Nejčastější způsoby, kterými útočníci překonávají zabezpečení IT infrastruktury

Zabezpečení podnikových sítí a ochrana citlivých dat je dlouhodobě ožehavým tématem. A přestože to může vypadat, že o bezpečnosti bylo napsáno více, než je zdrávo, opak je pravdou. Nejrůznější studie naznačují, že mnoho firem má v oblasti zabezpečení svých sítí problémy. Například průzkum americké organizace Computer Security Institute z roku 2007 říká, že s bezpečnostním incidentem se setkalo téměř 70 procent společností. Šlo se například o průnik do podnikového IS, zcizení firemních informací, finanční podvody, modifikaci dat či napadení podnikové sítě.

Vzrůstá také celkový počet útoků, které jsou na firmy vedeny, což potvrzuje i řada výrobců bezpečnostních řešení. „Díky nárůstu počtu počítačových hrozeb, specializujících se na vykrádání údajů, roste i počet útoků na vnitřní IT infrastrukturu v korporátním prostředí,“ uvedl pro server ITBiz.cz Juraj Malcho, vedoucí virové laboratoře společnosti ESET. Podle něj přibývají také cílené útoky, které bývají zaměřené na získávání citlivých dat a informací.

K efektivní obraně je v první řadě potřeba znát typy útoků, které jsou na firmy nejčastěji vedeny. Dalším krokem by mělo být získání podrobných informací o daných typech útoků, dále pak návrh a implementace vhodných protiopatření. Pochopitelně je také nutné tato opatření dodržovat a přizpůsobovat aktuálnímu dění na poli bezpečnosti.

Riziko 1: Hesla

Problematika hesel je diskutována od nepaměti, změnilo se toho však jen málo. K nakládání s nimi totiž mnoho lidí stále přistupuje velmi nezodpovědně a způsobují tak vrásky na čele prakticky všem správcům firemních sítí.

Zvyšující se výkony počítačových systémů činí prolamování hesel stále snadnější. Je proto důležité nalézt vhodný kompromis v délce hesla. Je jasné, že krátká hesla nebudou pro útočníky představovat větší problém, naproti tomu u dlouhých a komplikovaných hesel budou mít zaměstnanci tendenci si je zapisovat nebo používat pro přihlášení do více systémů současně. Nutná je také pravidelná obměna, což by si měl správce vynutit nastavením příslušných bezpečnostních zásad.

Útoky na hesla jsou stále docela časté, proto by se nemělo spoléhat pouze na tento jediný způsob autentizace uživatele. Účinná je například autentizace prostřednictvím tokenů nebo biometriky. Navíc v kombinaci s heslem posouvá úroveň zabezpečení mnohem výše. Vše se pochopitelně odvíjí od finančních možností firmy a nezbývá tedy doufat, že se víceúrovňová autentizace brzy stane i v menších firmách zcela běžnou záležitostí.

Riziko 2: Trojské koně

Škodlivé programy jako viry, červi či trojské koně jsou dnes již neodmyslitelnou součástí celého internetového světa. Zatímco většině z nich se lze účinně bránit instalací a pravidelnou aktualizací antivirových a dalších bezpečnostních aplikací, trojský kůň je ideálním prostředkem pro útočníka, který chce infiltrovat podnikovou síť. Mnoho z vás si určitě pamatuje taková jména jako Back Orifice, NetBus či SubSeven. Tyto programy už sice mají svá slavná léta za sebou, nové varianty trojských koňí však vznikají prakticky denně. Nejde přitom o nic složitého, k vytvoření vlastního kousku určitě není nutná státnice z programování.

Trojský kůň se obvykle tváří jako zcela legální program (hra, šikovná utilita, spořič, apod.), ve skutečnosti však tajně provádí škodlivé operace. To může zahrnovat například poškozování souborů, odposlouchávání stisknutých kláves, monitorování síťového provozu, sledování pohybu na webu, vytvoření zadních vrátek pro vzdálený přístup útočníka a celou škálu dalších činností. Stručně řečeno, jakmile je jednou trojský kůň uhnízděn v systému, může si útočník až do jeho odhalení dělat prakticky cokoliv.

„Instalací backdooru ve firemní síti, která není dobře zabezpečená, mohou útočníci získat dostatek údajů o struktuře sítě, hesla, firemní poštu a podobně,“ upozorňuje Juraj Malcho s tím, že malware využívají útočníci k ohrožení podnikových sítí stále častěji.

Trojský kůň může být doručen jako příloha v e-mailu, stažen z webu nebo se do počítače dostat na přenosném médiu. Zde pochopitelně platí zlaté pravidlo: nespouštět vše, co se nám dostane pod ruce, a zachovat si zdravý selský rozum. Doufejme, že časy, kdy se uživatel nechá nalákat fotkami nahé tenistky, jsou už přinejmenším na ústupu.

Riziko 3: Výchozí nastavení

Nic nečiní útok na cílovou síť jednodušší, než když jsou použita výchozí nastavení daná výrobcem použitých zařízení. Řada dostupných nástrojů a skriptů využívá právě tato výchozí nastavení, což v podstatě umožňuje vniknutí do sítě i méně zkušeným hackerům. Jde o jedno z nejčastěji přehlížených bezpečnostních opatření, spočívající v pouhé změně těchto hesel a nastavení.

Pro představu, jak rozsáhlé riziko se za tímto nenápadným problémem skrývá, stačí do některého vyhledávače zadat spojení „default passwords“, a vyjedou vám tisíce stránek nabízejících seznamy výchozích hesel snad pro všechna hardwarová a softwarová řešení, která kdy byla prodána.

Zůstat byste samozřejmě neměli jen u změny výchozích hesel. Bezpečnostní experti často doporučují, aby byla změněna všechna výchozí nastavení, od umístění instalace jednotlivých aplikací po nastavení síťového hardwaru. Síť nebo operační systém se tak proti tomuto typu útoku stane imunní.

Riziko 4: Bezdrátové sítě

Bezdrátové sítě mohou výrazně zjednodušit práci ve firmě a jejich implementace je navíc finančně mnohem méně náročná, než v případě klasické kabelové sítě. Největším problémem však zůstává zabezpečení, které je dáno povahou bezdrátového přenosu.

„Vysílaný signál se šíří prostředím a v případě nezabezpečené sítě se může nezvaný uživatel jednoduše připojit. A to i v případě, že se od vás nachází poměrně daleko – k tomu mu stačí například notebook a směrová anténa. Při budování firemní sítě je tento prvek obzvláště stěžejní,“ napsal v dřívějším článku Marek Štelčík.

Podle převládajícího názoru neposkytují bezdrátové sítě dostatečnou míru zabezpečení a jejich nasazení ve firemním prostředí je diskutabilní. S tím však nesouhlasí Juraj Malcho, podle něhož je možné bezdrátové sítě zabezpečit srovnatelně a v některých případech i lépe, než je tomu v případě pevných sítí. „Navzdory tomu většina bezdrátových sítí dnes není dostatečně zabezpečená. Hlavními příčinami bývá chybný výběr a implementace zabezpečovacích technologií,“ dodává vzápětí.

V zahraničí jsou známé i případy, kdy si zaměstnanci ve firmě vytvořili svou vlastní síť pomocí přineseného bezdrátového routeru, do kterého připojili síťový kabel z pracovního počítače. Podobná, mnohdy zcela nezabezpečená síť může mít pro firmu dalekosáhlé následky, stejně jako nedostatečné zabezpečení firemní bezdrátové sítě. Nedávejte proto útočníkům příležitost k snadnému proniknutí a zabezpečení věnujte patřičnou pozornost.

Riziko 5: Sběr dostupných informací

Před provedením samotného útoku na firmu věnuje dobrý hacker dlouhou dobu přípravě a sběru dostupných informací. Ty jsou v dnešní době tím nejcennějším, přesto mnoho organizací a firem své citlivé informace do světa vypouští doslova po kvantech. Za pár okamžiků může útočník získat docela pěkný obrázek o fungování firmy:

1) Jména vysokých představitelů a dalších zaměstnanců, adresy, telefonní kontakty či fax z tiskových zpráv nebo na webu společnosti,
2) Informací o vlastníkovi domény v registru whois
3) Informace o zaměstnancích, fotografie, dokumenty, plánované akce – vyhledávač Google je v tomto ohledu zlatý důl
4) Typ operačního systému, používaný software, programovací jazyky, výrobce používaných síťových zařízení a další informace z pracovních portálů
5) Fyzické zabezpečení budovy, ve které firma sídlí
6) Finanční výpisy, dopisy, účty, smlouvy, někdy dokonce vyřazený hardware v kontejnerech blízko firmy

Samy o sobě tyto informace působí neškodně, když se však shromáždí, mohou představovat určité riziko a být zneužity k provedení útoků. Ne nadarmo při dlouhodobě plánovaném cíleném útoku tráví hackeři až 90 procent času právě sběrem dat. Čím více informací dokážou získat, tím lépe mohou útok naplánovat.

Obrana je v tomto případě pochopitelně poněkud komplikovaná. Do jisté míry je možné únik informací regulovat, a to školením zaměstnanců, případně důslednější kontrolou vypouštěných prohlášení. Hlavní je však si tuto skutečnost uvědomit a počítat s ní v dalším zabezpečování podnikové sítě.

Riziko 6: Důvěra

Jak už bylo řečeno v úvodu, člověk představuje v zabezpečení vždy ten nejslabší článek. Dnešní bezpečnostní mechanismy fungují docela spolehlivě, a proto se útočníci stále častěji zaměřují právě na samotné zaměstnance. Sociální inženýrství, tedy technika získávání užitečných informací od různých lidí, kdy tito lidé netuší, že se stávají cílem útoku, je až překvapivě účinná.

Jedinou účinnou obranou je v tomto případě školení zaměstnanců, které však mnoho firem podceňuje. Potvrzuje to i Juraj Malcho ze společnosti ESET: „Jen velmi málo firem skutečně zodpovědně školí své zaměstnance v oblasti počítačové bezpečnosti. Naše zkušenosti s incidenty, při kterých dochází k infikování firemní sítě a počítačů, ukazují, že právě lidský faktor je ten největší problém.“

Na tento problém se dá nahlížet i z druhé strany. Studie totiž ukazují, že často je bezpečnostní incident způsoben interním zaměstnancem. Ať už se tedy útočník stane zaměstnancem dané firmy nebo dokáže některého zaměstnance pro své účely naverbovat, většina bezpečnostních opatření je proti vnitřnímu útoku prakticky neúčinná.

Pokud k něčemu podobnému dojde, je důležité, aby byla firma na tuto situaci připravena a měla krizový plán obsahující scénáře pro minimalizaci škod. To pochopitelně platí i pro útoky vedené zvenčí. Problematika krizových plánů by vydala na celý článek a v budoucnu se jí určitě budeme podrobněji věnovat.

Vyhlídky v příštím roce

Zabezpečení počítačů je nikdy nekončící proces. Rizika v podobě bezpečnostních děr, škodlivého malware, zcizení dat či financí se objevují neustále. Nejinak tomu bude i v budoucnu, záměry útočníků zůstanou stejné, změní se jen způsoby provedení. Společnosti ESET jsme se proto zeptali, jaká bezpečnostní rizika mohou firmy očekávat v roce 2009:

„V příštím roce bychom mohli očekávat další růst počtu hrozeb s komplexní funkcionalitou, využívajících všech dostupných možností k jejich šíření – prostřednictvím bezpečnostních děr, přes USB klíče až po zneužívání sociálního inženýrství v e-mailech a instant messagingu. Samozřejmostí bude neustálý vývoj maskovacích technik.“