Potřebujete heslo? Stačí zavolat help desk

Hesla jsou v mé organizaci neustálým zdrojem problémů. Jsou rozčilující, jsou protivná, neustále se zapomínají a d...


Hesla jsou v mé organizaci neustálým zdrojem problémů. Jsou rozčilující, jsou
protivná, neustále se zapomínají a dokonce ani neposkytují dobrou úroveň
zabezpečení. Dlouhodobě se snažím nahradit naše hesla ve Windows přístupem přes
čipové karty, ale dokud se to nestane, budeme si muset poradit s hesly. Náš
současný problém spočívá v help desku. Když náš uživatel Jan Novák (aneb
Jakýkoli Uživatel) zapomene své heslo, všechno, co musí udělat, je zavolat help
desk a oni ho pro něj znovu nastaví. Takovou službu poskytovat musíte legitimní
uživatelé neustále zapomínají svá hesla, a vy musíte mít způsob, jak je pustit
zpátky do systému. Ale co mi zabrání zavolat na help desk a předstírat, že jsem
Jan Novák a tím někoho přimět, že mu znovu nastaví jeho heslo a řekne ho mně? A
nejenom to tak dlouho, jak je budu moci přesvědčovat, že jsem Jan Novák, budou
mi sdělovat jeho heslo. Musejí to dělat. Navzdory všemu povyku, který slyšíte o
výběru silných hesel, podle mých zkušeností jen málo útoků závisí na zneužití
hesel, která je snadné rozluštit. Mnoho útočníků prostě pouze zavolá svůj
cílový help desk a nechá jeho zaměstnance, aby za něj udělali tu špinavou
práci. Tomu se říká "sociální inženýrství".

Autentizační problém
Abychom se dostali přes tento problém, musíme dosáhnout toho, aby si help desk
byl jist, že dává hesla pouze těm správným lidem. Jinými slovy, potřebujeme
autentizovat požadavky na znovunastavení hesla. Chvíli jsem hledal snadné a
praktické řešení tohoto problému, ale když jsem požádal velkou skupinu
technologů v naší kanceláři o návrhy, dostal jsem všechny předvídatelné
odpovědi. Mohli bychom je identifikovat pomocí jejich čísel sociálního
zabezpečení, ale tato čísla jsou veřejně dostupná. Mohli bychom je přimět dojít
na help desk s identifikační kartou, ale někteří uživatelé pracují stovky mil
daleko od help desku. Nechat jejich vedoucí posílat e-maily? Vedoucí nebudou
odpovědní za případné spory, a není tak jednoduché udržovat přehled o tom, kdo
pro koho pracuje. Jádrem problému je, že existují pouze tři způsoby autentizace
osoby: něčím, co znáte (jako je heslo), něčím, co máte (jako je identifikační
karta) nebo něčím, co jste (jako vzhled vašeho obličeje). Takže když je jednou
vaše původní sdílené tajemství (to znamená heslo) zapomenuto, musíte se
spolehnout buď na jiné sdílené tajemství záložní heslo, nebo na jeden z dalších
dvou autentizačních mechanizmů: něco, co máte, nebo něco, co jste. Když
uživatel zapomene jedno sdílené tajemství, které používá každý den,
pravděpodobně si nebude pamatovat záložní heslo. Pravda, může si ho zapsat nebo
ho udělat snadno odvoditelným. Zapsat si heslo je velice špatná myšlenka: Pokud
ho můžete přečíst vy, pak ho může přečíst kdokoliv jiný. A je-li snadno
odvoditelné (jako číslo vašeho sociálního zabezpečení nebo jméno vaší matky za
svobodna), potom je snadno odvoditelné i pro kohokoli jiného. Takže to omezuje
autentizaci na něco, co máte, nebo něco, co jste. Ale pokud nejste ve velice
malé společnosti, vede to k drahému řešení, které je obtížné spravovat.
Tentokrát nicméně někdo přišel s jednoduchým, praktickým a levným řešením: Aby
help desk nechával nové heslo uživateli v jeho hlasové poště. Přístup k naší
hlasové poště je chráněn pomocí osobního identifikačního čísla (personal
identification number PIN), takže by přístup k uživatelově hlasové schránce
měl, teoreticky, být omezen pouze na daného uživatele. Samozřejmě, uživatel
může snadno zapomenout svůj PIN, ale pravděpodobnost, že zapomene jak svůj PIN,
tak své heslo ve stejnou dobu, je relativně nízká. A nepatrná obtížnost, že
uživatel musí vstoupit do své hlasové pošty, by mohla přimět uživatele trochu
více přemýšlet o svých heslech předtím, než zavolají help desk. V podstatě je
to autentizace založená na jiném sdíleném tajemství, ale je to jedno z těch,
které by si uživatelé mohli pamatovat, když je používají dost často. Toto
řešení není 100% bezpečné, ale je lepší než to, co mnohé společnosti mají
(nic), a mohlo by být snadno implementovatelné.

Security Scanner startuje
Tento týden jsme spustili naše první živé bezpečnostní skenování pomocí
Internet Scanneru od Internet Security Systems (ISS), a všechno šlo jako sen.
Po měsíce jsme procházeli procesem shromažďování hardwaru, konfigurování
politik, spouštění skenovacích testů a přesvědčování našeho inženýrského týmu,
aby nás pustil na své nejcennější živé sítě. Tým konečně připustil, že skener
nebude přivádět živé sítě k totálnímu pádu, a umožnil nám přístup, který jsme
potřebovali. Internet Scanner je jednoduchý nástroj, který skenuje IP adresy a
hledá servery, přičemž identifikuje jakékoli jejich očividné bezpečnostní
slabiny. Je to nejjednodušší a nejstarší produkt ISS, a je také jejich
nejlepší. Skeneru trvalo celkem 20 minut vyzkoušení všech nedestruktivních
testů a dozvěděl se o osmi strojích. Aplikace mi poskytla úhledně formátovanou
zprávu dostupnou buď na obrazovce, v HTML, nebo ve formátu Microsoft Word
detailně popisující každou slabinu, kterou nalezla, její potenciální důsledky a
návrh, jak ji odstranit. Z celkem osmi strojů připojených k síti nebyla na dvou
objevena žádná slabina. Dva směrovače ukázaly, že mají pouze jednu slabinu, tři
stroje s Windows NT jich měly několik, ale skutečným nálezem byl osmý stroj se
Sun Solarisem. Skener ukázal dvě technické slabiny v systému X Window a majitel
tohoto stroje si dokonce nebyl vědom ani toho, že byl nainstalován.

Slovník pojmů
Systém X Window: Multitaskingový systém s "okenním" uživatelským rozhraním,
který se používá na unixových počítačích. lX terminal: Terminál připojený k
systému X Window, který prezentuje na oknech založené uživatelské rozhraní
uživateli a umožňuje mu přístup k mnoha aplikacím ve stejném čase.

Bezpečnostní rizika
Pro technicky zdatnější čtenáře zde nabízíme detaily tří bezpečnostních rizik,
která identifikoval náš skener na čtyřech z našich systémů, s informacemi, jak
je odstranit:
Vzdálený hostitelský systém by neměl povolovat důvěryhodný přístup ze
skenovacího stroje. Tato důvěra může být rozšířena také na jiné nepatřičné
stroje. Zkontrolujte soubor .rhosts a postarejte se, aby obsahoval seznam pouze
těch strojů, které by měly mít důvěru.
Dostupnost rozhraní X Window umožňuje útočníkovi zachytit stisknuté klávesy a
vzdáleně provést příkazy. Mnoho uživatelů má svůj X server nastaven na "xhost
+", což dovoluje přístup na X server komukoliv odkudkoliv. Buďto vydejte příkaz
"xhost -", kterým zakážete přístup každému a selektivně povolte pouze
důvěryhodným hostitelským systémům se připojovat pomocí příkazů "xhost +",
použijte šifrováním zabezpečený autentizační protokol jako je xauth, nebo
odstraňte X Window. Vlastnost inverzních dotazů podporovaná na některých
serverech doménových jmen (DNS) by neměla být používána. Útočník může tuto
vlastnost využít k tzv. zone transferu. Tím se identifikuje každý stroj
registrovaný vaším DNS a tyto informace mohou být použity útočníky pro lepší
poznávání vaší sítě. Zone transfer je možný dokonce i tehdy, když jste přenos
zón zakázali na vašem serveru. Nakonfigurujte svůj DNS tak, aby zakazoval
inverzní dotazy.
1 0027 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.