Víte, co provádějí vaši zaměstnanci? [IV] Unášíme firemní data

28. 2. 2007

Sdílet

Vítejte u dalšího pokračování naší série povídání o všemožných způsobech, jak „přemístit“ cenná a citlivá data z firemního síťového prostředí pomocí útoku „z vlastních řad“.

Už v předchozích dílech jsme se zastavili u obvyklých kanálů vhodných pro únik – připojování externího hardwaru či třeba využívání běžných možností práce po síti. Naznačili jsme možnosti zpětné kontroly i proaktivní ochrany. Předmětem posledního setkání pak byla jedna z činností, zahrnovaná mezi tzv. audit v širším smyslu slova, totiž logování. Od pořizování záznamů činnosti – logů – se dnes přeneseme k aktivitě statičtější, avšak neméně důležité: pořizování a udržování přehledu o konfiguraci síťového prostředí, především pak inkriminovaných pracovních stanic uživatelů. Protože najdeme-li něco, co tam nepatří, může to být dobrá stopa.
 
Síť jako na dlani
Za slovem audit se ukrývá nejen aktivní pořizování přehledu o aktuální činnosti operačních systémů a aplikací, ale často i činnost poněkud odlišná, kterou bychom mohli označit také jako pořizování přehledů konfigurace či stručně jako dálkovou, centrálně spravovanou inventarizaci. Protože v oblasti výpočetních technologií je audit opravdu přetíženým výrazem, řekněme ještě, že naším primárním cílem není sledovat počty licencí ve srovnání se skutečně instalovanými programy. V zájmu potřeby zamezit potenciální ztrátě citlivých dat se budeme zaměřovat spíše na pořizování jakýchsi otisků aktuální konfigurace, jež mohou při rutinním (v dobrém slova smyslu, míněno důsledném) prověřování upozornit na podezřelé aktivity.
Předmětem takovéhoto auditu může být velmi široká škála parametrů, a že jich moderní operační systémy nabízejí! Začněme od nejhrubší podoby, kdy pravidelně kontrolujeme výchozí hardwarovou konfiguraci a instalované aplikace. Postoupíme-li dále, můžeme si představit přehled stavu služeb systému či podrobnější konfiguraci vybraných programů, a při trošce té paranoie nám nečiní problémy si třeba usmyslet, že budeme sledovat sériová čísla síťových karet či pevných disků. Cíl je nasnadě: potřebujeme mít jistotu, že podstrčením jiného hardwaru či záludného softwaru nedochází k narušení kýženého bezpečného stavu.
 
 
Scénář čtvrtý
Auditujeme stav a konfiguraci počítačů
Na první pohled by se mohlo zdát, že masové nasazení výpočetní techniky v prakticky jakémkoliv odvětví, ve firmách od těch nejmenších až po giganty, s sebou zákonitě přinese nejen záplavu inventarizačních nástrojů, ale také bohaté zázemí pro tuto činnost v operačních systémech samotných. Zdaleka tomu tak není – ne že by programové vybavení chybělo, ovšem v operačním systému Windows, který najdeme na drtivé většině uživatelských stanic (jež nás jako terč útoku zajímají), zase není k dispozici příliš mnoho komunikačních rozhraní. Na jedné straně to situaci zjednodušuje – malý počet možností a standardů omezuje potenciální komplikace se vzájemnou kompatibilitou, na druhé straně jsou možnosti výběru a přizpůsobení našim potřebám omezeny.
Windows disponují především zásadním rozhraním Windows Management Instrumentation (WMI). Tato „detailní tvář“ PC a na něm běžících Windows je odvozena od otevřeného standardu DMTF (http://www.dmtf.org) a představuje v podstatě niterný základ valné většiny řešení pro auditování. Velkou výhodou je, jak si řekneme dále, že k WMI lze přistoupit i s poměrně skromnými prostředky.
Druhou principiální a historicky mnohem všestrannější možností je využití prověřeného a populárního protokolu Simple Network Management Protocol (SNMP). Jeho implementace jsou silně rozšířené i mimo platformy PC a představují tak poměrně všestranný způsob inventarizace. Zde se sluší uvést, že podpora na straně Windows – tedy existence služby typu „agent“ pro tento protokol – je poměrně slabá a nic nenaznačuje, že by Microsoft svou výchozí komponentu nějak významně vylepšoval. Nezbývá, než si ji přinést spolu s programovým vybavením a stanice v síti jí vybavit.
Pojďme se podívat blíže na některá praktická řešení, jež se k takovému účelu nabízejí.
 
Saháme přímo na WMI
Rozhraní WMI ve Windows je poměrně demokratické – přistoupit k němu totiž lze různými způsoby a nikdo, včetně těch nejskromnějších správců s omezeným rozpočtem, nemusí přijít zkrátka. Nabízejí se velmi dobré možnosti skriptování, takže inventuru systému lze provádět spouštěním přesně cílených dotazů v podobě skriptů ušitých na míru danému požadavku. Pro takovouto práci s WMI se nabízí hned několik cest: lze využívat skripty na platformě Windows Script Host, dále je od verze Windows XP k dispozici vynikající příkazová konzola WMIC, jednou z nejčerstvějších možností je pak zcela nový interpretr a konzolové ovládací rozhraní PowerShell. Přinejmenším pomocí těchto prostředků lze podrobně dokumentovat konfiguraci hardwaru, softwaru i podrobná nastavení Windows. Práci mohou rovněž usnadnit některé pomůcky, dostupné zdarma a pracující na bází výše popsaných skriptovacích technologií. Programy jako Scriptomatic, WMI Code Creator či PowerShell WMI Explorer jsou mistrovskými dílky svého druhu, nesmírně usnadňující tvorbu inventarizačních skriptů.
 
SODATSW – OptimAccess Solution
Řešení společnosti SODATSW stojí z hlediska našeho tématu někde uprostřed mezi oběma extrémy – přístupem k WMI „holýma rukama“ a silně vyhraněným auditovacím softwarem. Součástí uceleného, všestranného řešení je modul OptimAccess Computer Audit, jenž slouží přesně námi hledanému záměru, jak koneckonců už vyplývá z jeho jména. Protože celá kolekce je víceméně „bezpečnostně“ zaměřená, je zde audit v dobrém smyslu slova především poplatný této filozofii: při inventuře cílových počítačů lze rovnou sledovat, zda nechybí či naopak nepřebývají některé podezřelé hardwarové součásti. Nechybí však ani další funkce, zmíněné níže. Klíčovou roli hraje zaměření nikoliv třeba na licencování či vytížení aplikací podle potřeb uživatelů, ale na podezřelé odchylky „od normálu“ či změny předpokládané konfigurace, jež mohou poukazovat na nějakou nekalou činnost.
Stejně jako ostatní části celého řešení Op-
timAccess Solution je i audit spravován centrálně, k dispozici jsou různé sestavy a především pak jakési aktuální „snímky“ – záznamy momentálního stavu požadovaných stanic, u nichž je třeba provést namátkové kontroly. Lze též používat opakované snímkování v učených časových intervalech s následným vyhodnocením přesně definovaných sestav. Jako referenční materiál nám rovněž mohou posloužit šablony vzorových stanic, díky nimž je mnohem snazší odhalit změny a pokusy o neoprávněné instalace a rekonfigurace. Jak už jsme zmínili, z dalších funkcí nechybí třeba sledování využitých licencí, což dovoluje udržet kontrolu nad skutečným počtem používaných kopií aplikací, a při nasazení dalších modulů řešení (OptimAccess WorkSpy) lze takto třeba zjišťovat vytížení a využitelnost instalovaných programů.
 
AuditPro
Software tohoto jména z dílny společnosti truconneXion je představitelem velmi vyhraněného programového řešení svého druhu. Na rozdíl od předchozího příkladu byla v průběhu jeho vývoje hlavní metou dokonalá kontrola licencování provozovaného softwaru, k čemuž se dále váže rozšířená funkcionalita (filozofie je tedy vlastně opačná). V případě nasazení tohoto programového vybavení zjednodušeně řečeno platí pravidlo „čím větší síť, tím větší užitná hodnota“. Další možnosti, jako statistiky využití softwaru jednotlivými uživateli či třeba zátěž stanic v závislosti na provozu jednotlivých aplikací, jsou zajímavým měřítkem, jež získává smysl v komplikovaném síťovém prostředí. Jako „vedlejší evoluční produkt“ se nabízí rovněž třeba inventura hardwaru.
Po technologické stránce není toto řešení vlastně ničím převratné. Sběr dat a komunikace s cílovými stroji je řešena již zmíněnými technologiemi, jako jsou WMI či SNMP, a pokud budeme trochu přehánět, nejde v zásadě o nic, co by nešlo „naskriptovat“ – přidanou hodnotou jsou pak možnosti vyhodnocování souhrnů, průběžného automatického sledování či třeba dlouhodobé ukládání záznamů pro dlouhodobější analýzy. Velkou výhodou je pak u řešení tohoto typu schopnost identifikovat různý instalovaný software srovnáváním se známými vzorky, což třeba při skriptování představuje obtížně řešitelnou činnost.
 
Na co se těšit příště?
Na tomto místě jsme zvyklí naznačit, o čem bude následující pokračování. Protože i naše druhá série se nachýlila ke svému konci, rádi bychom zájemce o zde zpracovávanou tematiku vyzvali ke spolupráci: co by mělo být pokračováním našeho seriálu? Redakce i autor zvažují několik možností – od návratu k ryzí technologii s ukázkami implementace šifrování či řízení přístupu, přes koncepční povídání o tématech jako jsou struktury PKI, až k praktickým návodům na provádění typických úloh z oblasti monitorování, vyhodnocování logů či třeba forenzního auditu napadeného počítače. Ohlasy věrných čtenářů nám tedy mohou napomoci při rozhodování, jakým směrem má naše povídání pokračovat.

Jednou ze základních možností přístupu k rozhraní WMI je skriptování.
Existují dobré pomůcky zdarma, jež výrazně usnadní přípravu základní kostry.
 
AuditPro je vhodné pro sledování softwaru, ale hodí se i pro hardware.

Autor článku