Prověrka odhaluje nákazu

Naše nová přispěvatelka se po příchodu bezpečnostních auditorů seznámila s krutou pravdou o zabezpečení své firmy...


Naše nová přispěvatelka se po příchodu bezpečnostních auditorů seznámila s
krutou pravdou o zabezpečení své firmy.

Nepřekvapilo mě, že ten telefonát přišel. Hlas na druhém konci linky řekl:
"Naše nástroje pro bezpečnostní analýzu našly ve vaší síti něco, čemu říkáme
podezřelé indikátory. Myslím, že byste se na to měla hned podívat." Myšlenky mi
ulétly k rozhovoru, který asi budu mít brzy s vedením firmy, a měla jsem z toho
opravdu špatný pocit. Ale snažila jsem se raději soustředit na následující
konverzaci.
Po sedmi letech práce jako konzultantka bezpečnosti počítačových sítí ve
zdravotnictví, peněžních službách a u špičkových technologických společností
jsem přijala práci na plný úvazek u ne zcela špičkové společnosti v domnění, že
to bude snadné a teplé místo zajišťující pravidelný příjem. Po krátkém čase
jsem ale zjistila, že jsem jen vyměnila jeden druh problémů za jiný. Dříve jsem
vždy jen svého klienta upozornila na všechny bezpečnostní záležitosti a dostala
za to zaplaceno. Potom jsem mohla žádat další nemalé obnosy za dohled nad
nápravnými pracemi. Teď jsem ale na opačné straně barikády. Mám síť, za kterou
jsem zodpovědná, a bezpečnostní konzultanti ukazují všechny ty problémy mně. Co
jsem vlastně čekala?

Výběr konzultantů
Volající byl z externí společnosti specializované na bezpečnost sítí, které
jsme zadali vypracování posudku na zabezpečení naší infrastruktury, jež by mělo
být na vysoké úrovni. Když jsem tuhle firmu najímala, měla jsem na to nízký
rozpočet, tlačil mě čas, naši i externí auditoři pro IT byli na týden mimo
firmu a rozhodnutí muselo přijít rychle.
Bezpečnostní revizní firmy, jejichž služeb jsme dříve využívali, se primárně
zaměřovaly na problémy kolem řízení přístupu a na známá zranitelná místa. Teď
jsem chtěla konzultanty vyspělejší a zkušenější, než je náš personál.
Vedla jsem pohovory s řadou poradenských firem a začínala být mírně zoufalá.
Když jsem se poptala podřízených, nevědí-li o nějakém vhodném kandidátovi,
seznámili mě s firmou, jež vyvinula vlastní značkový testovací software
zahrnující v sobě mnohé z těch open source nástrojů, které jsme sami používali.
Rozsah jeho funkčnosti na mě udělal tak velký dojem, až jsem dospěla k závěru,
že je to něco jako ArcSight užívající steroidy.
Profesní životopis vedoucího bezpečnostního konzultanta vypadal jako "kdo je
kdo" ve vědeckém světě. Zabýval se internetem ještě dřív, než se tomu tak
začalo říkat. A nad to všechno byl nejskromnějším a nejzajímavějším člověkem,
kterého jsem kdy poznala. Najala jsem tedy jeho firmu a hned jsme začali s
prací.

Neveselé závěry
Po několika dnech sběru dat a jejich analýzy objevila poradenská firma stovky
tisíc podezřelých spojení na místa po celém světě a mnohá z nich byla velmi
nežádoucí. Vzala jsem jejich zprávu a naťukala do Googlu dotaz obsahující
nalezená čísla portů a jména zemí. Nalezené informace ukazovaly na viry/trojské
koně otvírající nebezpečná zadní vrátka do našich systémů. Právě ony trojské
koně měly být pachateli záhadných spojení.
Zašla jsem za svou šéfovou a vysvětlila jí nálezy, svou teorii o aktivitě virů/
trojských koní a plán reakce. Také jsem jí řekla, že se nemůžu vyjádřit, zda
již byla bezpečnost naší sítě kompromitována, ale že ji budu průběžně
informovat. Diskutovaly jsme o tom, zda jít s těmito informacemi za nejvyšším
vedením firmy, nebo ještě pokračovat ve zkoumání. Při vědomí, jaké právní
následky by měla kompromitace sítě, jsme se rozhodly, že než to oznámíme
nahoru, potřebujeme mít víc informací. Můj hlavní bezpečnostní technik byl na
dovolené, takže ta práce čekala mě.

Podrobný průzkum
Musela jsem stanovit, která spojení byla platná. Revize pravidel firewallu pro
odchozí spojení potvrdila, že vytvářejí odpovídající omezení. Sestavila jsem
tedy tabulku porovnávající pravidla firewallu se známými trojskými koni
pracujícími přes u nás povolené porty. Aspoň jsem tím zúžila seznam škodlivých
kódů, které mohu očekávat. Rozhodla jsem se rovnou se zaměřit na porty 80
(HTTP) a 25 (SMTP), protože ty bývají zneužívány nejvíce.
Používáme technologii filtrování webu a máme i slušný antivirový program, takže
jsem nemohla pochopit, proč se to všechno stalo. Pak jsem zjistila, že
nejpodezřelejší aktivita byla na části sítě, která filtrována nebyla, což
znamená, že záludné webové stránky tam nebyly blokovány. To je opravdu skvělé.
Zeptala jsem se architekta sítě, zda bychom mohli na té části sítě filtrování
webu nasadit. Jeho odpověď zněla: "Potřebovali bychom další dva routery a
dostat to vybavení by trvalo týdny. Tudy cesta nevede." Dalším krokem bylo
identifikovat a prověřit systémy, ze kterých spojení pocházela, ale výpisy z
DHCP byly v podstatě k ničemu. Tudy se tedy také nelze vydat.
Přihlásila jsem se k centrálnímu antivirového řídicímu programu. Hlásil, že
byly infikovány stovky systémů. Spustila jsem meziměsíční sestavy počínaje
loňským lednem, zda v nich neuvidím nějakou pravidelnost. Dost zřejmě jsme
neměli žádný virový průnik od ledna do dubna. V květnu něco krachlo. Od
loňského května až do teď hlásil řídicí program dlouhý seznam virů aktivních v
naší síti, z nichž mnohé instalovaly trojské koně otevírající zadní vrátka. To
nebylo dobré znamení. Požádala jsem o pomoc provozního vedoucího datového
centra.

Příčiny problémů
Náš dodavatel antiviru potvrdil, že antivirové služby na našem
primárním e-mailovém serveru v květnu kvůli poničeným souborům vypadly. Trvalo
několik dní, než systém obnovili. Během té doby se do naší sítě dostalo neznámé
množství virů šířících se e-maily. Ačkoli mnoho z nich bylo detekováno, dostat
je do karantény se nepovedlo. Vyčištění se bude muset udělat ručně a vyžádá si
práci řady lidí. Bylo načase zapojit do celého procesu vrchní vedení firmy.
Z posledních pár týdnů mě docela bolela hlava, ale špatné výsledky
bezpečnostního posudku nám alespoň umožnily určit množství věcí, které musejí
být opraveny a navýšit rozpočet na lepší nástroje, více lidí a možná i na
potřebné organizační změny. Poradenská firma doporučila, aby útvar IT
bezpečnosti měl zastoupení v nejvyšším vedení nejlépe na pozici CSO (Chief
Security Officer). Pro mě ale začnou galeje. Budu v čele operace, jejímž cílem
je odstranění těch virů.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.