Tomáš Přibyl
Možnost finančního zisku ve světě kybernetických útoků přitahuje "investory", takže rostoucí nebezpečnost ataků asi nikoho nepřekvapí. Kde jsou peníze, je i kvalita. Namísto dřívějších vandalů, kteří v kybernetickém světě útočili metodou "padni kam padni", jsou dnes útoky vedeny profesionály, kteří si přesně vybírají čas úderu, způsob jeho provedení a intenzitu s ohledem na nejslabší místa cíle.
EKONOMICKÉ MODELY ÚTOKU
Abychom si udělali jasnější představu o nebezpečnosti kybernetických útoků, pojďme se podívat na některé ekonomické modely takových útoků. Asi nejsnadněji představitelné jsou útoky proti internetovému bankovnictví nebo platebním systémům. Tam je jasné, že terčem zájmu útočníka jsou přihlašovací a ověřovací údaje s cílem neoprávněně manipulovat s finančními prostředky oběti. Z podobné kategorie jsou útoky proti internetovým telefonním systémům (VoIP). Jejich cílem je převést "kredit" nebo prostě jen telefonovat na účet napadeného.
Jasný ekonomický model útoku také představuje vydírání. Útočník nějakým způsobem získá interní údaje a hrozí jejich zveřejněním, pokud mu nebude zaplaceno odpovídající "výpalné". To je třeba pro instituci, jež dbá na diskrétnost a serióznost, vážné dilema - buď riskovat veřejné pranýřování, nebo v tichosti zaplatit z černých fondů. Buďte si ale jisti, že nezůstane u jedné jediné platby, protože ochota platit se v internetovém podsvětí velmi rychle rozkřikne. Na druhé straně představa vysvětlovat novinářům a klientům neschopnost zajistit bezpečnost jejich citlivých osobních dat také není lákavá. Nehledě na to, že dotazy může vznášet třeba i policie stran dodržování legislativních norem (například zákon o ochraně osobních údajů).
A pak existuje ještě jedna možnost vydírání - pomocí DoS útoků, za jejichž neprovedení, případně "ochranu" si agresoři nechávají dobře zaplatit. DoS je zkratkou anglického Denial of Service, odepření služby. Jde o vytvoření takového stavu, kdy oprávněný uživatel nemůže službu poptávat - nejčastěji se tak děje systémem ne nepodobným dopravní zácpě. Útočník vyšle proti napadenému www serveru celou salvu požadavků, pod jejichž množstvím se server zhroutí. To působí nejen značné nepříjemnosti, ale také ekonomické škody.
Jak se asi na nedostupnou www stránku třeba internetového bankovnictví, postavenou na nonstop dostupnosti odkudkoli, budou tvářit klienti?
A to jsme ještě nezmínili třeba průmyslovou špionáž, jejíž "výsledky" se dají lehce zpeněžit buď prodejem konkurenci, nebo vlastním podnikáním...
Na bankovní sektor se orientují také škodlivé kódy a viry. Třeba BugBear.B kontroloval po vstupu do počítače, zda nejde o stroj v bankovní síti některé z 1376 bank, jejichž seznam nesl s sebou. Pokud byl v bankovní síti, pokoušel se zjišťovat a odesílat hesla pomocí tzv. keyloggeru (snímač stisknutých kláves). Nešlo tedy o cílený útok proti internetovému bankovnictví, ale proti bankám samotným.
BANKA COBY (SPOLU)PACHATEL
Finanční instituce zpravidla hrají ve scénářích internetových útoků oběti. Tedy ty, kdo pečlivě střeží citlivá data a peníze a kdo statečně odolává útokům kybernetických nájezdníků. To je samozřejmě nejobvyklejší scénář, ale nikoli jediný možný. Mnohé případy z oblasti informační bezpečnosti ukazují, že tomu tak nemusí být vždy a že i banky nemají vždy zcela čisté svědomí.
Velký rozmach zažívají na internetu phishingové podvody, při nichž se útočníci pod nejrůznějšími záminkami snaží získat od uživatelů přihlašovací údaje, aby následně mohli manipulovat s jejich účty. Pravidlem číslo jedna je v takovém případě OVĚŘOVÁNÍ, protože i jednoduchá kontrola může napovědět, že stránka s formulářem nepatří inkriminované bance, ale hackerům. Nicméně všechno je jinak, pokud se hackerům podaří umístit svůj formulář na stránku skutečné bankovní instituce. Povedlo se to třeba v případě pobočky čínské banky China Construction Bank v Šanghaji (jde o jednu z největších čínských bank, která disponuje sítí 14 200 poboček).
Útočníci se v roce 2006 do serveru dokázali nabourat s tím, že do skrytých adresářů umístili své vlastní stránky. Následně rozeslali velké množství phishingových zpráv, kdy příjemcům slibovali částku dvaceti dolarů za vyplnění přiloženého dotazníku. Samozřejmě "výplatu" částky podmiňovali sdělením přihlašovacích údajů ke svému účtu.
Tento případ, kdy se bankovní ústav podílel na internetové kriminalitě, není ojedinělý. Americká Fidelity Bank zakoupila databázi 650 tisíc osob, jenomže tak vědomě porušila Drivers Privacy Protection Act (Zákon na ochranu soukromí řidičů). Jeho cílem je chránit řidiče před tím, aby bylo možné o nich zjistit nějaké osobní údaje na základě řidičských záznamů. Jako zajímavost uvádíme, že databáze řidičů byla zakoupena za 5656 dolarů. Padesátimilionová pokuta by každopádně měla být dostatečnou výstrahou pro každého, kdo by chtěl neoprávněně manipulovat s osobními daty.
NEPŘÍTEL SEDÍ U VEDLEJŠÍHO STOLU
Pár desítek dolarů stačí k tomu, aby si kdokoli na internetu koupil maličké "udělátko", ne větší než článek na prstu ruky dospělého člověka, které kolegovi umístí coby spojovací prvek mezi kabel klávesnice a počítač - a stane se tak hackerem. A jednou za čas si přijde data z udělátka přehrát, protože přes klávesnici se vkládá do počítače největší množství informací.
Právě spolupracovníci představují paradoxně největší nebezpečí. Fenomén "vnitřního nepřítele" si málokdo uvědomuje. Nemusí jít přitom o útočníka s vyloženě zlým úmyslem, ale i prostá zvědavost může napáchat nemalé škody. Kolega od vedlejšího stolu má totiž možnosti a znalosti, které útočník z druhého konce planety nikdy mít nemůže.
KOMPLEXNOST VE VŠECH PÁDECH
Z uvedeného přehledu, který rozhodně není kompletní a který měl za úkol na několika příkladech ukázat pestrost útoků, vyplývá několik skutečností. Jednou z nich je právě neuvěřitelná škála útoků, jimž je nutné čelit. Zabezpečení je zkrátka třeba řešit komplexně. V tom je nejpodstatnější rozdíl mezi (nejen) počítačovým útočníkem a obráncem. Zatímco útočník si vybírá nejslabší místo a nejméně vhodný okamžik pro svůj úder, obránce musí být stále ve střehu, neboť netuší, co, kdy, jak a kde na něj agresor připraví.
Moderní zabezpečení informační bezpečnosti musí mít několik vlastností. Jednak by mělo být několikastupňové, aby při výpadku nebo překonání jednoho prvku neměl útočník volné pole působnosti. Bezpečnost také musí být komplexní, aby neobsahovala hluchá místa nebo aby některé problémy nezůstaly neošetřené. Komplexní lze vnímat i ve smyslu "řízená z jednoho místa". Nejde jen o pohodlí správců, kteří vše mohou ovládat z jednoho počítače. Jde o víc - mnohým sofistikovaným útokům předchází určitý "průzkum terénu". Ten přitom může být zaregistrovaný tím, že se zkorelují data z několika různých prvků. Anebo také může být přehlédnutý, protože odpovídající data vůbec neexistují nebo se s nimi nepracuje.
BEZPEČNOST, KTERÁ MÁ SMYSL
Bezpečnost je třeba budovat koncepčně, nikoli chaoticky. To snižuje náklady na zabezpečení a zvyšuje jeho úroveň. Navíc odpovídá heslu "nejlepší útok je takový, který se vůbec nestane". Ucelenou bezpečnost pomůže vybudovat audit bezpečnosti, který zároveň může prověřit její funkčnost.
Dnešní bezpečnostní prvky nemohou jen pasivně odvracet útoky, ale je zapotřebí je aktivně vyhledávat. Krásně to ilustruje rozdíl mezi klasickými viry a dnešními škodlivými kódy (nejčastěji spyware, spy software, sledovací programy). Viry se šířily, takže není problém získávat vzorky - a na základě z nich vytvořených databází následně postavit celou antivirovou ochranu. Dnešní škodlivé kódy se šířit nemusí. Jsou masově rozeslané třeba jako spam a než je u výrobce připravena aktualizace programu, je dávno po útoku. Nebo jsou tyto kódy někde pasivně uložené na webových stránkách, na které útočníci navigují své oběti - vzorky se opět nedostanou do rukou specialistů. Proto je potřebné hledat nikoli konkrétní kódy, ale podezřelé projevy a události. A to je vlastně celá dnešní informační bezpečnost - nehledat něco, co známe, ale hledat něco, co neznáme.
Je třeba si uvědomit, že bezpečnost je nikdy nekončícím procesem. Fakt, že jsme zabezpečeni na vysokou míru dnes, neznamená, že jsme imunní vůči útokům. A stejně tak to neznamená, že jsme zabezpečeni i zítra, a už vůbec ne, že jsme zabezpečeni pozítří.
SOFTWARE A HARDWARE NEJSOU VŠE
Postavit bezpečnost na softwarových a hardwarových řešeních je přinejmenším krátkozraké. Může jít o sebelepší systém, ale když jej někdo obejde nebo uživatel vyzradí heslo, jsou veškeré investice zbytečné. Proto je nutné rovněž vzdělávat uživatele a postavit systém tak, aby byl co nejméně náchylný k selhání lidského faktoru.
Důraz je proto třeba klást na bezpečnostní politiku. Nejlepší situace totiž nastává, když není nutné ochranné prvky použít. Mnohdy jsou považované za dokonalé zajištění, ale to je mylný pohled - berme je spíše za záchrannou brzdu, když už selžou ostatní prvky systému. Důležitý je důraz na disciplínu a bezpečné chování. V případě bezpečnostních pravidel platí, že méně je někdy více. Než mít několikasetstránkový fascikl, který nikdy nikdo nepřečte a kterým se nikdo neřídí, je jednodušší mít deset nebo dvacet jasných srozumitelných pravidel, která si přečte každý a na která si vzpomene vždy, když je potřeba.
Neexistuje něco jako bezpečný a nebezpečný svět informačních technologií. Existuje jen jeden svět informačních technologií, který je však nebezpečný. Přesto se v něm lze poměrně bezpečně pohybovat, existovat i pracovat.
Tomáš Přibyl, nezávislý konzultant a publicista (www.kosmonaut.cz), se již devátým rokem věnuje problematice informační bezpečnosti. Je autorem či spoluautorem mnoha odborných i populárních článků a publikací, které vyšly v ČR i zahraničí.
Příklad technologií Microsoft ve finanční vertikále a oblasti zabezpečení
Největší české finanční instituce již dnes vkládají důvěru v technologie, produkty a řešení společnosti Microsoft i v oblasti tak citlivé, jakou je zabezpečení. Portfolio, které Microsoft nabízí, začíná aplikačními firewally na hranici sítě a končí řešením pro bezpečnostní dohled celé platformy. Jednou z finančních institucí, která se bezpečnosti věnuje velmi odpovědně a mimo jiné používá právě technologie Microsoft, je Česká pojišťovna.
Historie: Historický vývoj v České pojišťovně začal s ohledem na připojení k internetu v roce 1997. V té době zde bylo připojení ke světové síti dostupné několika uživatelům a jeho rychlost dosahovala 128 kbit/s. Začátkem roku 1998 byl kvůli řízení provozu a zabezpečení spojení nasazen produkt Microsoft Proxy Server 2.0, přičemž denní zatížení nepřesahovalo 30 až 40 uživatelských spojení.
Současnost (ochrana proti škodlivému software): Požadavky na kontrolu připojení k internetu, zabezpečení stahovaných a odesílaných dat a vůbec komplexní ochranu před malware, jsou dnes tak vysoké, že jeden produkt nebo jedna technologie nezaručí vysokou míru ochrany. Česká pojišťovna proto řeší tuto část technologického zabezpečení v rámci projektu "křížové ochrany" a kombinuje řadu nástrojů, aplikací a řešení.
Příkladem technologií společnosti Microsoft je použití aplikačních firewallů Microsoft ISA Server 2004 sloužících pro ochranu webových obchodních aplikací, pro přístup k elektronické poště, pro kontrolu a řízení přístupu na internet a pro speciální aplikace, kde je třeba vždy ověřit identitu uživatele. Celkové množství uživatelů, kteří využívají síťová pole ISA Serverů, je dnes více než 5000.
Česká pojišťovna také přidala další stupeň ochrany řešení - Microsoft Forefront jako další ochranu před viry a obtěžujícím spamem. V současné době provozuje toto řešení v rámci pilotního provozu a kontroluje stovky tisíc e-mailů za jediný den.
Přínosy technologií Microsoft: Řešení společnosti Microsoft vyhovují s ohledem na výkon, vysokou dostupnost a požadavkům na zabezpečení, které jsou zde stanoveny. Správcům zabezpečení přináší tato technologie především integraci do prostředí domény a zjednodušení práce, větší kontrolu nad provozem a také zvýšenou ochranu.
Ladislav Šolc
podnikový architekt společnosti Microsoft
