí síťovou
komunikaci, předloží povolení k odposlechu. To jim dovoluje instalovat software
na sledování sítě, který lze nakonfigurovat takovým způsobem, aby monitoroval
výhradně komunikaci příslušné osoby.
Avšak v tomto případě již naše firma měla k dispozici data ze svých systémů
detekce napadení, takže podobný příkaz nebyl nutný. Běžně uchováváme údaje za
poslední 3 měsíce, což zahrnuje veškerou síťovou komunikaci procházející přes
určité brány jak směrem ven, tak směrem dovnitř.
Disponujeme zhruba 20 senzory sbírajícími příslušná data, takže jsem navrhl,
abychom tato data vyfiltrovali a sestavili z uložených údajů profil síťových
činností příslušného uživatele za poslední tři měsíce.
Vyšetřovatel souhlasil, ale upozornil nás, abychom zachovali stejnou úroveň
monitorování a data uchovávali i nadále. Dodatečné monitorování vlastními
prostředky nevyžadoval, protože k němu by bylo třeba získat povolení k
odposlechu. Námi navržený postup byl pro něj jednodušší a pro nás samozřejmě
také.

Získávání dat
Začali jsme s potřebnými opatřeními. Zjistili jsme, který síťový senzor je
odpovědný za monitorování provozu daného uživatele. Nakonfigurovali jsme
příslušný port k němu připojený tak, aby zachytával komunikaci z portu, k němuž
byl připojen uživatel. Tím jsme zajistili, že jedinou sledovanou komunikací
byla ta, která směřovala k počítači zaměstnance a zpět. Nehodlali jsme totiž
vyšetřovateli poskytovat nadbytečná data, která by mohla obsahovat duševní
vlastnictví firmy nebo jiné potenciálně citlivé informace.
Tak jsme zajistili sběr nových dat, která bylo možno takřka neprodleně předávat
policii. Dále bylo třeba zjistit, jakým způsobem vytřídit sesbíraná archivní
data. Stejně jako většina jiných firem, i my přidělujeme IP adresu dynamicky.
Po určité době zapůjčení adresy vyprší, takže během tří měsíců se musel
podezřelý zaměstnanec připojovat z desítek různých adres. Naše senzory
posbíraly několik gigabajtů údajů a my jsme chtěli poskytnout jen ty, které se
týkaly počítače podezřelého. Naštěstí byl jeho pracovní stanici přidělen
unikátní NetBIOS název, založený na uživatelském jménu. Díky jeho znalosti jsme
byli schopni ze záznamů získat relevantní data. Ta jsme nakonec zkopírovali na
CD, které jsme předali vyšetřovateli, jakmile předložil povolení k prohlídce.
Stále si však musíme uchovat i původní, nefiltrované údaje.

Zajímavá zjištění
Poté jsme provedli také interní šetření týkající se síťového provozu z počítače
zmíněného uživatele. Byl jsem zděšen, když jsem zjistil, že si skutečně posílal
e-mailem pornografické fotografie a další úlovky. A co víc dokonce využíval
chatové skupiny na Yahoo, aby své ilegální materiály dále sdílel. Námi
instalovaný filtrovací software přístup k těmto skupinám neblokoval, neboť
jejich názvy neodpovídaly žádnému z instalovaných filtrů. Uživatel také posílal
inkriminované fotografie a videa ostatním prostřednictvím e-mailového účtu na
Yahoo. Ani tato data náš filtr nezachytil.
Zabavili jsme dotyčnému zaměstnanci počítač a jeho pevný disk předali
vyšetřovateli. Naše personální oddělení dostalo na starost ukončení pracovního
poměru a jsem si jistý, že dotyčný bude dříve nebo později zatčen.
Po této epizodě máme v plánu přehodnocení nastavení našich filtrů a systémů
detekce průniků tak, abychom podobným činnostem mohli v budoucnu předejít. V
daném případě přistupoval uživatel k nenápadným chatovým místnostem, které naše
systémy nemohly za stávajících okolností považovat za podezřelé. Protože
nechceme blokovat přístup na Yahoo chat, stojí před námi úkol, jak objevit
nechtěné typy komunikace a přitom minimalizovat počet falešných poplachů.
Současně musíme vyřešit problémy s výkonností příslušných systémů při zamezení
neautorizovaného využití našich zdrojů.
Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.