Vaše bezpečnost v dalším období

V oblasti počítačové bezpečnosti, více než kde jinde, znamenalo datum 11. září 2001 významný přelom. Podle průzk...


V oblasti počítačové bezpečnosti, více než kde jinde, znamenalo datum 11. září
2001 významný přelom. Podle průzkumu, který udělal časopis Infoworld, očekává
více než polovina IT manažerů rapidní zvýšení výdajů na bezpečnost IT. Většina
bezpečnostních odborníků také uvádí, že po zářijových událostech je mnohem
jednodušší prosadit výdaje v této oblasti. Vedení firem (pravděpodobně hlavně v
USA) se obává možného nárůstu útoků na informační systém firmy. Zcela jistě lze
očekávat (první případy už jsou známy) značné zesílení tlaku na vládní kontrolu
silné kryptografie, snahu o zavedení jisté formy odposlechu a hlavně zpřísnění
standardů zabezpečení pro firmy, které spolupracují se státní sférou. Podívejme
se blíže na jednotlivé oblasti.
Počítačové viry
Podle výše uvedeného průzkumu se minimálně 44 procent firem setkalo s rozsáhlým
virovým napadením. Škody způsobené počítačovými viry pak převyšují 20 miliard
dolarů ročně. Jasně se ukazuje, že to, jestli je firma napadena virem nebo ne,
závisí především na štěstí a na programovém vybavení, které firma využívá. V
posledních letech naprostá většina virových infekcí pochází z příloh
elektronické pošty. Výrobci na tento trend samozřejmě reagují. Přesouvají
zodpovědnost za různé přílohy z klientských stanic na poštovní servery či přímo
SMTP brány. Jedním z příkladů může být i Kaspersky Anti-Virus for SMTP
gateways, který byl představen na Comdexu. Cílem je zachytit zavirované e-maily
co nejdříve. Kaspersky funguje na mnoha platformách MS Exchange, Lotus Notes,
Sendmail, Qmail, Postfix. Serverové produkty nabízejí i další známí výrobci,
jako je například Computer Associates nebo Symantec, ale většinou jen pro MS
Exchange a Lotus Notes. Navíc Symantec pouze pro operační systém Windows.
Dá se předpokládat, že on-line aktualizace antivirových programů, distribuce
aktuálních databází (jak jinak lze ošetřit masové šíření virů typu I Love You,
které za několik hodin obletěly celý svět?), zasílání podezřelých souborů k
analýze a podobné věci se stanou naprostým standardem.
Nebezpečný Internet
Stejný průzkum časopisu Infoworld uvedl, že více než osm procent firem bylo
postiženo DoS útokem. Dalších osm utrpělo nemalé finanční ztráty způsobené
hacknutím Webu a nežádoucími změnami jejich Webu. V případě druhého problému je
řešení jasné instalovat co nejvíce bezpečnostních záplat, využívat všech
možností zabezpečení SW, nechat konfigurovat bezpečnost firemního informačního
systému opravdové odborníky (viz dále část Outsourcing bezpečnosti). Problém je
ovšem s útoky na dostupnost Denial of Servise (DoS), případně Distributed DoS
(DDoS). Kvůli principu těchto útoků (běžné žádosti o informace zasílané masově
z obecně náhodných počítačů v Internetu) dosud není známa žádná funkční
prevence. Pokud tedy pomineme čistě teoretickou možnost, že by byly zabezpečeny
všechny potenciální "hltící" počítače, tedy kterýkoliv počítač v Internetu,
který může být hackerem využit k zasílání požadavků na server-oběť. Je ovšem
velmi pravděpodobné, že této oblasti věnují vývojová oddělení firem v nejbližší
době velkou pozornost.
S Internetem souvisí i oblast externího hackingu firemních systémů. Více než
osmnáct procent firem přiznává, že jejich systém byl v letošním roce úspěšně
napaden. Jelikož se předpokládá nárůst snah v této oblasti (hlavně díky
rozšiřování Internetu), nezbývá než chovat se podobně, jako v případě hackingu
webových stránek instalovat všechny dostupné hotfixy, dobře konfigurovat atd.
Kryptografie
Jelikož byl v době nedávno minulé schválen nový standard AES, lze očekávat
pouze jediné. Totiž dokončení přechodu ze starého nevyhovujícího DESu na nový
AES. AES bude pravděpodobně ještě několik let vyhovující, takže pokud už máte
přechod za sebou, máte nějakou dobu volno.
Rozhodně lze očekávat přehodnocení exportní politiky USA pro silnou
kryptografii, zavedení nových standardů pro státní (nebo na státních zakázkách
se podílející) firmy, tlak na prosazení odposlechu a jiné věci znesnadňující
práci teroristickým skupinám.
Outsourcing bezpečnosti
Zajišťovat bezpečnost IT vlastními silami, to už si jen tak leckterá firma
nemůže dovolit. Výchova a udržování (tedy průběžné proškolování) bezpečnostních
specialistů je nesmírně nákladné a navíc nemáte jistotu, že specialista obsáhne
opravdu všechny dovednosti, které bude potřebovat. Řada firem (v USA přibližně
20 procent, v Česku asi o mnoho méně) se proto uchyluje k outsourcování
bezpečnostních služeb. Je tu sice jistá nevýhoda do firmy se vám dostanou zcela
cizí lidé, ovšem v naprosté většině případů to paradoxně povede k rapidnímu
zvýšení bezpečnosti. V nejbližších letech se očekává zvýšení podílu firem,
které své bezpečnostní záležitosti přenechají na starosti někomu jinému.
Uživatelé nejslabší článek
Nejslabším článek jakéhokoliv informačního systému je vždy člověk. Výzkumy
ukazují, že naprostá většina bezpečnostních problémů je způsobena neznalostí
(kupodivu nikoli zlým úmyslem) vnitrofiremních uživatelů. Špatná volba
uživatelských hesel, nekonzistentní bezpečnostní politika společnosti, případně
její nedbalé prosazování, nezainteresovaný přístup uživatelů k oblasti
bezpečnosti IT, to jsou hlavní důvody bezpečnostních problémů s uživateli.
Poslední verze softwaru (viz například Microsoft Windows XP) ukazují, že cesta
vede k co největšímu omezení práv běžného uživatele. Skalní Unixáři okamžitě
namítnou, že to už je tady dávno. Je to sice pravda, ale konečně je tu naděje,
že dojde k rozšíření těchto restrikcí i mezi běžné uživatele. Což tu od let,
kdy se začal masivně používat DOS, ještě nebylo. Snad s výjimkou Windows
NT/2000.
MS Passport otazníky
Microsoft .Net Passport je pokus Microsoftu o vytvoření digitální identity
každého uživatele. Princip celé metody spočívá v centrálním uložení všech
uživatelských dat (login, e-mail, číslo kreditní karty, adresa atd.) na
důvěryhodném serveru Microsoftu. Při návštěvě serveru zapojeného do "komunity
MS Passport" identifikuje server přihlášeného uživatele automaticky. Pokud se
například pokusíme nakoupit na takovém serveru zboží, doplní .Net Passport (po
zadání hesla) všechny údaje, bez nutnosti jejich stálého zadávání (na co pořád
opisovat adresu pro zaslání a číslo své kreditní karty?). Passport má obrovské
množství uživatelů, i když většina z nich tuto službu nijak nepoužívá. Čím to
je? Na účty Passport byly totiž automaticky převedeny veškeré e-mailové účty
Hotmail.
Nedávno oběhla celý svět zpráva o úspěšném napadení autentizace do systému
Passport (viz například http://
www.underground.cz/725, či přímo popis napadení
http://alive.znep.com/~marcs/passport). Útočník zašle vybranému uživateli
speciální e-mail, který patnáct minut po svém přečtení (respektive po tom, co
si uživatel přečte poštu a místo aby se odhlásil, udělá prostě to, co uživatelé
většinou dělají zavře okno prohlížeče) vezme pomocí speciálního kódu všechna
cookies, které uživatele identifikují, a zašle je útočníkovi. Microsoft na
celou kauzu reagoval prohlášením, že zkrátí patnáctiminutovou dobu, po kterou
zůstává uživatel nalogován. Lidé využívající Windows XP by měli být mimo
nebezpečí.
Pokud se Microsoftu vhodným způsobem podaří včlenit technologie .NET Passportu
do svého softwaru (a vyhnout se všem antimonopolním soudům s těmito kroky
spojeným), lze očekávat masivní nárůst jak na straně uživatelů, kteří Passport
využijí, tak na straně zapojených serverů. Jako možné využití ve firmě se
nabízí řízení přístupu k internímu firemnímu portálu.
Budoucnost v mikročipech
Pokud firmy používají k identifikaci zaměstnanců nějaký druh karet, pak se v
drtivé většině jedná o klasické s magnetickým proužkem. Jak snadné je takovou
kartu okopírovat, to nám všem ukázala skupina podvodníků s platebními kartami v
několika posledních týdnech. Tato skupina instalovala do bankomatů ČSOB skrytá
zařízení, kterými přečetla klientovu kartu. Kamerou vysledovala PIN a pak už
vyráběla duplicitní karty se stejnými daty na magnetickém proužku.
Jediné řešení tohoto problému je přechod k čipovým smart kartám vybaveným
kryptografickými technologiemi. Taková karta například nevydá přihlašovací
jméno uživatele, pokud jí čtečka nepředá správným protokolem PIN. Okopírování
je tedy oproti kartám s magnetickým proužkem značně znesnadněno. Ano, u karet s
magnetickým proužkem také zadáváte PIN. Ten ovšem slouží k autorizaci různých
operací a odchází společně s daty z karty. U čipové karty se však PIN musí
zadat k tomu, aby karta vůbec zpřístupnila data v čipu uložená. Je téměř jisté,
že v nejbližších letech nastane masivní přechod k čipovým smart kartám.
Například podle Jana Čárného, ředitele Europay International pro Česko a
Slovensko, bude čip u karet Maestro povinně od ledna 2005. U "lepších" karet
EC/MC však žádný termín ještě stanoven nebyl. Přesto se však předpokládá, že
přechod u těchto karet bude podpořen kartami Maestro.
Jako zajímavá novinka se jeví spojení chytré karty a biometriky. Na kartě je
integrovaná čtečka otisku prstu a karta vydá PIN (či provede jiné potřebné
operace) jen tehdy, pokud je na čtecí políčko přitlačen ten správný prst.
Mobilní bezpečnost
Počet mobilních telefonů se v posledním roce téměř zdvojnásobil. Podobný růst
zaznamenala oblast osobních digitálních asistentů PDA. I na základě trendů z
Comdexu lze usoudit, že penetrace mobilních zařízení i v příštím období prudce
poroste.
Je tedy nutné myslet na bezpečnostní rizika, která jejich využívání přináší. V
souvislosti s teroristickými útoky na USA se dokonce objevily snahy o omezení
prodeje anonymních předplacených mobilních sad. Zvyšují se snahy o povinné
umožnění odposlechu šifrovaných mobilních hovorů. Vzhledem k rozvoji m-commerce
a GSM Bankingu lze očekávat vzrůst sofistikovaných útoků i na tyto technologie.
Legalizace softwaru
Major Jiří Dastych, který bojoval kromě nelegálního softwaru například i s
hackerskou skupinou Czert, sice řady české policie na konci srpna opustil
(odešel do PVT), to ovšem nic nemění na faktu, že bude nadále růst tlak výrobců
na užívání legálních kopií softwaru. Je docela dobře možné, že lobbistické
skupiny prosadí v parlamentu zavedení zákonných opatření umožňující důslednější
kontrolu dodržování ustanovení autorského zákona. Řada programů už dnes zasílá
po Internetu informace o tom, na kterém počítači jsou právě spuštěny (viz známá
kauza s Real Playerem, který odesílal nejrůznější informace o počítači, na
kterém byl spuštěn IP adresu, své sériové číslo a skladby, které uživatel
poslouchá nejčastěji. Prezentováno to bylo jako marketingový výzkum preferencí
uživatelů, ovšem bez jejich vědomí).
Biometrie
V oblasti biometrických autentizačních metod bylo v průběhu letošního roku
investováno asi 523 milionů dolarů s předpokladem investic v hodnotě 730
milionů dolarů příští rok. Na veletrhu Comdex byla představena celá řada
novinek z této oblasti. Například čtečku otisků prstů včetně veškerého
programového vybavení je možno pořídit v cenových relacích okolo 150 dolarů za
kus. Biometrické oddělení společnosti Siemens představilo novou verzi své
identifikační myši (ID Mouse), která připomíná vzhledem standardní myš. Toto
zařízení dokáže zjistit otisk prstu uživatele a zablokovat tak neoprávněným
osobám přístup k počítači. Myš se dodává s programovým vybavením pro Windows
98, Me, 2000 a NT 4.0 v ceně okolo 120 dolarů. Na Comdexu byla předvedena živě
ve spolupráci s Windows XP a přihlašováním několika současných uživatelů
stanice. U nás však po ní zatím není ani vidu, ani slechu. Z výzkumů a zpráv o
prodeji představených v rámci Comdexu vyplynulo, že více než polovina všech
firem využívajících biometriku využívá sken otisku prstů. Tato metoda je
následována s velkým odstupem rozpoznáváním obličeje (15 procent) a scanem oční
duhovky (6 procent). Většina uživatelů by se nejraději autentizovala přiložením
prstu na čtečku otisků. Kupodivu nejmenší procento uživatelů má v oblibě
techniku rozpoznávání podle rytmu psaní na klávesnici.
Vzhledem ke stále větší zhýčkanosti řadových uživatelů lze předpokládat značný
rozmach v oblasti autentizace biometrickými metodami. Přece jen je mnohem
jednodušší položit na určené místo palec pravé ruky, než si pamatovat a
pravidelně měnit kvalitní heslo.
Lepší časy?
Po zářijových událostech by mělo být snadnější získat od vedení firmy peníze na
tuto oblast. Lze ovšem očekávat zavedení, případně zesílení restrikcí na
některé bezpečnostní technologie. Se zvýšeným pronikáním Internetu do všech
sfér firemního života budou firmy donuceny zajistit bezpečnost svých
informačních systémů. Jednou z možností je i zmíněná biometrie. Pokud budou k
dispozici kvalitní biometrické periferie, sníží se nebezpečí "náhodného"
napadení systému ze strany uživatelů.
1 2018 / rsmn
Desatero Jak na uživatele1.Buďte o krok vpředu. Vytvořte důvěryhodný systém
přístupových práv a jejich přidělování pro důležitá firemní data.
2.Identifikujte nevyužívané uživatelské účty a včas je rušte. Může se jednat
například o pozůstatky po propuštěných zaměstnancích.
3.Zautomatizujte komunikaci mezi IT oddělením a personálním oddělením. Pověřte
osobu, která bude zodpovědná za přidělování přístupových práv v každém
jednotlivém oddělení.
4.Určete přesně, kdo potřebuje která data. Dát všem uživatelům přístup ke všem
datům, to asi není vhodné řešení.
5.Nezapomeňte na sdílení dat mezi více uživateli. Je to nejlepší cesta, jak
zamezit "půjčování" hesel.
6.Správně nastavte uživatelům počáteční hesla.
7.Zveřejněte všechny bezpečnostní procedury. Všichni uživatelé by o nich měli
být informování minimálně jednou ročně, nejlépe formou pravidelného školení.
8.Zrušeným uživatelským účtům odeberte všechna přístupová práva, pokud se tak
nestane automaticky.
9.Seznamte všechny uživatele s omezeními, která zavádíte. Budou se s tím muset
smířit.
10.Příležitost dělá zloděje. Pokuste se tomu předejít.
Linux jako všelék?
Řada příznivců operačního systému Linux očekává značné zlepšení bezpečnostní
situace ihned po jeho masivním rozšíření. I za předpokladu, že k takovému
rozšíření v blízké budoucnosti dojde, nezastávám názor, že to povede k
masivnímu zlepšení přístupu uživatelů k počítačové bezpečnosti. Často se totiž
zapomíná na jeden podstatný problém. Současní uživatelé Linuxu nejsou
reprezentativním vzorkem uživatelů výpočetní techniky (tím vzorkem jsou ovšem
uživatelé Windows produktů) jedná se v naprosté většině případů o počítačové
specialisty, kteří si jasně uvědomují palčivost problémů počítačové
bezpečnosti, jsou schopni si svůj systém konfigurovat a využít všech jeho
bezpečnostních možností. Jakmile ovšem Linux začne využívat i obrovská masa
nevzdělaných (v oblasti IT) uživatelů, není možno předpokládat, že budou o svůj
systém pečovat stejně. Nastane podobná situace jako u Windows systémy bez
nainstalovaných záplat s ponechaným standardním bezpečnostním nastavením atd.
AES versus DES
Po dlouhém kralování kryptografického algoritmu DES (Data Encryption Standard)
vyhlásil NIST (American National Institute for Standardization and Technology)
soutěž o návrh nového amerického šifrovacího standardu AES (American Encryption
Standard). Z 21 účastníků z 11 zemí byl nakonec vybrán algoritmus Rijndael.
Jedná se, podobně jako v případě původního DESu, o symetrický algoritmus.
Bližší informace na adrese: http://www.esat.kuleuven.ac.
be/cosic/press/pr_aes_english.html)

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.