Jsme připraveni na hrozbu, kterou představuje špionážní software?

Jsou tomu dva roky, co se v oblasti špionážního softwaru odehrály dvě mediálně nejznámější aféry. První se týkala rozsáhlé průmyslové špionáže v Izraeli, druhá spywaru distribuovaného SONY BMG jako ochrana jejich hudebních nosičů.



Problém špionážního softwaru je považován za natolik závažný, že se stal i předmětem politického a legislativního zájmu. Svědčí o tom mimo jiné zpráva "COM(2006) 688 final", předložená Evropskou komisí v listopadu 2006, která hodnotí současnou situaci a navrhuje nová pravidla v boji proti spamu, špionážnímu softwaru (spywaru) a škodlivému softwaru (malicious software). Nejnovější politický počin v tomto směru v USA představuje návrh na úpravu sbírky zákonů týkající se počítačové bezpečnosti, předložený v březnu 2007 Sněmovně reprezentantů amerického Kongresu pod názvem "Internet Spyware (I-SPY) Prevention Act of 2007".
Otázkou však zůstává: "Jsme dostatečně poučeni a připraveni čelit hrozbám, které představuje špionážní software?"
Vnímání nebezpečnosti spywaru je tak široké, jak široká je škála variant těchto škodlivých kódů. Podotýkám, že slovo škodlivé je rovněž otázkou do diskuse, protože do kategorie spywaru patří i komerční programy pro monitorování činnosti uživatelů, velmi často zaměstnanců. O právních důsledcích použití takovýchto programů např. ze strany zaměstnavatelů, které jim umožňují sledovat nejen transakční logy elektronické komunikace, ale i její obsah, případně komplexně sledovat určenou osobu nebo skupiny osob, není asi nutné hovořit. Je dobré si v této souvislosti připomenout i judikáty Evropského soudu pro lidská práva podle článku 8 Úmluvy o ochraně lidských práv a základních svobod, pregnantně hovořící o právech zaměstnanců na soukromí v zaměstnání. V souvislosti s výše uvedeným je však nutné mít na zřeteli i to, že zaměstnavatel má právo sledovat u svých zaměstnanců dodržování pracovní doby a její využití. Navíc nový zákoník práce (§ 316) nepovažuje soukromí zaměstnance na pracovištích za zcela nedotknutelné.
Zvláštní kategorii představuje tzv. reklamní spyware, který bychom dnes označili jako adware (odvozené od slova advertisement = reklama), monitorující aktivity uživatele a pracující bez jeho souhlasu, respektive bez jeho vědomí. Takovýto typ spywaru, řadící se spíše mezi "obtížný hmyz" než něco skutečně nebezpečného, není předmětem zájmu tohoto článku.
Co ale vzbuzuje obavy a nemělo by nás nechat klidným, jsou programy, které bez našeho vědomí plně ovládají náš počítač a mají tak přístup k mnoha informačním zdrojům. Tyto programy už nemusí primárně zajímat sběr osobních údajů nebo statistik, ale mohou směřovat do něčeho, co se nazývá průmyslová špionáž. To, jak spyware sofistikovaně přebírá a nabaluje na sebe funkcionalitu, která se dříve v těchto programech neobjevovala, způsobuje, že hranice mezi spywarem, viry, backdoory, rootkity, netboty atd. postupně mizí.
Pro zvládání spywaru s nízkou závažností dopadu pro uživatele (organizaci) bohatě postačí běžně dostupné antispywarové programy, obvykle šířené jako freeware.
Informace o známých spywarech lze nalézt např. na stránkách www.spywareguide.com.
U spywaru se středním a vysokým dopadem už to nemusí být tak jednoduché. Zatímco komerční monitorovací systémy jsou zpravidla dobře detekovatelné výše uvedenými nástroji, na specializované a na zakázku vyvinuté (lépe řečeno upravené) programy s klasickými antispywarovými programy nevystačíme. V takovém případě je nutné řešit obranu proti spywaru přes všechny oblasti incident managementu. První oblastí je bezesporu proaktivní přístup.
Proaktivní přístup
Zejména pro úspěšné zvládání spywaru je více než u jiných typů škodlivých programů nutný tzv. proaktivní přístup, spočívající např. v zavedení systémové bezpečnostní politiky (SBP), která řeší bezpečnost ve všech relevantních oblastech. SBP musí být pravidelně prověřována a měla by být ve své implementaci flexibilní, čímž je redukována potřeba její časté aktualizace.
Mezi běžná, politikou vynucovaná opatření proti škodlivým programům patří například:
• Omezení užívání práv administrátora pro běžné uživatele.
• Omezení užívání vyjímatelných médií (FD, CD, USB flash disk...) na PC, která jsou vysoce riziková z hlediska přístupu a použití více uživateli.
• Specifikace typů preventivního softwaru pro jednotlivé části systému (poštovní server, souborový server, pracovní stanice...).
• Zavedení vulnerability managementu (správa softwarových zranitelností).
Časté chyby:
• Omyl, že patch management (správa softwarových záplat a updatů) je totéž jako vulnerability management.
• Omyl, že vulnerability management je pouze technologickou záležitostí.
Dalšími součástmi proaktivního přístupu jsou:
• Budování bezpečnostního povědomí mezi uživateli systému.
• Zavedení SIEM (Security Information and Event Management) a vytvoření procedur a týmu reakce na incidenty (CSIRT).
• Do proaktivního přístupu částečně spadá i schopnost reakce na incident.

V čem spočívá schopnost reakce na incident?
Reakci na incident lze rozdělit do následujících fází:
• Příprava: příprava na reakci před tím, než vlastní incident nastane, je velmi důležitou a kritickou částí celé schopnosti reakce na incident. Spočívá v plánu a zavedení procedur a rolí, které zamezí zmatečné reakci při vzniku incidentu. V této fázi se definuje koordinace, která je všemi zúčastněnými stranami známa a akceptována.
• Detekce a analýza: provádí se analýza (forenzní), ověřování incidentu a jeho charakteru, identifikace a ochrana důkazů, protokolování a hlášení události nebo incidentu. V případě, že jsou v datech nalezeny podezřelé anomálie, provádí se rozšířená forenzní analýza.
• Omezení, odstranění, obnova: je třeba omezit rozsah a význam dopadu incidentu tak rychle, jak je to možné. Následuje odstranění příčiny incidentu a obnova systému po incidentu. Není přípustné umožnit pokračování incidentu ve snaze získat důkazy nebo identifikovat původce incidentu, k tomuto účelu slouží tzv. HoneyNet (více na www.honeynet.org).
• Sledování a po-incidentní aktivity: po obnově systému pomáhají vylepšovat procedury zvládání incidentů.

Forenzní analýza
Součástí procesu reakce na incident je forenzní analýza. U složitějších či závažnějších incidentů se forenzní analýza dostává do popředí zájmu. Skládá se z následujících základních fází:
• Sběr dat: identifikace potencionálních zdrojů dat, jejich zabezpečení a získání.
• Vytěžení zájmových dat.
• Zkoumání zájmových dat.
• Dokumentace a tvorba hlášení.
Jak řešit incident management?
Zejména u velkých organizací je efektivnější postavit schopnost reakce na incident na vlastních silách a vybudovat vlastní Computer Security Incident Response Team (CSIRT). Tomuto týmu úspěšně pomáhá i služba poskytovaná některými výrobci produktů typu SIEM, kterou je automatická notifikace a aktualizace informací o zranitelnostech a hrozbách. Ověřené řešení včasného varování poskytuje např. "Symantec DeepSight Threat Management System" a "Symantec(tm) DeepSight(tm) Alert Services".
U menších organizací je naopak výhodnější mít službu CSIRT vyřešenu formou plného nebo částečného outsourcingu.
Pro zajištění komplexní forenzní analýzy, která podporuje základní forenzní analýzu provedenou CSIRT, je zapotřebí příslušné "technologické a vyšetřovací know-how". Počet incidentů, jež je nutné řešit tímto způsobem, je velmi malý, a nejen kvůli tomu se budování této schopnosti založené na vlastních silách nevyplácí. Výjimkou mohou být bezpečnostní složky státu, kde ekonomický zájem - úspora nákladů - není na prvním místě, nebo by alespoň neměl být.

Co říci závěrem?
Tento text nemá být strašákem pro uživatele, jak nebezpečné je pracovat na počítači v síti, nebo snad pro ekonomické subjekty, že průmyslová špionáž je všude.
Důležité je si uvědomit, jak cenné informace máme ve svých počítačích, resp. ve svých informačních systémech, a kdo nebo co je pro tyto informace hrozbou.
Mimochodem sociální inženýrství, které je založené na zneužití mentálních chyb plynoucích z našeho stereotypního chování (zjednodušuje proces zpracování informací), je mnohem nebezpečnější a překonává i ty nejdůmyslnější technologické zábrany, není-li informační bezpečnost řešena komplexně (lidé, procesy a technologie). Ale o tom se dočtete příště.

Robert Malý je konzultantem Corpus Solutions.

n Spyware je běžně akceptovaný a užívaný termín, popisující nechtěný, neschválený nebo "zlomyslný" soubor či program, umístěný na uživatelově počítači bez jeho přímého svolení.
n Incident management se zabývá zvládáním a řešením bezpečnostních incidentů, tzn. je to procesní a poradenská podpora, zajišťující přiměřené činnosti pro detekci, hlášení a reakci na bezpečnostní incident, jejíž nedílnou součástí je i proaktivní činnost, spočívající v předcházení bezpečnostním incidentům.
n Forenzní analýza digitálních dat je vyšetřovací postup, používaný k získávání důkazů o aktivitách uživatelů (útočníků) v oblasti informačních a komunikačních technologií. Pojem forenzní analýza se nepoužívá jen ve smyslu šetření trestné činnosti, ale i v širším pojetí jako vyšetřování bezpečnostního incidentu, jehož výstupem nemusí být jen nalezení "viníka" a zajištění důkazů proti němu, ale i návrh opatření eliminujících danou hrozbu.

Rozdělení spywaru podle závažnosti dopadu

Závažnost dopadu pro uživatele (organizaci)
Nízká
Střední
Vysoká


Účel použití
Sběr informací převážně agregovaných pro reklamní, osobní či jiné méně závažné účely. Hlavním důvodem použití je většinou zlomyslnost a nekalá soutěž s konkurencí.
Sběr informací týkajících se podrobného sledování aktivit uživatele.
Získání nebo podvržení informací za účelem konkurenční výhody.

Způsob dopadu
Možnost narušení bezpečnosti počítačů vlivem nekvalitního vývoje a nespecifikovaných vlastností spywaru.
Monitorovaný počítač a uživatelé jsou kompromitováni.
Plné ovládnutí počítače, případně skupiny počítačů, za použití pokročilých technik.

Popis funkcionality
Změna vzhledu a funkcionalit počítače.
Odposlech elektronické komunikace (pošty, webu...), monitorování aktivit stisku kláves a dalších činností uživatele (sledovaného počítače).
Použití technik pro skrytí a zamaskování aktivit spywaru (odposlech elektronické komunikace, skrytý backdoor...), který je většinou speciálně upraven pro konkrétní nasazení, plně ovládá počítač a monitoruje tedy i aktivity uživatele.










Komentáře