Slabá hesla jsou darem pro hackery

Snadno uhodnutelná hesla a nedůsledné bezpečnostní postupy způsobují zranitelnost uživatelských účtů ve Vinceově ...


Snadno uhodnutelná hesla a nedůsledné bezpečnostní postupy způsobují
zranitelnost uživatelských účtů ve Vinceově firmě. A to není zdaleka jediný
problém.
Je jistě značně neprofesionální zhroutit se na poradě a začít vzlykat, ale
tento týden jsem k tomu měl několikrát celkem blízko. Konečně jsem totiž
pochopil podrobnosti týkající se zabezpečení počítačových systémů a procedur,
které naše firma využívá k vlastní ochraně.
Jsem ve firmě teprve relativně krátce, takže je stále dost věcí, o kterých
nevím. Ale netrvalo dlouho, než jsem si uvědomil, že jsme na tom z hlediska IT
bezpečnosti velmi špatně. Zdá se, že každý týden po jednotlivých vrstvách
odhaluji zdánlivě nevýznamné problémy, které však podkopávají naše celkové
úsilí.
Tento týden se jednalo o hesla. Hlavní problém spočívá v tom, že jsou snadno
uhodnutelná a často sdílená. Můj bezpečnostní tým neustále říká uživatelům, že
musejí volit silná hesla a nikomu je nesdělovat. Ale běžnému zaměstnanci naší
firmy zřejmě není jasné, co je to vlastně silné heslo. A nebyli si tím
koneckonců jisti ani někteří z mých kolegů.

Útok na databázi
Většina počítačových systémů ukládá šifrovaná hesla v databázi. Když se snažíte
přihlásit, systém zašifruje zadané údaje a porovná je s uloženou hodnotou.
Pokud se shodují, je přihlášení úspěšné.
Jestliže se útočník může připojit k serveru, pak se také může pokusit uhodnout
heslo například jednoduchým vyzkoušením několika slov: heslo, tajne a jamesbond
patří mezi oblíbené volby. Ale pokud je útočník schopen odcizit seznam nebo
soubor zašifrovaných hesel, pak může realizovat zákeřnější útok.
Namísto připojení se k serveru což je pomalý a někdy odhalitelný proces může
vzít slovník běžných slov, slova zašifrovat s využitím stejného procesu, jako
to dělá server, a každé z nich uložit do své tabulky. Pokud by se chtěl útočník
připojit k více než jednomu operačnímu systému, pak by potřeboval jednu tabulku
pro servery s operačním systémem Windows a 3 pro nejběžnější unixové systémy.
Jakmile odcizí zašifrovaná hesla, je schopen v tabulkách porovnat, které
hodnoty se navzájem shodují a tak zjistit hesla (samozřejmě za předpokladu, že
jsou to hesla z použitého slovníku).
Hacker útočící on-line pravděpodobně bude potřebovat několik set pokusů o
přihlášení, než bude odhalen nebo než se mu podaří dostat dál. Ale off-line
útočník zvládne stovky tisíc hesel za jedinou sekundu.
Problém je v tom, že klíčová metoda pro ukládání hesel se mnoho let nezměnila,
ale rychlost počítačů se zvýšila násobkem několika tisíc a dosáhla takové
úrovně, že dokonce i začínající hacker disponuje dostatečným výpočetním výkonem
k tomu, aby byl schopen dostat se s využitím databáze zašifrovaných hesel OS
Windows do systému za několik málo dní.
Bylo by pěkné, kdybychom byli schopni zajistit, aby se nikdo k souboru s hesly
nedostal, a naučit uživatele, aby nepoužívali jedno ze stovky nejriskantnějších
hesel, která by pak hacker mohl použít k on-line útoku.

Zoufalá situace
Moji předchůdci utratili mnoho tisíc dolarů za software a hardware sloužící k
testování síly hesel. Díky němu zjistili, že téměř 15 % hesel užívaných ve
firmě je snadno odhalitelných. To je méně, než je průměr v našem odvětví. Což
ovšem nevypovídá o tom, jak jsme dobří, ale o tom, jak zoufalá je situace v
oblasti finančních služeb.
Kolik úsilí ale moji předchůdci věnovali tomu, aby vypátrali uživatele, jimž
slabá hesla patří, a patřičně je poučili? Žádné. Debatovalo se o úžasných
systémech pro nahrazení hesel nebo zlepšeních operačních systémů, ale nikdy se
nic nerealizovalo.
Výsledek byl následující: Vědělo se, že není vše v pořádku. Kromě toho, že se
dovolovalo používat slabá hesla, naše oddělení provozovalo také počítač, na
kterém byl duplicitní nešifrovaný seznam oněch snadno odhalitelných hesel.
Pokud by se k němu někdo nepovolaný dostal, odvedli jsme za útočníka veškerou
práci.

Razantní kroky
Tento týden jsem požádal své podřízené, aby po skupinách začali zvát uživatele
se snadno uhodnutelnými hesly a prodiskutovali s nimi volbu hesel vhodnějších.
Ukázalo se, že většina uživatelů, jež jsme si zavolali, dosud dané uživatelské
účty nepoužívala a vůbec nevěděla o tom, že existují. Takže alespoň něco teď je
můžeme vymazat.
Ohledně hesel jsme sice teprve v polovině cesty, ale v jiných oblastech jsme
odvedli práci na 150 %. Pokud například vyřadíme nějaký počítač, využíváme
utilitu, která nevratně vymaže obsah jeho disku tak, že každou část disku
přepisuje řetězcem nul. Ale tento nástroj je pomalý a musí být spouštěn z
diskety.
Můj předchůdce z jakéhosi důvodu nutil zaměstnance IT používat jinou disketu
pro každý cílový počítač, na tuto disketu se zapsal záznam o provedených
činnostech a ten pak bezpečnostní tým zkontroloval.
To funguje výborně u jednoho nebo dvou počítačů, ale když jsme testovali
možnosti obnovení dat v případě katastrofy, kdy bylo třeba vymazat obsah disků
u stovek počítačů a předat je dodavateli, který pro nás obnovení zajišťuje,
zjistili jsme, že vytváření a následná kontrola záznamu na všech těchto
disketách je ohromnou ztrátou času. Vyžadovalo však spoustu úsilí, než se mi
podařilo všechny přesvědčit, aby používali nový proces, jenž byl založen na
větší důvěře v tým systémové podpory.
Docela mě pobavilo, když členové tohoto týmu konečně připustili, že vytváření
záznamů neměli rádi, a tak prostě předávali bezpečnostnímu týmu stále stejné
diskety s prastarými logy a nikdo to neodhalil, protože tyto diskety nikdo
nekontroloval.
Je dobré najít proces, který zabere jak systémové podpoře, tak mému týmu méně
času a vede skutečně k tomu, že bude obsah disků vymazán.
Jsem si jist, že nejde ani zdaleka o poslední problém, s nímž jsem se setkal,
ale pokud jsem schopen zajistit, že budeme mít dobrá hesla a realistické
postupy, které budou opravdu dodržovány, pak věřím, že můžeme ve firmě zlepšit
úroveň zabezpečení.
Řešíte podobné problémy jako Vince Tuesday? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.