„O tej bezpečnosti“ s Jaroslavem Techlem, nezávislým odborníkem na ICT security, se dozvíte, jak k zajištění ICT bezpečnosti přistupovat, něco o Zákonu o kybernetické bezpečnosti, a také několik humorných „špeků“ doslova podle Murphyho zákonů i zákonů klasické grotesky – všechno je legrace, co se děje druhému. Přečtěte si tedy několika položených otázkách, jak k zajištění nejen podnikové ICT bezpečnosti přistupovat.
O tej bezpečnosti z pohledu firmy, ale i BFU, který v ní pracuje
Neznámé hrozby a útoky, jinak útoky nultého dne (zero-day attacks) se dají rozčlenit do několika částí. Jednak jsou ve hře státní organizace, které se zabývají útoky na prostředky ICT technologií, byly prokázány již mnohokrát, jde o regulérní zatím nekrvavou válku. Škodlivý kód je vpisován až na úroveň firmwaru disků a firmwaru počítačů a dalších součástí jako jsou třeba tiskárny, ale jsou pravděpodobně i ukradeny šifrovací kódy čipových karet a z minulosti jsou známy i útoky formou SMS které dokázali ovládat i dříve oblíbené telefony Nokia s OS Symbian. Ve firmwaru součástí počítačů takovéto škodlivé kódy obcházejí kontroly, které máme nainstalované a na v podstatě „hardwarové“ úrovni je ani nemáme šanci identifikovat, blokovat, ani odstranit… Prostředky, jaké jsou státy schopny a ochotny do něčeho podobného investovat, jsou tak vysoké a jdou na tak nízkou úroveň hardwaru, že proti nim dnes vlastně žádná ochrana neexistuje. Tím, jak se však takovéto kódy nacházejí a dochází k jejich reverznímu zkoumání, je pravděpodobné, že již v současnosti nebo v blízké budoucnosti toho budou schopny i nadané skupiny „nezávislých“ hackerů nebo i jednotlivci. Tato situace je roztáčející se spirála a stejně tak platí, jako v „běžné“ vojenské technologii, že obrana pokulhává většinou za útokem. Ono něco zničit bývá spojeno s menším nákladem a úsilím, než něco vytvořit.
Můžeme tedy oživit nedávné informace v masmédiích i ohledně zavirovaných discích a SIM kartách?
Nejen to, u SIM karet nešlo o zavirování, ale o krádež klíčů. Takováto SIM karta je sice bezpečná (neobsahuje škodlivý kód), avšak klíče na ní uložené jsou kompromitovány. To znamená, že některá ze státních organizací některého státu je s největší pravděpodobností má, takže může komunikaci bez jakékoliv další složitosti a dešifrování pomocí tohoto klíče číst.
Existuje tedy vůbec nějaká ochrana proti zero-day attacku?
Je to velmi problematické a neexistuje žádný stoprocentní stupeň ochrany. Musí jít o komplex způsobu chování a souboru technických zabezpečení, které jsou schopny nasadit a uskutečnit pouze velké společnosti. To znamená, že domácí uživatel nebude mít ani dostatek erudice, ani dostatek finančních prostředků, aby se dokázal bránit. Pokud se i na velkou a bohatou organizaci zaměří dostatečně sofistikovaná skupina a bude jí útok stát za to, vždy se povede. Jde tedy hlavně o to, aby si díky zvolenému zabezpečení útočník vybral pokud možno někoho jiného a ne ji, a o omezení rizikového chování. Domácím uživatelům lze doporučit oddělené prostředí pro zábavu, od prostředí pro práci či přístupy do banky.
Proč by se ale měl bát takového útoku domácí uživatel? Nedokážu si představit, že by měl někdo na svém domácím počítači nějaké „zlato“.
Úplně stačí, že všichni využíváme nějaké to elektronické bankovnictví a že je možné prostřednictvím informací, které máme na svém domácím PC, vyluxovat náš účet. Už jen to je velmi nepříjemné. Další hrozbou jsou krádeže identity a z nich vyplývající hrozby od založení organizace na naše jméno, nebo uzavřených závazků apod. Posuneme-li odpověď do firemní sféry, pak tyto informace z domácího PC úplně stačí k tomu, aby někdo zneužil moji elektronickou identitu a založil na ni novou společnost, čerpal úvěr, a takováto krádež osobních dokladů/identity pak může mít velmi nepříjemné důsledky. Osobně znám lidi, kterým byly obyčejné osobní doklady ukradeny, a přestože byla tato krádež nahlášena, stalo se jim, že na tyto doklady někdo odebral zboží, získal přístup k operátorovi, odebral telefony, a tito lidé řešili další rok až dva záležitosti spojené s touto krádeží, aby prokázali, že oni to nebyli, aby jim byl dluh smazán, aby byli smazáni z rejstříku dlužníků a v jednom případě dokonce, aby vůbec mohli opustit území našeho státu, protože na ně byl vydán zatykač… I toto nás nakonec stojí finanční prostředky, které nám nikdo nenahradí, protože útočníka na 99,9999… periodická 9… nikdo nikdy nenajde.
V případě zero-day attacku přece jen někteří experti, nebo spíše dodavatelé řešení tvrdí, že lze například využít technologii white-listu, schválených aplikací, které pro komunikaci mezi IS a přístupovým zařízením administrátor povolí, a zbytek zakáže.
O toto se snaží různé technologie, například výrobci antimalwarových technologií používají kromě databáze škodlivého kódu ještě databáze „hodného“ kódu, protože toho škodlivého je už dnes mnohem víc, a v rámci zrychlení kontrol a zjednodušení ochrany toto začíná být efektivnější cesta. Pokud jde o nasazení v organizacích, vyžaduje to striktně řízené prostředí, což je pro mnoho uživatelů, ale i organizací problém. Problémem tohoto řešení však také je, že se dá nasadit jen v prostředí organizací, což znamená stoprocentně čistý počítač po jeho instalaci, který administrátor uvede jako vzor, který je v souladu s bezpečnostními politikami organizace. Bohužel, tento počítač se v průběhu svého provozu neustále mění, ať už jen jeho aktualizacemi (updaty). V průběhu několika let jde o stovky GB dat, která musí administrátor neustále prověřovat. To nemluvíme o skutečnosti, že různí uživatelé potřebují různé aplikace a jejich varianty. Jak už jsme si ale řekli, už nově prodaný „čistý“ počítač v sobě může obsahovat adware nebo malware, jak se to stalo nedávno v Lenovu. Pakliže bude takovýto vzor ve white-listu, protože předpokládáme, že výrobce dodal nezavirovaný počítač, ani toto pak nepomůže. Zároveň nám toto nepomůže v rámci ošetření zranitelností aplikací, a těch je například i v běžných aplikací typu Adobe Acrobat, Flash player, JAVA a další, také dost, a jejich centrální aktualizace je často rovněž problematická. Nepomůže ani proti hrozbám, které jsou na nejnižší úrovni. Jde o hrozby, které mohou jít z firmwaru disku, které si tam zanesu prostřednictvím flash-paměti, který běží v operační paměti počítače, když pracuje. Všechny detekční programy se většinou snaží kontrolovat programy při jejich zápisu na disk nebo při čtení. Pouze v nějakých intervalech detekují, co se děje v paměti. Kód může přijít i z internetu prostřednictvím neznámé nebo neopečované zranitelnosti, spustí se pouze v operační paměti a ani se nepokouší vepsat se na disk. Takto běží v napadeném počítači, a dokud jej nevypnu, stále v něm je. Pokud black-list nebo white-list nekontroluje operační paměť v nějakých cyklech, nezabrání v běhu škodlivého programu, kterým už dávno nejsou jen viry.
U napadení disků, nebo počítačů Lenovo, může jít o nějaký úmysl vlády, v tomto případě čínské?
Není to tak dlouho, kdy jedna ze severoamerických vládních kontrolních komisí lobovala tehdy proti síťovým prvkům z Číny, také z důvodu jejich domnělé (ne)bezpečnosti.
Nepochybně může, jde o věc, kdo za oním útokem byl. Zjistit to je prakticky nemožné, jak už jsem zmínil, za takovýmito útoky bývají vlády, přinejmenším se to předpokládá. Konkrétního programátora, který vnesl škodlivý kód do firmwaru v systému, však nezjistíme. Nic není prokazatelné, kód nenese otisky prstů, takže se můžeme jen na základě programátorských testů a reverzního inženýrství jen domnívat, kdo byl oním tvůrcem, a jak vysoké byly náklady na jeho tvorbu. Navíc „program“, který Lenovo do základního image zaneslo, sám o sobě nebyl škodlivým kódem. On pouze škodlivý kód umožňoval do počítače zanést. V zásadě si toto dokážeme představit tak, že subjekt, který tento kód zakomponoval do standartního image, si potencionálně začal vytvářet největší botnetovou síť. Tedy síť počítačů, které mohu ovládat jiné a dávat jim úlohy, distribuovat na ně jakýkoliv kód, používat jejích výpočetní výkon, anebo je používat k rozesílání spamu. Případně takovouto síť s úspěchem prodat jinému útočníkovi.
Takže od původních hackerů, kteří se jen chtěli zviditelnit až srandovní programy způsobující padání písmenek z obrazovky, přes kradoucí hackery, se dostáváme až na úroveň států?
Neřekl bych, že ony původní hackerské úrovně nejsou, stále platí a stále nepochybně existuje mnoho lidí, kteří si chtějí udělat nějakou legrácku. Mohou s tím „jen“ začít a velká část z nich následně přecházet na úroveň hackerského byznysu, ať už pro sebe, nebo pro stát. Většina z nás začínala tím, že jsme naprogramovali něco, co běžně v systému a jeho prostředí nebylo možné, a od toho je jen krůček k hackerství.
Mohou viry, malware, vypouštět také firmy, které vyrábějí ochranné softwary?
Možné to je, nemyslím však, že pravděpodobné. Většina výrobců ochranného softwaru si ve svém společenství vyměňuje informace o nalezeném škodlivém kódu, už dávno nejde jen o viry, a rozesílají si jeho popis mezi sebou. Kdyby se provalilo, že některá z těchto společností vypustila sama škodlivý kód do světa, byl by to její konec. To, že pro „antivirové“ společnosti pracují lidé, kteří kdysi byli na oné temnější straně, je asi obecně uznávaný fakt. Dnes jde o polepšené „hodné“ hackery, kteří se snaží naopak vytvářet kódy, zamezující technikám útoků. Znovu opakuji, kdyby se prokázalo, že kdokoliv z organizace pracující v této branži napsal a vypustil škodlivý kód, byl by to její konec.
Můžeme si vzít za paralelu film s Leonardem DiCapriem Catch me if you can (Chyť mě, jestli můžeš)?
Nepochybně ano, i pro státní správy pracují lidé, kteří škodlivé kódy vytvářeli a někde se to museli naučit. Rozdíl mezi hodným a zlým hackerem je jen v tom, pro koho pracuje. Jedním z nejznámějších „zlých hochů“, který byl dopaden, a poté svoje vědomosti dal výměnou za propuštění z vězení do služeb americké vládě, byl Kevin Mitnick, který o svém působení na temné straně napsal knihu. V českém jazyce se jmenuje Umění klamu. Byl o něm v roce 2000 dokonce natočen film, který se v češtině jmenuje Nebezpečný kód. Reálie a reálnost obou ponechme stranou.
Další velmi obsáhlou kapitolou ohledně bezpečnosti jsou mobilní zařízení. Existuje zde něco bezpečného, nějaký únik před útoky? Vlastním smartphone s Windows Mobile a zvolil jsem tuto platformu i s ohledem na její malé rozšíření, celosvětově jen několikaprocentní. Položím opět filmovou otázku z Maratonce s Dustinem Hoffmanem: „Je to bezpečné?“
Toto je bohužel všeobecně přijímaný omyl. Samozřejmě, že pokud je platforma ve světě rozšířená, je možnost a pravděpodobnost napadení velká. Říkat si však, že pokud pracuji na platformě, která má malé pokrytí a díky toku jsem v bezpečí, není pravdivé. Například zrovna Windows Mobile se už dnes velmi přibližuje „dospělému“ operačnímu systému Windows, který je naopak velmi rozšířený ve světě PC a sbližování těchto platforem je značné. To znamená, že pokud programátor najde bezpečnostní díru v desktopovém systému, může předpokládat, že stejné programátorské postupy jsou použity i na mobilní platformě. Pokud tedy používám minoritní platformu, neznamená to, že jsem zabezpečen. Dnes už se prakticky nedá sehnat mobilní telefon, který se nedá napadnout. Takovým krásným příkladem je počet odhalených zranitelností na platformách pro PC, kde nejrozšířenější platforma (Windows) na tom byla z hlediska bezpečnosti lépe než ony minoritní. Takováto zpráva za rok 2014 je dostupná na thecrackernews. Z ní jednoznačně vyplývá, že nejvíce zranitelností bylo nalezeno na Apple Mac OS X, dále pak na Apple iOS, následně na Linuxu. Z pohledu aplikací to bylo nejvíce na Miscrosoft Internet Explorer, Google Chrome, Mozilla Firefox, které byly následovány Adobe Flash Player a Oracle Java.
Co stará dobrá Nokia?
I stará dobrá Nokia používala Symbian, na kterém se dala spustit aplikace, i pro tuto platformu existoval nějaký ten virus. Dokonce i pro mobilní telefony „bez operačního systému“ existovaly škodlivé kódy, třebaže jich bylo omezené množství a jejich funkčnost byla také omezená s tím, co jejich operační systémy umožňovaly. I na těchto prehistorických telefonech by však bylo možno spustit zajímavý škodlivý mikroprogram, například takový, jenž by přeposlal SMS s potvrzovacím bankovním kódem.
Stalo se Vám osobně, že byste zjistil na vašem smartphonu s Androidem, že byste detekoval nějaký bezpečnostní útok?
Ano, zachytil jsem jich už několik, snažily se mi do mého smartphonu prolámat. Proto například pro přístup do banky používám víceprvkovou autentizaci, která nemá vůbec nic společného ani s telefonem, ani se stolním počítačem.
Vraťme se do podnikového prostředí a možnostem obrany. Opět se zeptám na výše diskutovaný white-list pro přístup z mobilních zařízení k administrátorem schválených operací. Dá se vůbec bezpečně přistupovat k firemním aplikacím? Řada výrobců bezpečnostních technologií tvrdí, že mají lék právě na toto. Opět se zeptám otázkou z Maratonce: „Je to bezpečné?“
Nejprve bych asi zbořil mýtus, že něco je bezpečné. Pokud si myslíme, že aktuální stav je takový, že něco je bezpečné, je jen naše neznalost problémů a hrozeb útoku. Bezpečnost přístupu z jakéhokoliv zařízení, které infrastrukturu opouštějí a zase se do ní vracejí, navíc bývají připojeny k internetu, není na moc vysoké úrovni. I drahý software od světových firem, mnohdy ve spojení se specializovaným hardwarem (appliance) pro bezpečný přístup do podnikových aplikací a infrastruktury pouze snižuje riziko napadení s různou úrovní. Každý systém je napadnutelný. Už loňský rok a počátkem letošního roku byly napadeny bezpečnostní brány, které měly zabránit průniku a napadení podnikových infrastruktur. I na nich byly nalezeny bezpečnostní díry. Jde o programy jako jakékoliv jiné, píší je programátoři, a ti dělají chyby, jsou to lidé jako všichni ostatní. Vždy jde o to, jejich bezpečnostní systémy mají známé či neznámé zranitelnosti z hlediska útoku, který je proti nim veden. Zároveň, pokud takovéto bezpečnostní technologie nejsou neustále udržovány a upravována jejich pravidla a vytvářena nová, jejich účinnost klesá. Zakoupení jakékoliv technologie tedy není samospasitelné; jde hlavně o její nasazení a provozování. Tím vzniká další problém vyhodnocování obrovského množství informací tak, aby bylo možné udržet „dostatečnou“ úroveň ochrany. Pokud nezachytíme pokusy o neoprávněný přístup a nebo pokusy o útok, automatika si s nimi nemusí poradit.
Co si tedy máme představit pod pojmem chyba, bezpečnostní díra v prohlížeči, operačním systému, bezpečnostním systému?
Většinou jde o proměnné, které nemají ošetřenou definici velikosti. Jde o tzv. přetečení zásobníku, které umožní spuštění kódu na napadeném systému přímo v operační paměti pod právy, se kterými je napadená aplikace spuštěna. Dokážeme si to představit tak, že v aplikaci je nějaký zásobník (třeba sklenička o obsahu 2 decilitry), a není k tomu definováno co se má stát, když bude plný a budou přicházet další data. U skleničky se stane, že nám přeteče. Totéž se stane i u programu a jeho proměnné, jen se to dá přesněji změřit. Takže útočník pošle jakákoliv nesmyslná data, která zaplní proměnou, a ona data navíc pak budou škodlivým programem. Ten je tím pádem automaticky spuštěn do operační paměti a spustí operace, které po něm jeho tvůrce chtěl. Nebo útoky na nějakou funkci či službu, která může vykonat i jiné operace, než jaké její tvůrce původně chtěl.
Do firmy byl koupen originální počítač Lenovo s klasickým diskem od jednoho ze dvou až tří jediných světových výrobců, kteří z celé jejich hitparády zbyli, a vy teď takhle?!
Tomu se bohužel ubránit nedá. Pokud udělá takovouto chybu výrobce nelze se bránit. Zažil jsem už ale infikovaná instalační média od Microsoftu, historicky marketingová a instalační média od Digital Equipment (poté po akvizici Compaq, nakonec HP), ale i od jiných společností, opět už neexistujících. Tak tomu bylo a bude vždy. Je to něco podobného, jako když jdu na křižovatce na zelenou a předpokládám, že auta před přechodem stojí. Prostě někdy nestojí. Pokud by vždy a všichni dělali jen to co, se má, a podle pravidel, nepotřebovali bychom armádu, policii, soudce, a ani technologie ochrany. Vždy a všude bude docházet k chybám a útokům, a budeme proto potřebovat rozumnou úroveň ochrany.
Řeší tedy bezpečnostní technologie alespoň převážnou část bezpečnosti?
Většinou ano. Bohužel bezpečnostní technologie chybují, protože je píší lidé. Existuje mnoho případů, kdy se sama bezpečnostní technologie stala útokem. Posledním známým případem jsou nedávné nové definice IDS/IPS jednoho z výrobců bezpečnostního softwaru, které zapříčinily na téměř jeden celý den nefunkčnost Microsoft Internet Exploreru na všech platformách Windows. Způsobily totiž útok typu DoS (Denial of Service) na prohlížeč všech uživatelů, kteří tento bezpečnostní software používají. Hlavně, nesprávná nebo neúplná implementace bezpečnostních technologií může vést k mnohem větším problémům a důsledkům, než samotný útok, nebo může způsobit mnohem větší škody než útok sám.
To mi připomíná, že švagr, který je účetním a daňovým poradcem, si na svůj počítač s Windows XP, na kterém provozuje vlastnoručně napsaném účetním programu v prehistorickém systému PC Fand, běžícím v DOSovém režimu, a nainstaloval si Avast!, a ten mu odříznul komunikaci s tiskárnami.
To je jen menší problém. Existují antivirové definice, které způsobily smazání celých informačních systémů nebo aplikací. Šlo o smazání produkčních aplikací od společnosti Adobe, nebo smazání SAPových terminálů. Tyto incidenty proběhly jen kvůli chybnému označení kódu za škodlivý, čímž došlo k zastavení fungování celé infrastruktury.
Má tedy smysl vůbec koupit nějaký „antivirus“?
Ano, má. Určitě je to podmínka, nutná bohužel nikoliv však dostačující. Krom toho, že si uživatel takovouto ochranu od renomované společnosti pořídí a nasadí, však mnohdy vyvstává také otázka jejího nasazení a konfigurace, a v neposlední řadě i aktuálnosti a aktualizací. Zastaralá verze programu, i když bude mít aktuální definice, nebude dostatečnou a nebude schopna reagovat na nové verze hrozeb. Určitě je vhodnější si pořídit nějakou formu kombinované ochrany (AV, IDS/IPS, FW) případně i s integrací do internetových prohlížečů než samotný antivirus. Uživatelé pracující pro korporace, mnohdy mají možnost použít korporátní verzi ochrany i pro domácí užití tzv. „Home User Rights“ za zvýhodněných podmínek, a dostanou tak od svého administrátora předkonfigurovanou ochranu. To, co však musejí i nadále dělat, je udržovat operační systém a verze aplikací aktualizované. Jak již bylo řečeno, i aplikace jsou zodpovědné za bezpečnost, anebo naopak za nebezpečnost daného systému. Jednoduchý návod, jak získat vědomosti dostatečné k tomu, aby byl daný systém udržován správně, v podstatě neexistují. Domácím uživatelům, které „dozoruji“ ukazuji, jaké mají konat akce, a doporučuji jim, aby si postup napsali pro daný systém, a je-li to možné, snažím se jim ho automatizovat pomocí plánovaných úloh.
Aby z tohoto nebyli domácí uživatelé (nebo ti co vlastní malou firmu, kde je způob nakládání s IT podobný domácímu) příliš smutní, přidávám k lepšímu historku z korporátního prostředí jedné velké pojišťovny. Jednou byla nalezena hrozba v Microsoft SQL a byl na ní vytvořen škodlivý kód. Protože šlo o reálnou hrozbu a začínal víkend, rozhodli se administrátoři servery s Microsoft SQL odstavit a řešit vše až v pondělí. Bohužel už v sobotu ráno byla celá infrastruktura kompletně zahlcena daným škodlivým kódem. Jak se to mohlo stát? Zcela jednoduše – jedna z aplikací, která běžela na skoro všech PC, obsahovala Microsoft SQL Lite aniž by to administrátoři tušili, a dalo jim pak mnoho práce a úsilí uvést přes celý víkend infrastrukturu do takového stavu, aby aspoň v omezené podobě mohli v pondělí fungovat. Znamenalo to přizvání externistů, kteří jim pomáhali tento problém řešit, a náklady byly značné.
Kdybychom měli shrnout problematiku bezpečnosti dat a udělat závěr, co byste sdělil?
Lidé by si měli uvědomit, že počítače jsou technika, jako kterákoliv jiná. Má v sobě chyby, dělá je, a lidé by si měli uvědomit, že cokoliv s nimi dělá, se dotýká jejich digitální identity, která je zneužitelná, že to pro nás může mít nemilé dopady. Například bychom neměli psát na internet jména všech svých předků, neměli bychom psát do cloudů ukládat, koneckonců ani do počítačů, nic co nechceme aby bylo zveřejněno, případně bychom takováto data měli chránit, přinejmenším šifrou. Zrovna tak bychom neměli instalovat software z neoriginálních, nedůvěryhodných zdrojů. Myslím tím krádeže softwaru. Věřím tomu, že to uživatele svádí, ale extrémně nám tím narůstá riziko, že se nám někdo dostane do našeho systému, a ten pak zneužije.