Strach z chybějícího klíče

Pouhý nástin možnosti, že byl prozrazen firemní kořenový klíč PKI, hrozí podlomit důvěru v celou bezpečnostní in...


Pouhý nástin možnosti, že byl prozrazen firemní kořenový klíč PKI, hrozí
podlomit důvěru v celou bezpečnostní infrastrukturu.
Moje společnost má zavedeny formální procesy, podle nichž zachází se
zaměstnanci, kteří nás opouštějí. To nám pomáhá vyrovnat si rychle všechny účty
a zrušit ty, které jsou potřebné pro přístup k síti i v tak komplikované
situaci, jakou je např. rychlý vyhazov.
Myslím, že je třeba, aby se i v posledních chvílích zacházelo se zaměstnancem
na určité úrovni. Proto nechceme, aby se kdokoli dozvěděl o svém propuštění
jinak, než od někoho z personálního oddělení nebo od svého přímého nadřízeného.
Je ovšem zjevné, že v takové situaci musíme vždy podstoupit poměrně
komplikovanou posloupnost kroků. Přímo a rychle. V posledním případě jsme však
provedli nechtěný úkrok stranou.

Stalo se to
V rámci naší části celého procesu provede skupina podpory uživatelů PC
nastavení zákazu přístupu k síti a k e-mailovým účtům propouštěného, další
skupiny zakážou přístup k různým speciálním účtům na svých systémech, zajistí
ukončení kontraktu na mobilní telefon nebo ukončení služby vzdáleného přístupu
k síti a převezmou od zaměstnance příslušný hardware.
Vždycky jsem měl pocit, že jsme v rámci zmíněných postupů nalezli optimální
kompromis mezi požadavkem na ochranu naší společnosti před případnými excesy
odcházejících zaměstnanců a požadavkem na to, neporušit pravidla slušného
chování vůči lidem, kteří pro nás po nějakou dobu pracovali. A pak za mnou
jednoho dne přišli s tím, že člověk, který odešel asi před měsícem říkejme mu
třeba Nick se připojil ke kritickým serverům a že po jeho návštěvě chybějí
důležité soubory.
Jeden z nových členů mého týmu, říkejme mu třeba Bob, převzal Nickovu práci a
když se chystal otestovat soukromé klíče pro naše zákazníky, nemohl najít
testovací kořenový klíč. Při prohledávání serveru, na kterém měly příslušné
soubory být, objevil, že se někdo přihlásil pod Nickovým jménem a smazal je.
V infrastruktuře PKI (Public Key Infrastructure) se všechno vaří z kořenového
klíče (root key). Pokud ho máte, můžete vydávat své vlastní klíče pro jakoukoli
část svého systému a tvářit se, že jste kdokoli chcete. Bez kořenového klíče
nemůžeme vydávat žádné nové klíče a museli bychom přebudovat svou PKI zcela od
začátku. To je skutečně neradostná perspektiva.

Alarmující aktivita
Zpočátku jsem neměl příliš velký strach, protože šlo pouze o testovací systém.
Požádal jsem Boba, aby odpojil stroj od sítě a dal mi IP adresu, ze které bylo
s tímto počítačem navázáno inkriminované spojení. Poté jsem požádal síťový tým,
aby ho trasoval. Adresa spadala do intervalu, který máme vyhrazený pro vzdálený
přístup, a tak mohla patřit pouze zařízení v Nickově domě. Ukázalo se, že
Nickův účet pro Windows byl správně smazán, ale telefonní společnost neukončila
jeho linku a jeho unixový účet byl stále aktivní.
Ještě více alarmující byly počáteční reporty z analýzy odpojeného stroje. Unix
uchovává historii dosud provedených příkazů a z té se ukázalo, že z Nickova
účtu byla provedena celá řada "čisticích" operací. Byl vylistován obsah
adresáře za adresářem a následně tam bylo vždy vše smazáno.
To mohl být příznak normálního úklidu. Anebo také aktivit nějakého nezkušeného
uživatele se zlými úmysly. Unix zapisuje historii provedených příkazů na disk v
okamžiku, kdy se odpojíte. Pokud po sobě chcete zamést stopy, musíte se po
odpojení znovu připojit, smazat tento soubor a znovu se odhlásit. Jinak po sobě
necháte stopy stejně jako Nick v podobě přehledu všech příkazů, které jste na
počítači provedli.
S přístupem k přehledu jím provedených akcí jsme mohli vidět, že navštívil
adresáře obsahující klíče naší PKI, ale před tím, než je smazal, tyto soubory
neotevřel, ani si je nezkopíroval. Zkontroloval jsem samozřejmě všechny
sessions, které Nick s unixovým serverem měl a ani při jedné nedošlo k žádné
takové činnosti.
Kořenový klíč byl tedy v bezpečí, protože se Nick nepodíval na jeho obsah. Může
být ale obnoven tak, aby se daly znovu vydávat nové klíče? Nebo budeme muset
vytvořit nový kořenový klíč a poté přegenerovat i všechny klíče vytvořené pro
potřeby našeho testovacího prostředí PKI?
Za normálních okolností bychom použili diskovou utilitu pro obnovení souborů,
ale při tolika smazaných souborech současně by nebylo trasování toho souboru,
který jsme potřebovali, tak jednoduché. Potom Bob upozornil na skutečnost, že
všechny důležité soubory, a to včetně kořenového klíče, byly zkopírovány na
sdílený disk Windows NT.

Panika ze sdílení
Mezi tím jsem uskutečnil jeden naštvaný telefonát do telefonní společnosti a
přinutil šéfy skupiny pro systémové operace, aby rychle zalepili díry a
zajistili správný chod celého procesu, který tentokrát, zdá se, selhal. Vše se
však jevilo, že Nick naštěstí chtěl pouze uklidit disk smazat svoje soubory a
uvolnit tak diskový prostor. Nám neměla vzniknout žádná škoda. Nebo snad ano?
Bob se připojil na sdílený disk systému s Windows NT na jedno z míst, které je
široce otevřeno všem uživatelům, kteří potřebují dočasně sdílet nějaká data.
Došel do adresáře užívaného jeho týmem, poté přešel do sekce s testovacími
klíči do složky s názvem Test. Ale co je zač ten vedlejší adresář, který nese
označení Live?
Můj tep se na chvíli zastavil. Klíče pro náš živý systém jsou vytvářeny s
velikou péčí a pod přísným dohledem. Zpracovávány jsou na počítačích, které
nejsou připojeny k žádné externí síti. A jsou samozřejmě pečlivě zašifrovány,
kdykoli jsou přenášeny na záložní média.
Začal jsem si představovat dopady toho, kdyby ležely kdesi na široce přístupném
disku Windows NT, ke kterému se dostaly tisíce našich zaměstnanců. Museli
bychom okamžitě zastavit naše klíčové systémy, vyšetřit všechny přístupy,
abychom zjistili, že byly oprávněné, a upozornit všechny uživatele. Výsměch a
ponížení, kterého by se nám dostalo od našich zákazníků i od konkurence by byly
obrovské. "Live?" zeptal jsem se skutečně dost nervózně.
"Žádný strach," odpověděl Bob. "Někdo jenom přidal tenhle adresář proto, aby
zachoval strukturu konzistentní se všemi ostatními. Všude máme vždy složky Live
a Test. Podívej, je prázdná a vždycky byla."
Zkontroloval jsem logy z prováděných záloh, abych si ověřil, že se Bob nemýlil.
Teprve až poté jsem si zhluboka vydechl. Koncentrace všech práv a bezpečnosti
systému do několika malých souborů PKI omezuje území, které je třeba chránit a
usnadňuje nám soustředění se na to nejdůležitější. Ale kořenové klíče PKI také
velmi usnadňují vznik situace, kdy se vše obrátí do stavu naprostého průšvihu.
To alespoň naznačují mé zkušenosti.
Řešíte podobné problémy jako Vince Tuesday? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.