Domýšlivost je nepřítelem antivirové ochrany

Přemíra sebejistoty a volba chybného postupu způsobily, že do podniku pronikl počítačový virus. Vždy jsem byl pyšn...


Přemíra sebejistoty a volba chybného postupu způsobily, že do podniku pronikl
počítačový virus.
Vždy jsem byl pyšný na systém antivirového zabezpečení, jejž v naší firmě
zrealizoval můj bezpečnostní tým, a ostře jsem kritizoval podniky, které měly
problémy se zabezpečením počítačů před viry. Pevně jsem totiž věřil, že každá
společnost dokáže těmto problémům zabránit, pokud používá jednoduchý
několikastupňový systém zabezpečení jako je ten náš.
Antivirový software používáme jak na desktopech, tak na souborových, webových a
e-mailových serverech. A samozřejmě jsme nasadili i antivirové produkty pro
e-mailové a webové brány. Využíváme rovněž outsourcované služby pro prohlížení
e-mailu. V naší firmě naleznete produkty řady výrobců a u všech denně
aktualizujeme databáze virů. Potud by se tedy mohlo zdát, že je vše v naprosto
dokonalém pořádku. Ale není. Nebo nebylo.

Pýcha předchází pád
Vše začalo hlášením z IT oddělení, že jeden z uživatelů obdržel podivnou
e-mailovou zprávu. Od čtvrtka předchozího týdne mu antivirový program hlásil
napadení virem. Teď bylo pondělí od počátku incidentu tedy uběhla poměrně
dlouhá doba. Máme zpoždění.
Tohle tedy bylo zlé. Zavedli jsme na desktopy centralizovaný systém podávání
zpráv o virovém napadení, takže jsme hned od počátku měli o problému vědět a
informovat uživatele, a ne obráceně. Kde se stala chyba?
Centrální antivirový server byl dočasně mimo provoz kvůli přechodu z Windows NT
na verzi Windows 2000, ale s nově instalovaným serverem byly problémy, a tak
jsme neměli zajištěné propojení s žádným centrálním serverem. Místo toho,
abychom nový server uvedli do provozu a ten starý vysadili, někoho napadlo, že
by bylo rychlejší starý server prostě jenom upgradovat. Předpokládalo se, že se
slušně fungujícím serverem a s ochranou propojení mezi sítěmi se bez
centrálního serveru na pár dní obejdeme. Těch pár dnů se nakonec protáhlo na
několik týdnů.
Skutečnost, že tento server nepodával vůbec žádné výstražné signály, jsem ve
své hlouposti považoval za důkaz toho, že na straně serveru prostě žádné
problémy nejsou. Tento stav však ve skutečnosti signalizoval selhání v
infrastruktuře systému hlášení, která podává zprávy o nebezpečí napadení virem.

Nový počítač
Podařilo se nám vysledovat nákazu k novému uživateli, jehož počítač neměl
nainstalovaný antivirový program. To bylo v naprostém rozporu s našimi zásadami
antivirového zabezpečení. Jak se to jen mohlo stát?
Standardní postup při instalaci nového desktopového počítače spočívá v
instalaci Windows i příslušných aplikací a v zavedením antivirové konfigurace z
centrálního antivirového serveru jenomže ten byl mimo provoz.
Chyběl nám nejen systém centrálního hlášení o napadení virem, ale během
předchozích dvou týdnů, kdy byl centrální server mimo provoz, jsme neměli
zajištěnu ani korektní instalaci zabezpečení nově zapojených počítačů. Jak jsem
to mohl dopustit? Na vině byla moje samolibost. Virová nákaza nás zasáhla
naposledy přede dvěma lety a my jsme přestali být opatrní.
Naštěstí byl klientský software, který jsme předtím používali, nakonfigurován
tak, že mohl provádět aktualizace antivirového programu nejen z centrálního
serveru, ale i z internetu, takže alespoň déle zapojené počítače znaly aktuální
antivirové databáze.
Jenomže situace se ještě dále zhoršila. Zmíněnému uživateli se podařilo nakazit
nechráněný souborový server sítě v oddělení vývoje. Virus byl naštěstí slabý,
napadal pouze soubory s příponou .exe a šířil se jen prostřednictvím sdílených
souborů.
Pokoušeli jsme se virus ze serveru zcela odstranit, avšak náš antivirový
program pokaždé selhal ještě před dokončením skenování všech dat. Nezabezpečené
a napadené počítače mezitím opětovně infikovaly soubory, které jsme již
prohlédli a viru zbavili. Bylo to jako vylévat vodu z Titaniku. Deaktivoval
jsem tedy síťovou kartu na souborovém serveru, abychom měli více času problém
vyřešit. Nakonec jsme stáhli novější, kompatibilní verzi antivirového programu
a instalovali ji na server. Skenování dat pak probíhalo správně, a tak jsme
brzy mohli uvést server opět do provozu.
Vše se sice protáhlo do pozdních nočních hodin, ale situaci se podařilo
normalizovat. Distribuce klientského softwaru do všech nedávno zapojených
počítačů fungovala a nejvyšší prioritou nyní bylo znovu nainstalovat centrální
antivirový server.

Nervozita
Největší šok ale nepřišel v době, kdy jsme řešili výše zmíněné problémy. Potkal
mě až za pár dní poté, co jsem strávil několik nocí odstraňováním posledních
nedostatků a ověřováním, že všechno je skutečně v pořádku.
Jeden zaměstnanec PC help desku si objednal e-mailový zpravodaj informující o
antivirových systémech společnosti Sophos a každý týden jej rozesílá všem,
kteří se na úkolu antivirového zabezpečení nějak podílejí. Když jsem tento
týden zpravodaj otevřel, spatřil jsem v titulku hlavního článku jméno své
společnosti: "(Jméno společnosti) zasažena virem infikujícím .exe soubory".
Zatmělo se mi před očima a jako by se pro mě zastavil čas. Tak tohle je konec
mé kariéry, napadlo mě. Můj zaměstnavatel by nám snad prominul méně závažný
incident virového napadení, ale pokud se to dozvěděl tisk, je se mnou konec.
Jak se ta informace mohla dostat na veřejnost? Proč by takovou událost Sophos
vůbec zveřejňoval? V návalu vzteku jsem se rozhodl, že přestaneme kupovat
jejich produkty a že tuhle společnost zničím tak, jako ona zničila mě.
Chtěl jsem se dozvědět více, ale když jsem prohlížel webové stránky Sophosu,
článek jsem nenašel. A pak mě to napadlo. Zavolal jsem si onoho pracovníka help
desku a zdvořile se ho zeptal, zda ve zpravodaji provedl nějaké úpravy, než ho
rozeslal dál. "No ano," odpověděl. "Jsem rád, že to vůbec někdo čte. Ten článek
jsem tam vložil já, protože pro naši společnost to je velmi důležitá zpráva."
Cítil jsem křivdu a potupu. Nejen že jsem nevěnoval dostatečnou pozornost
podstatě své práce a dopustil jsem, že i přes antivirové zabezpečení do firemní
sítě pronikl virus. Navíc jsem evidentně nastrčenou e-mailovou zprávu považoval
za původní. Znovu jsem se přesvědčil o tom, že je vždy nutné zajistit
dodržování základních zásad bezpečnosti. Jenom doufám, že jsem za své chyby
dostatečně pykal, takže mě alespoň v nejbližších dnech podobných zkoušek osud
ušetří.
Řešíte podobné problémy jako Vince Tuesday? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.