Imaginární DoS útok je odhalen

Žaloba ze strany konkurenta vyruší manažera z práce na realizaci strategického cíle pro tento rok. Nedávno mi náš...


Žaloba ze strany konkurenta vyruší manažera z práce na realizaci strategického
cíle pro tento rok.

Nedávno mi náš CIO přeposlal e-mail z kanceláře našeho právního oddělení, v
němž se uvádělo, že nás jeden z našich konkurentů obviňuje z něčeho, co
odpovídá cílenému útoku typu DoS (Denial-of-Service).
Žaloba se týkala toho, že jsme vytvářeli nadměrný objem požadavků na veřejný
web konkurenta, čímž jsme jeho výkon srazili tak silně, že k němu nebyli
schopni přistupovat jejich zákazníci. IP adresa zapojená v tomto útoku vskutku
patřila nám rozpoznal jsem v ní adresu jedné z našich proxy. Víte, veškerá
odchozí připojení vedená zevnitř naší firmy jsou převedena do jediné veřejné IP
adresy kontrolované našimi proxy servery.
Mojí první myšlenkou bylo to, že někdo provedl spoofing naší IP adresy, ale
nejdříve jsem si musel ověřit, zda za jakoukoliv podezřelou aktivitu není
zodpovědný některý z našich interních zdrojů. Abych to zařídil, jednoduše jsem
dal jednomu z mých inženýrů za úkol prohledat logy uvedeného proxy serveru a
pátrat po příslušné IP adrese.

Výsledky hledání
Vyhledávání překvapivě vedlo k identifikaci jediné IP adresy uvnitř naší
společnosti. Data a časy odpovídaly téměř na sekundu logům poskytnutým síťovými
administrátory našeho konkurenta. Bylo tedy zjevné, že jeden z našich
zaměstnanců se připojoval k webu této firmy.
Použili jsme tedy utilitu Nbtstat umístěnou ve Windows, abychom určili jméno
stroje a jeho MAC (Media Access Control) adresu. To jsou v celém procesu
reagování na incident dvě velmi důležité součásti informací. Jména strojů v
naší firmě jsou nastavena podle přihlašovacích jmen zaměstnanců, což je metoda,
která obvykle umožňuje jednoduše identifikovat, komu patří ty či ony zdroje.
MAC adresa je užitečná v tom, že mohu po některém ze síťových inženýrů chtít,
aby po ní pátral v CAM (Content Addressable Memory) tabulkách přepínačů. To by
nám prozradilo příslušný port přepínače a mohli bychom zpětně vystopovat
zásuvku kanceláře, kde je PC zapojené.
Kromě identifikace zaměstnance spojeného s touto IP adresou jsme zapojili také
filtr v našem intrusion-detection systému, abychom mohli sledovat připojení,
která vytvořil. To, co jsme vypozorovali, se jevilo jako automatizované
připojování z jeho desktopu na web konkurenta každou hodinu. Po diskusi s našim
právním oddělením a oddělením lidských zdrojů jsem tomu chlapíkovi nakonec
zavolal.
Jak se ukázalo, jeho práce je provádění konkurenčních analýz. Používá nástroj,
který mu umožňuje monitorovat všechny weby našich konkurentů, aby mohl sledovat
změny v jejich obsahu. Takže když například jedna z našich konkurenčních firem
uvede na trh nový produkt nebo zveřejní nějaké zásadní novinky, zachytíme to
během hodiny poté, co se zpráva objeví na webu konkurence.
Než jsem jej požádal, aby svůj nástroj přestal používat, poprosil jsem jednoho
z našich síťových inženýrů, aby mi vytvořil statistiky o provozu. Chtěl jsem se
přesvědčit, jestli by tato v hodinových intervalech probíhající aktivita
jediného člověka mohla být příčinou vysokého využití šířky pásma našeho
konkurenta. Bylo vypočteno, že takto generovaná spotřeba šířky pásma je
zanedbatelná a že zmíněná aktivita vybírala jen osm webových stránek za hodinu,
což se prakticky rovná nulové aktivitě.
Náš interní závěr byl, že náš konkurent musel mít nějaké problémy se šířkou
pásma, a když zpozoroval, že naše firma coby jeden z jeho konkurentů provádí
pravidelná připojení k jeho webu, rozhodl se svést problém na nás.
Sepsal jsem o celém incidentu zprávu a nechal jsem to být. Uběhly už téměř dva
týdny a zatím jsme o společnosti, o níž je řeč, neslyšeli.

Důvěrné informace
Poté, co jsem se postaral o incident fantóma DoS, jsem se zaměřil na další
neodkladnou záležitost návrh nástroje, který pomůže uživatelům klasifikovat
informace.
V předešlých příspěvcích jsem už popisoval, jak jsem byl vyzván, abych pomohl
zajistit, že firma bude chránit své intelektuální vlastnictví. Jedním z mých
strategických cílů je vyvinout nástroj, jenž zaměstnancům umožní rychle a
snadno určit úroveň klasifikace odpovídající specifickému dokumentu, ať je to
tabulka, CAD diagram, e-mail nebo cokoliv jiného.
Ačkoliv byl tento cíl stanoven ještě předtím, než jsem byl najat, můj roční
platový bonus bude záležet na tom, zda jsem splnil různé strategické cíle. Jak
si tedy asi umíte představit, tento nástroj je jednou z mých priorit.
Spolupracoval jsem se svým protějškem na straně fyzického zabezpečení firmy,
který reportuje naší generální radě a je zodpovědný za program ochrany
intelektuálního vlastnictví. Dosud jsme rozhodli o používání klasifikace dat
typu "Pouze k internímu použití", "Důvěrné" a "Důvěrné pro zvláštní zacházení".
Přemýšleli jsme ale i o přidání dalších forem klasifikace pro dokumenty, které
jsou veřejné nebo jsou používány vně společnosti. Báli jsme se však, že pokud
zavedeme příliš mnoho klasifikací, ztratí svoji účinnost. Naším cílem je
vyvinout nástroj, jenž uživatelům umožní zvolit pomocí tlačítek stupeň ochrany
náležící příslušnému datovému obsahu, dále hodnocení následků toho, kdyby byla
informace obsažená v dokumentu zpřístupněna, a konečně zhodnotí i další
informace. Potom by měla být klasifikace dat určována automaticky. S tím budou
provázány odkazy na informace ohledně předkonfigurovaných šablon, vodoznaků,
instrukcí pro zvláštní zacházení a eventuálně náš předpokládaný systém pro
digitální správu autorských práv.
Nástroj pro klasifikaci dokumentů však nakonec zůstane vždy jen nástrojem. Jeho
použití musíme zkombinovat se školením a s pravidelnými audity a můžeme doufat,
že naše evangelizace nakonec změní chování zaměstnanců, kteří dnes nemají o
klasifikaci dat vůbec žádnou představu.
Začal jsem nástroj vyvíjet s využitím aplikace Microsoft Excel, a pokud budu
úspěšný, pravděpodobně pak budu outsourcovat jeho přeměnu ve webovou aplikaci,
samozřejmě alespoň pokud nedostanu nějaké lepší doporučení od někoho z vás,
čtenářů.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.