Etický hacking nalézá skryté díry v sítích

Protože manažery oddělení IT znervózňuje zranitelnost jejich sítí, která vyplývá z možnosti existence různých "z...


Protože manažery oddělení IT znervózňuje zranitelnost jejich sítí, která
vyplývá z možnosti existence různých "zadních vrátek", získává stále větší váhu
trochu paradoxní nápad: platit nějakého člověka za to, že pronikne do systému.
Tato činnost bývá označována jako etický hacking.
Posuďte sami následující příběhy z praxe. Společnost XYZ Pharmaceuticals nemá
žádná známá propojení na Internet, poněvadž výzkum léků musí být za každou cenu
chráněn. Oddělení IT tedy v okamžiku, kdy bylo vyzváno bezpečnostní konzultační
firmou ke zhodnocení sítě, vysvětlilo pouze obranu proti internímu hackingu.
Konzultanti ovšem zjistili nejen to, že si někteří zaměstnanci přinesli své
vlastní nezabezpečené modemy, aby připojili svá PC k Internetu, ale rovněž to,
že tyto modemy použili hackeři, aby vnikli do sítě a vybudovali pornografický
Web na 2GB serveru, o němž si společnost myslela, že je nevyužit.
Společnost Acme Financial Services provozuje dobře zabezpečenou síť, ale v
obavách z průniků přizvala odborníky, aby zjistili potenciální díry. Ti přišli
s notebooky v ruce a rychle se připojili k síti, aby provedli její skenování s
cílem zjistit nezabezpečená nebo nedostatečně zabezpečená místa. S pomocí
standardní verze UNIXu neošetřené nejnovějšími záplatami odstraňujícími chyby,
využili experti slabiny spočívající v možnosti přeplnění vyrovnávací paměti,
která se může stát branou k unixovému serveru. Potom definovali vztah mezi
serverem a celou doménou v rámci trustu, což jim poskytlo možnost změnit
veškerá data společnosti.
V další organizaci s tisícovkou serverů a dobře fungující filtrací
procházejících dat nalezli odborníci na bezpečnost zranitelný unixový server,
jenž jim umožnil obejít směrovací server a získat přístup k interní síti.
Experti si pak vytáhli informace o zaměstnancích, záznamy o výplatách mezd a o
operacích s kreditními kartami, které byly udržovány ve formě nezakódovaného
textu.
Zmíněné testy způsobily mnohem více než jen to, že uvedly personál IT do
rozpaků. Tyto nálezy mu vštípily strach z ďábla. To, co by odborníkům na IT a
vrcholovému vedení mohlo způsobit špatné spaní, je skutečnost, že správci
systémů ve výše uvedených společnostech nevěděli, že do jejich sítí je možné
proniknout. Oddělení IT se cítila bezpečná při vědomí toho, že mají k dispozici
filtry a firewally.
Etičtí hackeři
Jakým způsobem se může někdo zevnitř či zvnějšku vaší organizace dostat do vaší
sítě? Abyste dokázali na tuto otázku odpovědět, přemýšlejte jako hacker. A
právě to dělá etický hacking. Tento termín ovšem vyvolává určitý odpor.
Společnost ICSA, poskytovatel bezpečnostních služeb pro Internet, podle svého
ředitele pro vzdělávání M. E. Kabaye odmítá používat spojení slova "etický" se
slovem "hacking".
"Termínem, který používáme, je testování zranitelnosti," říká Kabay a dodává,
že společnost ICSA se pokouší nalézat software a nástroje, jejichž záměrem je
pronikat do sítí v počítačovém podsvětí. "Infiltrovali jsme tam naše lidi a
našli jsme nové hackerské nástroje dříve, než mohly způsobit jakékoliv škody."
Sestavení týmu expertů, kteří by identifikovali místa v sítích, jež jsou málo
odolná vůči pokusům o průnik, je důležité pro všechny podniky, zejména však pro
ty, které podnikají na Webu, říká Charles Cresson Wood, nezávislý konzultant
pro informační bezpečnost působící ve společnosti Baseline Software z
Kalifornie. Wood je autorem příručky "Nejlepší praktiky při zajišťování
bezpečnosti internetové komerce" (Best Practices in Internet Commerce
Security), podle níž ztráta informací o kreditní kartě nebo únik informací o
jednotlivém zákazníkovi či podniku může být příčinou velkých finančních ztrát.
K těm by mohlo dojít nejen kvůli problémům spojeným například se špatně
směrovanými dodávkami, ale rovněž v souvislosti s odpovědnostními soudními
spory. V jednom případě hackeři vytvořili skrytý adresář pro pirátský software.
Společnost o tom neměla potuchy, ale přesto za to byla odpovědná.
Podrobte systém zkoušce
Klienti ze všech oborů chtějí své Weby nejprve zabezpečit, než je otevřou
světu. "Jakmile se kůň dostane z ohrady, je příliš pozdě zavírat branku," říká
Mary Omelczenková, ředitelka správy informačních systémů ve firmě Holiday Fair
z New Jersey, která dodává síťové kabely. Omelczenková se zabývá zjišťováním
možností, které poskytuje Internet, firmám. Jednou z nich je poskytnout
pracovníkům odbytu přístup k hlavnímu systému na cestách.
"Zavoláme někoho z vnějšku, aby přišel a podrobil náš systém náročné zkoušce.
Externí lidé mohou přinést na stůl problémy, o nichž jsme možná nepřemýšleli,"
řekla Omelczenková.
Omelczenková si uvědomuje, že její nepočetný personál IT, jenž má zkušenosti
především se středně velkými systémy, a personál, který se stará o sítě a
zavádí ve společnosti technologii TCP/IP, nemusí být v problematice bezpečnosti
dostatečně zběhlý na to, aby nalezl všechny skuliny v systému.
Mark Israel, vedoucí pracovník odpovědný za technologii ve společnosti
Healthgate Data, která má sídlo v Maldenu ve státě Massachusetts, si nepřeje
připojovat k veřejné síti servery s citlivými daty, dokud nebude mít k
dispozici neprůstřelnou bezpečnostní infrastrukturu. Společnost Healthgate, jež
distribuuje a prodává informace zákazníkům, pacientům a lékařům, kteří se
účastní výzkumu, je extrémně opatrná, pokud jde o soukromí. Důvěra pacientů je
klíčem k jejímu úspěchu.
Mark Israel získal dodavatele, který poskytl bezpečnostní zařízení, provedl
audit, ale jak říká, dosud nikomu nezaplatil za průnik. "Stálo nás hodně námahy
získat dobré pacienty," řekl Israel. "Teď hledáme někoho s prověřenými
referencemi."
Pro Israela je rovněž důležité to, že se konzultanti dělí o metodiku ne sice v
takovém rozsahu, aby společnosti Healthgate přesně řekli, jaké nástroje
používají, ale přinejmenším v rozsahu, jenž umožňuje dozvědět se, co testují a
proč. Israel chce, aby se testování bezpečnosti stalo ve společnosti rituálem
takovým, který by zahrnoval jak interní, tak i externí audity.
Zacelování trhlin
Ačkoliv konečným cílem je samozřejmě vytvoření téměř neproniknutelné sítě,
konzultanti nejprve vzbudí velký strach, když odhalí nechráněné body. Zde
můžeme najít světlou stránku tohoto procesu: přivoláním konzultantů může
oddělení IT přitáhnout pozornost vrcholového vedení k potenciálním
bezpečnostním rizikům, a zajistit si tak potřebné finanční prostředky.
Když konzultanti vstoupí do organizace, aby testovali bezpečnost, hledají
napadnutelné body. Podle Erica Schultze, z Ernst & Young může být zvláště
zranitelný obyčejný server Windows NT bez firewallu či filtru. Ač se to může
zdát neuvěřitelné, stále existují firmy, kteří nemají firewall.
Podle Charlese Palmera, manažera síťové bezpečnosti a kryptografie ve výzkumném
centru Thomase J. Watsona společnosti IBM, však není ani firewall zárukou silné
ochrany. Firewally je třeba správně nakonfigurovat, aby byly účinné. Pouhý
nákup špičkového produktu neznamená, že váš systém má adekvátní ochranu.
"Umět konfigurovat firewall vyžaduje věnovat se tomu na plný úvazek a většina
systémových administrátorů tráví touto činností 95 procent svého času," říká
Schultze. Pro společnosti, které se potýkají s problémem bezpečnosti, dříve než
začnou podnikat na Internetu, může být najmutí někoho, kdo nakonfiguruje
firewall, velmi ospravedlnitelné.
"Bezpečnost je na řadě hned za provozními problémy, například rychlejšími
procesory, větším diskovým prostorem a rychlejšími komunikačními linkami," říká
Schultze.
Palmer uvádí, že když je zavolán ke klientovi, začíná s kontrolou Webu. "Jde o
nejdynamičtější záležitost, protože se velmi mění a změny provádí více lidí.
Někteří lidé mají ponětí o bezpečnosti a jiní nikoliv," říká Palmer. To
znamená, že i když je webový server za firewallem, může nějaká chyba umožnit
hackerovi využít server jako odrazový můstek pro ovládnutí jiných serverů v
podnikové síti.
Politické problémy
Ve firmě by mělo by existovat centralizované místo, kam jsou zasílány všechny
zprávy o průnicích. Po zjištění průniku někdy nedojde k zamezení vzniku dalších
škod, poněvadž nikdo neví, komu si stěžovat, nikdo nebere nikoho k odpovědnosti
nebo v panice po útoku administrátoři nevědí, co dělat. Zažité postupy pro
případ, "požáru" jsou pak nutností.
"Rutinní kontroly vašeho systému, které zjišťují, zda nedochází k porušování
pravidel bezpečnosti, vám poskytnou velmi potřebný klid. Jakákoliv společnost,
která tvrdí, že je bezpečná, protože si najala někoho, kdo přišel a
zkontroloval její síť, si v podstatě namalovala terč na záda," říká Palmer.
"Hackeři se pak snaží zavřít jí ústa," dodává.
"Když vyhodnocujete bezpečnost zjistěte, zda lidé v týmu nebyli v minulosti
neetickými hackery," říká Eric Hemmendinger, analytik informační bezpečnosti v
bostonské Aberden Group. Držte se dále od lidí s temnou minulostí, poněvadž
mohou znovu podlehnout nutkání ke zlovolnému hackingu. "Spolehněte se na
zaručené, renomované a důvěryhodné jméno," doporučuje Hemmendinger.
"Sítě se neustále mění, a proto provádějte testy často," radí dále
Hemmendinger. "Jen to, že jste před šesti měsíci něco prověřili, vám nezajistí,
že bude vše v pořádku. V dynamickém prostředí je dobré učinit z detekce průniků
nepřetržitý proces."
9 1449 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.