Podniková síť je bezpečná, ale co váš notebook na cestách

1. 9. 2003

Sdílet

Rozvoj IT a nárůst prodeje notebooků vzbuzují otázky týkající se zabezpečení informací při přenosech dat, ať už...
Rozvoj IT a nárůst prodeje notebooků vzbuzují otázky týkající se zabezpečení
informací při přenosech dat, ať už v těle přístroje nebo během datových
připojení. Přenosné a kapesní počítače mohou znamenat riziko také pro jinak
chráněné lokální sítě.
Otázka bezpečného používání informačních technologií mimo pracoviště je ve
srovnání s bezpečností v zaměstnání stále v pozadí. Přitom na cestách hrozí
nejen nebezpečí úniku citlivých dat, ale také ztráty samotného technického
vybavení a následné ztráty nejen citlivých, ale všech dat. Stejně jako bezpečný
provoz stabilního počítačového pracoviště má i zabezpečení informační techniky
a dat na cestách svoje zákonitosti.

Ochrana před ztrátou
Už v roce 1998 proběhl výzkum amerického Institutu pro počítačovou bezpečnost,
kterého se zúčastnilo 520 expertů na danou problematiku. Výsledná zpráva
přinesla překvapující výsledky. Krádeže laptopů byly v roce 1998 druhým
nejrozšířenějším počítačově orientovaným zločinem, se kterým se musely
společnosti využívající informační technologie vyrovnat. Na prvním místě byly
počítačové viry.
V roce 1999 bylo podle společnosti Safeware Insurance Group ukradeno 319 tisíc
přenosných počítačů, zatímco o rok později už to bylo 387 tisíc. Nejnovější
dostupná čísla pak hovoří o dalším nárůstu, který sice dosahuje pouze jednotek
procent, ale ve Spojených státech tvořila ztráta způsobená firmám krádežemi
přenosných počítačů v minulém roce 89 000 amerických dolarů na společnost.
Důležitost ochrany elektronických zařízení je tedy evidentní.

Jako s bicyklem
Asi nejdostupnějším a nejjednodušším mechanickým řešením, které zabrání příliš
snadné krádeži laptopu, je bezpečnostní kabel. Jediným požadavkem pro jeho
použití je Universal Security Slot (USS), kterým je vybaveno přibližně 80 %
všech dnes vyráběných notebooků. USS jednoduše umožňuje připojení
standardizovaných zámků opatřených kabelem z kvalitní oceli k tělu notebooku.
Bezpečnostní kabel pak funguje jako zámky a řetězy používané cyklisty se
srovnatelným úspěchem.
Stejně jako v případě zámku k jízdnímu kolu i v případě bezpečnostního kabelu k
notebooku je potřeba dbát na kvalitu provedení. Nejdůležitější je kvalitní
zámek, který nelze odemknout sponkou do vlasů. Je dobré zapomenout na
nekvalitní číselný zámek, u kterého lze správné nastavení získat během několika
sekund, a to i bez stetoskopu.

Pár překážek
Metod, jak zloději znemožnit či alespoň zkomplikovat život v případě, že už se
mu krádež povedla, je hned několik. Tou základní, která ale odradí jen velice
nezkušeného zloděje, je heslo požadované při spouštění počítače a heslo pro
přístup do operačního systému. Některé modely notebooků jsou vybaveny číselnými
klávesnicemi pro zadání numerického kódu, který je vyžadován při spuštění, a
protože je provázán s hardwarem, je obtížnější jej obejít. Podobně fungují i
přístroje vybavené biometrickými systémy. V případě notebooků jde o snímače
otisku prstů, ať už zabudované do těla přístroje výrobcem nebo v podobě
přídavné karty do PCMCIA slotu.
Viditelné a špatně odstranitelné označení vlastníka na těle přístroje a
příslušenství zase většinou zloději znesnadní prodej ukradeného notebooku. I v
zastavárně se budou zdráhat přijmout notebook křičící do světa jméno svého
pravého majitele. Pomůže rovněž skryté označení pro případ, že dojde k
odstranění viditelných identifikačních značek a vy svůj notebook najdete ve
vyhlášeném bazaru.

Elektronické oko
K navrácení přístroje majiteli může kromě šťastné náhody či práce policie
napomoci i využití systémů pro sledování. Sledování pohybu jakéhokoliv předmětu
je dnes pouze otázkou peněz. Je téměř jisté, že přístroje, kterými jsou
vybaveni špičkoví představitelé tajných služeb, takovou technologií disponují a
pořídit si ji může každý, kdo na ni má.
Kromě aktivních systémů existují i levnější a mnohem dostupnější řešení. Slibně
vypadá technologie TheftGuard od společnosti Phoenix Technologies. Ta má
umožnit vysledování notebooku po ukradení tak, že si přístroj při každém
přihlášení k internetu vymění informace se speciálním serverem. Pokud zjistí,
že je hlášena krádež, systém uzamkne či vykoná instrukce uvedené na serveru. Ty
mohou zahrnout i zformátování pevného disku. Notebook je pak možné vysledovat
díky IP adrese použité pro internetové připojení. I když jde podle Phoenixu o
neprůstřelný systém, výměnu dat lze zakázat při použití firewallu; jako ochrana
před běžným typem zlodějů však určitě poslouží.

Ochraňte alespoň data
Šikovný nebo spíše zkušený zloděj počítačů si s hesly v BIOSu nebo operačním
systému poradí. Pokud na notebooku máte citlivá data týkající se obchodních
tajemství nebo vlastní soukromé údaje, je nutné přistoupit k další úrovni
ochrany.
Základem je samozřejmě nastavené heslo pro přístup do operačního systému, ale
to se dá obejít. Při ochraně dat tak musíme přejít na vyšší úroveň, která
znamená využití šifrování. Šifrovat lze jak pouze vybraná data, tak celý pevný
disk.
V případě průběžného kryptování kompletního obsahu disku dochází ke zpomalení
práce, proto je jednodušší uchovávat tajná data pouze v několika zašifrovaných
souborech, jejž navíc nemusejí být na první pohled viditelné. Kromě komerčních
produktů, jako je Drive Crypt nebo BestCryp či kompletní balíček Pretty Good
Privacy, jsou k dispozici také produkty freewarové, které zahrnují PGP Disk z
verze PGP 6.0.2i.
Pro kryptografickou ochranu větších objemů dat se používají symetrické šifry. U
těchto šifer slouží jeden a tentýž klíč jak k zašifrování dat, tak i k jejich
dešifraci. Bezpečnost uložených dat ovlivňuje použitý kryptografický algoritmus
a délka použitého klíče. PGP a další nástroje nabízejí volbu několika různých
algoritmů a zároveň volbu délky použitého klíče. V případě velice rozšířeného
algoritmu DES je maximální možná délka klíče 56 bitů.
Vzhledem k vysokým nákladům potřebným na rozlomení šifry DES je pro běžné
nasazení stále ještě bez problémů použitelná. Za bezpečnou délku klíče však
dnes u symetrických šifer kryptografové považují 90 až 100 bitů. Klíče s těmito
hodnotami podporují například algoritmy Blowfish nebo IDEA.
Šifrovací klíče používané k ochraně dat je vhodné uchovávat mimo pevný disk
chráněného počítače. Ideálně na CD vizitkového formátu nebo na USB klíčence.
Ochranu dat lze navíc provázat s biometrickými technologiemi, které jsme už
zmínili dříve.

Nebezpečí na síti
I když jsme na začátku uvedli, že největší nebezpečí na cestách nepředstavují
hackeři, neznamená to, že by šlo o zanedbatelné riziko. Nutnost základní
ochrany počítače před nebezpečím skrytým v počítačových sítích je dobře známá.
Nejen na cestách, ale i v kanceláři je vhodné používat tři typy aplikací
chránících před útokem počítač i vaše data. Prvním základním kamenem ochrany je
antivirový software s pravidelnými aktualizacemi. Druhou vrstvou ochrany je
firewall, který chrání počítač před útoky hackerů a některých internetových
červů, jakým je například MSBlaster. Navíc může firewall odblokovat i reklamní
bannery a vyskakovací okna v internetovém prohlížeči. Třetí vrstvou ochrany
jsou aplikace schopné vyhledat spyware a trojské koně, které by pronikly do
systému.
Doporučit antivirový software je těžké na výběr je z řady českých i
zahraničních produktů. U každého z nich je důležité pravidelně aktualizovat
definiční soubory, a to nejlépe každý den.
Volba firewallu a jeho nastavení už je trochu složitější. Uživatelé Windows XP
mají možnost využít firewallu zabudovaného v operačním systému, který
zneviditelní počítač zvenku. Nezabrání však v přístupu na internet aplikacím, o
kterých nevíte, ale které přesto mohou nejen zbytečně zatěžovat linku, ale také
odesílat informace o vašem chování na internetu či o obsahu vašeho pevného
disku.
Řešením je instalace aplikačního firewallu nebo komplexního firewallu, který
umí pracovat jak přímo s transportní vrstvou, tak s vrstvou aplikační. V praxi
to znamená, že komplexní softwarový firewall umí blokovat komunikaci na
vybraných portech a protokolech i povolit či zakázat přístup k internetu
vybraným aplikacím.
Také v oblasti osobních firewallů je nabídka široká. Kromě nejznámějšího a
nejrozšířenějšího Zone Alarmu jsou v nabídce i méně známé produkty, jako je
Sygate Personal Firewall nebo Agnitum Outpost Firewall. Zapomenout nesmíme ani
na český Kerio Personal Firewall ve verzi 4.2. Všechny zmíněné aplikace
nabízejí třicetidenní zkušební lhůtu a také verzi zdarma pro nekomerční použití.
Nastavení firewallů je jednoduché, většinou už základní instalace poskytuje
dostatečnou ochranu. Při detekci aplikace, která se snaží získat přístup k
internetu, vyzve většina aplikačních firewallů uživatele k vytvoření pravidla.
To může přístup na internet povolit v jednom či v obou směrech, případně
zakázat, a to jak jednorázově, tak trvale. Pokud o nastavení firewallu
pochybujete, můžete využít některý z on-line testů simulujících běžné útoky na
váš počítač.
Pro používání firewallu platí jedno jednoduché pravidlo nepovolovat provoz
neznámých aplikací či služeb a pokud možno nepřerušovat provoz firewallu.

Domů jenom bezpečně
Zatímco firewall ochrání počítač před běžnými zvědavci, připojení k firemnímu
informačnímu systému je mnohem citlivější záležitostí, ke které je nutné
využívat technologii virtuálních privátních sítí. V průběhu obyčejného
připojení totiž data putují internetem v nešifrované podobě, a není tak nic
jednoduššího, než je po cestě odposlechnout.
Virtuální privátní sítě využívají pro přenos dat veřejné sítě, ale data, která
jimi proudí, jsou šifrována na protokolové vrstvě využitím IPSec (Internet
Protocol Security). Tuto službu nabízí firemním zákazníkům všichni větší
poskytovatelé internetového připojení. Předpokladem pro využívání služby je
instalace routeru s podporou IPSec v lokální síti či na intranetu zákazníka.
Kromě klasických providerů poskytují služby VPN rovněž mobilní operátoři, o
jejichž služby v této oblasti je díky rozšíření technologie GPRS poměrně značný
zájem. Kromě klasické VPN nabízejí provozovatelé mobilních sítí také
bezpečnější GPRS připojení přes vyhrazené přístupové body. Při využití této
služby není potřeba speciálního vybavení, takže je vhodné i pro menší firmy.
V případě VPN fungujících v prostředí mobilních sítí existuje ještě jedno
nepříliš diskutované riziko. Přístup ke službě je vázán na SIM kartu, na
telefonní číslo. Pokud někdo získá kopii SIM karty, získá tak také ověření pro
vzdálený přístup k firemním informačním systémům. Toto riziko není příliš
výrazné, ale existuje.
Klonování karet samo o sobě není u běžných SIM karet příliš náročné, problém
pro případného útočníka představuje získání originálu karty. Prozatím jedinou
dostupnou SIM kartou odolnou proti klonování je T-Mobile universal SIM. Ta je
vybavena šifrovacím algoritmem SAM pro přístup k síti. Za bezpečností karty
stojí použití nového šifrovacího algoritmu, který doposud nebyl kompromitován.
Pokud místo přístupu k intranetu nebo k informačním systémům ve firmě
potřebujete jen výměnu dat prostřednictvím elektronické pošty nebo instant
messengeru, můžete využít aplikace jako Pretty Good Privacy (PGP). V případě
elektronické komunikace je vhodné používat asymetrické šifrovací algoritmy,
které pracují se strukturou veřejných a privátních klíčů. To v praxi znamená,
že data určená dané osobě šifrujete s použitím jejího veřejného klíče. Zpráva
je pak nečitelná do okamžiku, než je dešifrována privátním klíčem. Bezpečnost
dat je zaručena tím, že z veřejného klíče nelze odvodit podobu klíče
soukromého. S pomocí PGP je možné šifrovat komunikaci i při použití ICQ nebo
obdobného programu.

Jak bez drátů
Na cestách dnes můžeme běžně používat bezdrátovou komunikaci jak pro přímý
přístup k internetu, tak pro propojení laptopu a mobilního telefonu. Slouží k
tomu technologie Wi-Fi pro přístup na internet a Bluetooth pro komunikaci mezi
elektronickými zařízeními na krátkou vzdálenost.
Charakter bezdrátových sítí sám o sobě vzbuzuje potřebu zabezpečení, protože
přístup k provozu v síti je velice snadné získat. I když je efektivní dosah
Wi-Fi sítí poměrně malý, v menší intenzitě se signál šíří daleko a s výkonnou
anténou je útočník schopen odhalit nezabezpečenou síť a zneužít ji minimálně k
bezplatnému přístupu na internet, ale v horším případě k datům proudícím sítí.
Ochrana v tomto případě není jen na vás.
Bezpečné bezdrátové připojení má zajistit především provozovatel přípojného
bodu. K základním bezpečnostním prvkům pat-ří šifrovací mechanismus Wired
Equivalent Privacy (WEP), který pracuje se 64 nebo 128bitovým klíčem. Tato
ochrana není příliš silná, ale bez aktivovaného WEP je Wi-Fi hotspot
jednoznačnou pozvánkou pro rádoby-hackery.
WEP navíc ve Wi-Fi síti chrání data pouze na cestě mezi vaším zařízením a
přístupovým bodem, dále po internetu jsou transportována v otevřené podobě,
proto i zde platí pravidla o použití šifrovacích metod. V případě Wi-Fi
hotspotů nabízených zavedenými ISP se pak automaticky nabízí využití služeb
VPN. V ostatních případech zůstává alternativou prosté šifrování e-mailové
komunikace a omezení práce na internetu na obyčejné prohlížení stránek bez
přístupu k citlivým datům.
Rizika používání bezdrátové sítě Bluetooth jsou pak asi nejmenším problémem,
který uživatele informačních technologií na cestách potká při dodržení jednoho
jediného pravidla. Bohužel, stejně jako Wi-Fi zařízení, i Bluetooth je dodáván
často se základním nastavením, při kterém jsou vypnuté bezpečnostní prvky. V
případě Bluetoothu je pro nechráněný přístroj hrozbou utilitka Red Fang, která
umí nechráněné zařízení odhalit. Odhalení je jen začátek, následně je možné na
nechráněné zařízení odeslat krátkou aplikaci, která umožní sběr informací.
Proti zařízením s aktivovaným zabezpečením je ale Red Fang neúčinný. Bluetooth
síť má navíc velice malý dosah a případného útočníka by bylo pravděpodobně
jednoduché odhalit.

Šťastně doma
Návrat do firemního prostředí ještě neznamená konec starostí. Při dodržení
zásad bezpečnosti by neměly nastat žádné problémy, přesto by bylo velice
nezodpovědné ihned po návratu do firmy připojit notebook do lokální sítě. Stroj
by měl místo toho projít karanténou nebo spíše otestováním firemním antivirovým
softwarem a dalšími nástroji.
Pokud se vám to zdá jako přehnaná starost, mýlíte se. Při nedávném útoku
internetového červa MSBlaster došlo i u nás k několika případům, kdy nic
netušící zaměstnanec pronesl tento vir dovnitř firemní sítě na notebooku, se
kterým byl předtím připojený do sítě u zákazníka či doma.