Trojské koně komplikují přístup přes VPN

Cenově dostupná virtuální privátní síť založená na SSL zpřístupňuje firemní síť většímu množství vzdálen...


Cenově dostupná virtuální privátní síť založená na SSL zpřístupňuje firemní síť
většímu množství vzdálených uživatelů. Nese s sebou ale také nové bezpečnostní
problémy.
Ať si říká kdo chce co chce, nejdůležitějším dokumentem, který může odborník na
bezpečnost napsat, nejsou bezpečnostní směrnice, ale vlastní životopis. Nedávno
jsem životopisy pročítal potřebujeme totiž náhradu za jednoho pracovníka, který
přechází do naší newyorské pobočky.
Jeden životopis do hloubky popisoval zkušenosti a schopnosti uchazeče v oblasti
ISO 7799, avšak ISO 7799 je mezinárodním standardem pro "Kovové materiály
plechy a plechové pásy s tloušťkou 3 mm a nižší zkouška lámavosti střídavým
ohybem". Myslím, že zájemce o místo měl na mysli ISO 17799 "Pravidla pro řízení
bezpečnosti informací". Jeho smůla.
Dokonce i kandidáti, kteří zvládli napsat životopis bez chyb, postupně
odpadávali. Jeden z nich to vzdal během telefonického pohovoru, protože cítil,
že ho zpackal. Nezpackal tedy až do chvíle, než mi řekl, že to vzdává. Další mi
klidně mezi řečí sdělil heslo k firemní LAN. Opravdu jsem potom už o něj příliš
nestál.

Veřejná privátní síť
Mezi probíráním životopisů a organizací pohovorů se musím také věnovat skutečné
práci. Tento týden jsem potřeboval odsouhlasit systém pro bezpečný vzdálený
přístup.
V jednom ze svých minulých příspěvků (Computerworld číslo 2/2004) jsem psal o
spuštění plné virtuální soukromé sítě (VPN). Ta ovšem na straně vzdáleného
uživatele vyžaduje firemní počítač a příslušný hardware a software, takže bývá
velký počet zájemců vzhledem k nákladnosti tohoto řešení odmítnut. Ale i
uživatelé, kteří nemají k dispozici firemní počítač a připojení, by si chtěli
číst své e-maily a používat další aplikace na dálku. Stále více pracovníků má k
dispozici širokopásmové připojení. Pokud bychom disponovali nějakým odlehčeným
systémem pro vzdálený přístup, mohli by pracovat efektivněji.
Naše IT oddělení navrhlo řešení SSL VPN od firmy Citrix Systems, které dovoluje
uživatelům přístup do firemní sítě prostřednictvím webového prohlížeče. To
vypadalo zajímavě.
Avšak s každou metodou vzdáleného přístupu jsou spojeny bezpečnostní problémy.
V daném případě bychom otevřením naší firemní sítě vnějšímu světu mohli
způsobit únik důležitých informací, případně by mohl útočník obelstít naše
ochranné mechanismy.
K ověřování identity uživatelů využíváme SecurID technologii společnosti RSA
Security. Při přenosu jsou také data šifrována pomocí SSL. Zdá se, že vše je
náležitě zabezpečeno, ale co se stane, pokud je počítač vzdáleného uživatele
například infikován červem nebo virem? U takového napadeného počítače by mohlo
dojít k přesměrování připojení (session hijack) nebo k ukládání stisknutých
kláves či interních hesel. To se může stát v období mezi počátečním ověřením
totožnosti a okamžikem, kdy systém zašifruje data, která mají být odeslána.
Rádi bychom se tomuto nebezpečí vyhnuli, ale nemůžeme spoléhat na to, že
uživatelé budou instalovat, nastavovat, aktualizovat a udržovat nějaký rozumný
antivirový software. Řada z nich je totiž nepořádná a sledování aktualizací je
něco, čím se nebudou zatěžovat.
Když sedí na své židli ve firmě, jsme jim nablízku, ale u nich doma nejsme k
dispozici, abychom sledovali, co provádějí, a řešili případné problémy. A pokud
budou zaměstnanci přistupovat do firemní sítě z internetových kaváren po celém
světě, pak už se vůbec nemůžeme spolehnout na to, že budou mít k dispozici
příslušný klientský software.

Šikovné řešení
Abychom zmíněný problém obešli, rozhodli jsme se využít antivirové nástroje
Confidence Online od společnosti Whole Security. Ty jsou staženy a spuštěny
vždy, když se uživatel připojí přes internet. Vyhledávají běžné trojské koně a
software pro sledování úhozů klávesnice; pokud je vzdálený počítač infikován,
je připojení odmítnuto.
Zpočátku jsem byl vůči tomuto produktu poněkud podezřívavý, neboť jsem slyšel,
že podobné nástroje jsou často kompromisem v oblasti bezpečnosti hlavně proto,
že je obtížné zmenšit kód tak, aby jej bylo možné rychle stáhnout a spustit
přes vzdálené připojení. Některé konkurenční produkty se omezují pouze na
vyhledání názvu trojského koně jen málo útočníků je ale tak zdvořilých, aby
svůj software nazvalo stejným jménem, který je používán pro nějaký známý
škodlivý kód.
Výše zmíněný nástroj pro kontrolu trojských koní však nezklamal. Byl jsem
překvapen skutečností, že zvládl odhalit i trojské koně, jejichž název byl
změněn. A další překvapení následovalo při konečné fázi testování.
Infikoval jsem počítač desítkami trojských koní a poté jsem jej vyčistil pomocí
standardního antivirového softwaru, který naše firma používá. Možná byste si
mysleli, že poté, co bylo všechno, na co si antivirový software stěžoval,
smazáno, připojení by mělo být bezpečné. Ale nebylo tomu tak software pro
kontrolu trojských koní nedovolil připojení, dokud jsem nevymazal pět trojských
koní, které standardní antivirus ponechal bez povšimnutí.
Byl jsem opravdu rád, že kontrola trojských koní fungovala tak dobře, dal jsem
tedy VPN softwaru zelenou. Nicméně výsledky testů odhalily další řadu problémů.
Jestliže náš antivirus nedetekuje trojské koně, jak si můžeme být jisti, že
některý z těchto kódů neběží v interní síti naší firmy?
Dodavatelé antivirových nástrojů byli v minulosti žalováni autory jiného
softwaru, kteří tvrdili, že jejich trojské koně jsou legitimními nástroji pro
vzdálené ovládání počítače. Pokud antiviry nezachytí Windows Terminal Services,
pak by prý neměly detekovat ani jejich aplikace. S tím nesouhlasím a doufám, že
Confidence Online je bude v budoucnosti detekovat stejně dobře jako dnes.
Chystám se nasadit nástroj pro kontrolu trojských koní na naše firemní
intranetové webové servery, abychom mohli kontrolovat pracovní stanice
centrálně. Snad bude možné spustit testování pomocí přihlašovacích skriptů.
Když víte, že vzdálení uživatelé by mohli být chráněni více než ti interní,
cítíte se divně. Pokud se mi podaří konečně najít uchazeče, který zná rozdíl
mezi ohýbáním kovu a řízením bezpečnosti, snad mi pomůže tyto problémy vyřešit.
Řešíte podobné problémy jako Vince Tuesday? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.