Jste IT manager střední firmy. Využití Internetu je pro podnikatelskou činnost vaší společnosti důležité, všichni zaměstnanci ho aktivně používají. Na Internet jste připojeni pevnou linkou prostřednictvím firewallu, někteří zaměstnanci využívají modemy pro spojení s bankou. Na bezpečnost kladete důraz.

Máte se čeho obávat? Jak to zjistíte?

Předpokládejme, že nejste exponovaným portálem, bankou či elektronickým obchodem, což jsou viditelné a pro hackery lákavé cíle. Přesto se může snadno stát, že padnete někomu do oka a on na vás zaútočí. Buď si vás hacker vybere záměrně (přímo jako cíl nebo pouze pro zamaskování útoku na jiný cíl) nebo skončíte na seznamu jeho potenciálních cílů, aniž bude znát vaší firmu jménem. Hackeři-začátečníci vybavení automatickými nástroji získanými na Internetu provádějí plošné prohledávání s cílem nalézt jakýkoli cíl. Monitorováním těchto aktivit se zabývá společný projekt bezpečnostních odborníků HoneyNet a výsledky jsou více než zajímavé. Počítače vybavené různými operačními systémy byly napadány již během prvních dnů po připojení do sítě (nejkratší doba byla 15 minut!). Pro útočníky přitom nebyly nijak zajímavé.

Shromažďování informací
Prvním krokem při prověřování možnosti útoku je shromažďování informací o cíli bez přímého kontaktu s ním (tzv. pasivní test). Cílem je vytvoření profilu testovaného subjektu na základě informací z veřejně dostupných zdrojů. Tímto způsobem lze jednoduše ověřit veřejnou dostupnost citlivých informací a zjistit možnost "zaměření" cíle (např. zjištění adres). Prostředkem jsou vyhledávací portály (standardní i fulltextové), registrační databáze (pro ČR je to RIPE), případně analýza záhlaví e-mailových zpráv, získání dat z DNS serverů, apod. Je třeba si uvědomit, že dostupnost některých citlivých informací (např. databáze RIPE) nelze ovlivnit.

Další možností je již identifikace cíle pomocí přímé interakce s cílovým systémem. Pro tuto činnost se využívají jednoduché pomůcky obsažené v operačních systémech (např. ping či traceroute) nebo přímo specializované nástroje. Tyto nástroje dokáží nalézt v cílovém adresním prostoru všechny případné cíle, aktivní služby na cílových strojích (např. mail či WWW server), případně určit i konkrétní aplikace a operační systémy.

Pokus o průnik
Po identifikaci všech dostupných informací jsou nové poznatky využity k útoku. Někteří útočníci se sběrem informací nezdržují a prostě vyzkouší při svém útoku všechny zranitelnosti známé pro různé typy systémů. Zranitelnost systému může být obsažena přímo v technologii (např. chyba v operačním systému) nebo může vzniknout v důsledku chyb v návrhu řešení či konkrétním nastavení. Největší díl odpovědnosti proto leží na správci systému, který musí všechna hlášení o chybách a vydaných opravách pečlivě sledovat a kvalitně aplikovat. Použité techniky se pohybují od velmi jednoduchých (vyzkoušení standardních či často využívaných hesel) až po poměrně sofistikované (např. vydávání se za důvěryhodného hostitele). Je třeba si uvědomit, že prolomení jednoho prvku v síti umožňuje následně snazší útok na prvky ostatní (monitorování vnitřní sítě, záznam využití klávesnice), a proto je nutné pojmout zabezpečení komplexně.

Prověrka firewallu
Správně nastavený firewall a další ochranné prvky mohou zásadním způsobem snížit pravděpodobnost útoku, minimálně od výše zmiňovaných "náhodných lovců", kteří hledají nezabezpečené služby pro otestování svého hackerského umění. Firewall by měl být pravidelně kontrolován a jeho nastavení by se mělo udržovat na maximálně možné restriktivní míře. Administrátor by se měl snažit jeho konfiguraci co nejvíce porozumět, nepojímat toto zařízení jako "černou skříňku". Pravidelná prověrka může odhalit rizika, která za současné konfigurace neumožňují přímo průnik, ale v souvislosti se změnou architektury sítě by jej umožnit mohla.

Wardialing - útok přes modemy
Nezapomínejme na modemová připojení. Mnoho firem investovalo velké prostředky do firewallu a zabezpečení pevné linky obecně, modemová spojení však nechrání vůbec. Wardialing využívá nedostatečně zabezpečená modemová připojení k průniku do vnitřní sítě. Opět lze využít automatické nástroje, které dokáží prohledat celý rozsah telefonických linek organizace a vyhledat modemová spojení. Stačí znát alespoň jedno telefonní číslo, které není problém najít v telefonním seznamu.

Námětem na samostatný článek jsou poté telefonní ústředny. Průnik do systému telefonní ústředny umožní útočníkovi například i obcházet přístupy pomocí jednorázových hesel.

Co průniky zevnitř?
Ze strany Internetu máte vše prověřeno a cítíte se bezpečně. Nezapomínejte však, že přes velkou medializaci hackerských útoků bezpečnostní průzkumy ukazují, že větší část narušení bezpečnosti je provedena z vnitřní sítě nebo na základě spolupráce s uživateli informačního systému. Ochrana proti těmto útočníkům je však ještě mnohem komplikovanější ...

Pozn.: Autor článku pracuje jako konzultant v oddělení Řízení informačních rizik společnosti KPMG.