2/2 přehled zajímavostí v oblasti informační a komunikační
Transkript
2/2 přehled zajímavostí v oblasti informační a komunikační
BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 2, díl 2, str. 1 díl 2, Přehled zajímavostí v oblasti informační a komunikační bezpečnosti za poslední období 2/2 PŘEHLED ZAJÍMAVOSTÍ V OBLASTI INFORMAČNÍ A KOMUNIKAČNÍ BEZPEČNOSTI ZA POSLEDNÍ OBDOBÍ Trendy Podle posledních nezávislých výzkumů tvoří SPAM v elektronické poště 78 - 80 % všech zpráv. Jinými slovy pouze každá pátá zpráva je ta, která nás zajímá. Množství škodlivého softwaru v elektronické poště stouplo na úroveň 1,2 %. V rámci výzkumu Computer Security Institute bylo osloveno kolem 700 respondentů, jednalo se především o velké korporace, finanční, vládní instituce a zdravotnická zařízení. Situace ukazuje, že 90 % organizací odhalilo nějaký druh narušení svého systému. Téměř 70 % uvedlo, že jejich bezpečnost byla prolomena vážným způsobem. Jednalo se například o průnik do podnikového IS, zcizení firemních informací, finanční podvody, modifikaci dat, napadení podnikové únor 2009 část 2, díl 2, str. 2 BEZPEČNÁ POČÍTAČOVÁ SÍŤ díl 2, Přehled zajímavostí v oblasti informační a komunikační bezpečnosti za poslední období sítě apod. 70 % respondentů také potvrdilo vznik finančních ztrát způsobených napadením a 42 % respondentů bylo ochotno své finanční ztráty kvantifikovat. Ztráty 300 společností a vládních organizací činily celkem více než 265 mil. dolarů. Více než kdy v minulosti se v rámci ČR projevilo zneužití VoIP služeb a napadení ústředen telefonních operátorů a jejich nejrůznějších zákazníků. Jedná se jednak o přímé napadení ústředen prostřednictvím modemů pro jejich správu, přesměrování volání např. z bezplatné nebo místní linky na mezinárodní hovory, napadení síťových prvků a portů na bázi SIP protokolu apod. Škody se u jednotlivých firem a organizací pohybují od stovek tisíc korun do desítek milionů korun. Nárůst těchto trestných činů je několikanásobný. Přitom je třeba říci, že telefonní společnosti nesedí s rukama v klíně, ale snaží se aktivně chránit a chránit i své zákazníky. Investovaly desítky milionů korun do Fraud Detection systémů, Fraud Management systémů a dalších bezpečnostních aplikací. Díky tomu se daří snížit dobu odhalení této trestné činnosti z dříve měsíců, později dnů do řádově několika hodin. Přesto jsou škody takové, jaké jsou. V mnoha případech si za tyto problémy mohou firmy a organizace samotné, mnohdy stačí pořádně provádět změnová řízení a při záměně, upgrade nebo rekonfiguraci síťových prvků provést jejich bezpečnostní testy, mnohdy stačí pravidelně sledovat záznamy o provozu (LOG soubory) a zachytit již pokusy o prolomení protokolů. Je vhodné sledovat anomálie provozu z hlediska délky, destinací a objemu. Bohužel, mnohde jsou správci přetížení a tyto činnosti důsledně neprovádějí. únor 2009 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 2, díl 2, str. 3 díl 2, Přehled zajímavostí v oblasti informační a komunikační bezpečnosti za poslední období Cílovými destinacemi volání pro tuto trestnou činnost jsou lokality jako Haiti, Kuba, Ukrajina, Kazachstán a některé další. Problémy HW a síťových prvků Společnost Cisco zveřejnila chyby v Cisco Unity, které mohou za určitých okolností vést k získání citlivých informací, umožní obejít jinak spolehlivá bezpečnostní omezení a způsobit útok typu DoS (Denial of Service). Řešením je update na poslední verzi OS. Více informací naleznete v těchto Cisco Security Advisory: Cisco Unity, mnohočetná zranitelnost Authentication Bypass in Cisco Unity. VoIPshield Reported Vulnerabilities in Cisco Unity Server. VTP (VLAN Trunking Protocol) je Cisco protokol používaný pro centrální správu virtuálních sítí VLAN. Cisco IOS a Cisco CatOS mohou být zneužity k vyvolání DoS útoků při zpracování speciálně upravených VTP paketů. Útočník musí mít lokální přístup k postiženým počítačům a ty musí pracovat v serverovém nebo klientském VTP módu. Více viz Cisco Security Response. Cisco IOS a CatOS VTP Packet Handling DoS Společnost Avaya oznámila výskyt několika zranitelností v různých produktech, které mohou být zneužity k vyvolání DoS (Denial of Service). Postiženy jsou následující produkty a verze: Avaya Communication Manager (všechny verze) a Avaya SIP Enablement Services (verze 3.1.2 a vyšší). Výrobce doporučuje omezit přístup k zasaženým systémům do doby, než bude vydán update. Avaya Products Wireshark, několik zranitelností Další chyba byla objevena v Avaya Call Management System (CMS) pro Solaris. Ta může být útočníkem zneužita k získání zvýšených práv. Zranitelné jsou Avaya CMS zranitelnost únor 2009 část 2, díl 2, str. 4 BEZPEČNÁ POČÍTAČOVÁ SÍŤ díl 2, Přehled zajímavostí v oblasti informační a komunikační bezpečnosti za poslední období verze R12, R13/R13.1 a R14/R14.1. Avaya doporučuje omezit přístup k serveru do doby, než bude k dispozici update. Novell eDirectory, vícenásobná zranitelnost Několik zranitelností bylo nalezeno v databázi Novell eDirectory, mohou být zneužity ke kompromitování uživatelského systému a způsobit DoS. Tyto chyby postihují verzi 8.7.3 SP10. Jako řešení se doporučuje update na verzi 8.7.3 SP10 FTF1. Zranitelnost Trend Micro OfficeScan Server V Trend Micro OfficeScan byla objevena zranitelnost, která může vést k spuštění libovolného kódu. Chyba v cgiRecvFile.exe může být zneužita k útokům buffer owerflow pomocí HTTP požadavku s upraveným parametrem „ComputerName“. Zranitelnost je potvrzena ve verzi 7.3 s Patch 4 build 1362 a také ovlivňuje OfficeScan 7.0 a 8.0, a Client Server Messaging Security verze 3.6, 3.5, 3.0 a 2.0. Check Point VPN-1 - odhalení informací Zařízení Check Point VPN-1 pro virtuální privátní sítě je vystaveno možnosti odhalení citlivých informací při zpracování ICMP chybových paketů na firewall s namapovanými porty (port address translation (PAT) na zařízení v interní síti. Robert „The Spam King“ Soloway TJX Hack únor 2009 Největší kriminální případy roku 2008 v IT Security Nazývaný králem SPAMu byl odsouzen v červenci na 47 měsíců nepodmíněně a k 200 hodinám veřejně prospěšných prací. Poškodil především firmu Microsoft. Hackeři dokázali prostřednictvím snifferu, wardrivingu a technikou SQL Inject získat přes 40 milionů čísel kreditních a debetních karet z TJX, OfficeMax, Barnes & Noble a některých dalších společností. Informace byly uloženy na nelegálních serverech v USA, Litvě a na Ukrajině. BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 2, díl 2, str. 5 díl 2, Přehled zajímavostí v oblasti informační a komunikační bezpečnosti za poslední období Prostřednictvím autorizovaného přístupu bylo z počítačů US Army odcizeno 17 000 osobních údajů o vojácích, zaměstnancích a číslech jejich sociálního pojištění. Disk s těmito daty koupil následně na letišti v Houstnu agent FBI na výměnném disku za 500 USD. Krádež osobních dat z US Army Koncem července nespokojený administrátor sítě Terry Childs umožnil neautorizovaný přístup do systémů s následnými mnohamilionovými škodami. Hijacking v síti San Franciska Sapsizian, 62 let, se pokusil zabezpečit lukrativní zakázku vybudování celulární sítě v Kostarice prostřednictvím úplatku ve výši 2,5 mil. USD. Musel zaplatit pokutu 260 tisíc dolarů a skončil na 3 roky pod dohledem. Špinavosti v telekomunikacích Robert Matthew Bentley potřeboval velkou síť počítačů k tomu, aby mu pomohla distribuovat adware. Za tímto účelem pronikl do počítačového systému v Newell Rubbermaid a transformoval stovky počítačů do sítě BotNet. Tato síť byla používána pro nakažení počítačů na celém světě. Jednalo se o společnost DollarRevenue, notoricky známého výrobce advare. Tento výrobce dostal pokutu 1,5 mil. USD. Pasák BotNetu 21letý hacker dostával za nakažení každého počítače v Evropě 0,15 eur a v USA 0,25 USD. Ve výsledku obdržel 41 měsíců nepodmíněně a pokutu 65 000 USD za uvedení sítě do původního stavu. Obchodní záměr Lillian Glaubman byl podobný obchodnímu plánu South Parku legendárních Underpants Gnomes. Jinými slovy: Krok 1: Postavte internetové kiosky. Krok 2: ? Krok 3: Profitujte z nich. Internetové kiosky únor 2009 část 2, díl 2, str. 6 BEZPEČNÁ POČÍTAČOVÁ SÍŤ díl 2, Přehled zajímavostí v oblasti informační a komunikační bezpečnosti za poslední období Žena byla odsouzena k šesti a půl roku ve vězení a k náhradě škody 18,2 mil. USD. Jednalo se v podstatě o to, že prodala podvodně internetové kiosky za 18 000 USD a nakupující přesvědčila o tom, že prostřednictvím reklam a dalších služeb na nich budou vydělávat. Jednalo se o internetové kiosky firmy Pantheon Holdings. Slibovala, že Pantheon Holdings se dodatečně postará o to, aby dostal inzerenty k tomu, aby umístili reklamy na obrazovkách. Od počátku bylo jasné, že firma Pantheon Holdings nikdy takovou práci nedělala a dělat nebude. E Rate podvodník E Rate (něco jako český Indoš) je v USA federální program, který je navržený k tomu, aby dal U.S. školám a knihovnám dostupný telefon a internet. Tedy něco jako kdysi v České republice program Indoš. Za poslední rok federální vyšetřovatelé z FBI usvědčili několik podvodníků, kteří se snažili nepoctivě navyšovat ceny potřebného vybavení a služeb. Jedním z usvědčených byl i Judy Green, bývalý vzdělávací konzultant z Kalifornie, který dostal 7,5 roku za 22 podvodů v rámci dotazníků ve prospěch společnosti Howe Electric, která souhlasila se zaplacením provize 3,3 mil. USD dotyčnému. Podobně dopadli Clay Harris a další. Další postiženou společností byl poskytovatel služeb DeltaNet, který se přiznal k padělání a uvedení nepravdivých údajů ve snaze získat zakázku z programu E Rate. Pravděpodobně by vůbec nebylo na škodu provádět podobná šetření v České republice. Bezpečnostní pravidla v praxi Výzkum společnosti Cisco ukázal, že čtvrtina firem nemá dosud vytvořena žádná bezpečnostní pravidla únor 2009 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 2, díl 2, str. 7 díl 2, Přehled zajímavostí v oblasti informační a komunikační bezpečnosti za poslední období v oblasti IT. Takové firmy jsou v době rozšířené mobility a týmové spolupráce na dálku vystaveny mnohem větším bezpečnostním rizikům, například ztrátě firemních dat. Studie však také ukázala, že i ve firmách se zavedenými pravidly zaměstnanci pravidla porušují. Rizikové chování zaměstnanců se přitom liší v rámci jednotlivých zemí a kultur. „Firmy umožňují zaměstnancům být čím dál více mobilní. Firemní data jsou dnes užívána v různých programech, na různých zařízeních a místech mimo tradiční firemní prostředí, například v domácnostech, v kavárnách, v letadlech nebo ve vlacích. Bez moderních bezpečnostních technologií, podnikových směrnic a vzdělávání jsou tak o to více zranitelná,“ řekl John N. Stewart, ředitel pro bezpečnost společnosti Cisco. Výzkum ukázal, že přestože má 77 % firem stanovena vlastní bezpečnostní pravidla, existuje stále necelá čtvrtina společností, které žádná bezpečnostní pravidla v oblasti IT doposud nevytvořily. Absence bezpečnostních pravidel je nejvíce rozšířena v Japonsku (39 %) a ve Velké Británii (29 %). Absence těchto pravidel přitom může vést například ke ztrátě citlivých firemních dat. I v případě, že firmy disponují bezpečnostními pravidly, je však podle studie zaměstnanci často porušují nebo ignorují. Více než polovina dotázaných zaměstnanců například připustila, že ne vždy se firemních bezpečnostních pravidel drží. Zpravidla za to mohou chyby v informovanosti a komunikaci, nedostatečná aktualizace pravidel, ale i jejich nedodržování z důvodů nepochopení jejich závažnosti nebo čisté apatie. Z druhé strany je nastavení příliš složitých a zbytečně silných pravidel ve své podstatě kontraproduktivní. únor 2009 část 2, díl 2, str. 8 BEZPEČNÁ POČÍTAČOVÁ SÍŤ díl 2, Přehled zajímavostí v oblasti informační a komunikační bezpečnosti za poslední období Např. vynucování požadavku na heslo např. s délkou 20 znaků, které obsahuje minimálně 4 velká písmena, minimálně 4 malá písmena, minimálně 3 číslice a 3 nealfanumerické znaky je zrůdnost, která vede pouze k tomu, že si dotyčný napíše heslo na kus papíru a v lepším případě schová, v horším případě přilepí na monitor svého počítače. Studie také identifikovala základní chyby zaměstnanců, které napomáhají únikům dat. Ty se podle zjištění liší v rámci jednotlivých zemí a kultur. Například jeden z pěti zaměstnanců si mění bezpečnostní nastavení pracovního počítače, aby obešel bezpečnostní pravidla a mohl vstupovat na nepovolené webové stránky. Nejčastěji se takové chování vyskytuje v rozvíjejících se ekonomikách Číny a Indie. Na otázku, proč to dělají, odpověděla více než polovina respondentů (52 %), že si prostě takové stránky chce prohlédnout. Sedm z deseti IT odborníků uvedlo, že vstup zaměstnanců na nepovolené stránky a užívání nepovolených aplikací (nepovolené sociální služby, software pro stahování hudby, internetové obchody) je příčinou více než poloviny úniků dat v jejich firmách. Toto přesvědčení bylo nejrozšířenější ve Spojených státech (74 %) a v Indii (79 %). Dva z pěti IT odborníků zaznamenali v posledních dvou letech neautorizované použití aplikace nebo zařízení. Nejčastěji se tak dělo v Číně, kde takový případ zaznamenaly téměř dvě třetiny respondentů. Ze všech případů se jich dvě třetiny staly během posledního roku, 14 % dotazovaných zaznamenává podobné incidenty každý měsíc. únor 2009 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 2, díl 2, str. 9 díl 2, Přehled zajímavostí v oblasti informační a komunikační bezpečnosti za poslední období Každý čtvrtý respondent (24 %) někdy ústně sdělil nějakou citlivou firemní informaci někomu mimo firmu, ať již příteli, členu rodiny nebo dokonce neznámému člověku. Na dotaz, proč to udělali, nejčastější odpovědí bylo: „Chtěl/a jsem se před někým blýsknout.“, „Potřeboval/a jsem si ulevit.“ nebo „Nevidím na tom nic špatného.“ Téměř polovina dotazovaných zaměstnanců (44 %) půjčuje své pracovní zařízení někomu mimo firmu bez dozoru. Téměř dvě třetiny zaměstnanců také používají pracovní počítače k osobním účelům, ať už jde o stahování hudby, online bankovnictví, blogování, chatování a jiné. Polovina zaměstnanců užívá svůj osobní e-mail ke kontaktování zákazníků a kolegů, ale jen 40 % z nich to má povoleno IT oddělením. Nejméně jeden ze tří zaměstnanců ponechává počítač přihlášený do sítě a nezamčený na stole, když opouští své pracovní místo. Tito zaměstnanci mají také tendenci nechávat notebooky na stolech přes noc, někdy i bez odhlášení, což zvyšuje riziko krádeže a ztráty firemních a osobních dat. Každý pátý zaměstnanec si ukládá svá vstupní hesla do systémů ve svém počítači nebo si je napíše na papírek, který pak leží na jeho stole, v neuzavřených skříňkách nebo nalepený na počítači. V Číně bylo zaznamenáno mezi respondenty 28 % případů, kdy zaměstnanci ukládají loginy a přístupová hesla ke svým bankovním účtům ve svých pracovních zařízeních a vystavují tak riziku svou identitu a peníze. Téměř jedna čtvrtina zaměstnanců (22 %) nosí firemní data na přenosných zařízeních neznámým lidem ven z pracoviště. To je nejvíce rozšířené v Číně (41 %) a představuje riziko v případě ztráty nebo krádeže zaúnor 2009 část 2, díl 2, str. 10 BEZPEČNÁ POČÍTAČOVÁ SÍŤ díl 2, Přehled zajímavostí v oblasti informační a komunikační bezpečnosti za poslední období řízení. Více než pětina (22 %) německých zaměstnanců umožnila pohyb po firemních prostorách bez dozoru, přitom průměr činil 13 %. Okolo 18 % zaměstnanců umožnilo neznámému člověku vstoupit za nimi dveřmi do firemních prostor. Výzkumu se zúčastnily více než dvě tisícovky zaměstnanců a IT odborníků z deseti zemí světa: Spojených států, Velké Británie, Francie, Německa, Itálie, Japonska, Číny, Indie, Austrálie a Brazílie. Studii o bezpečnosti si společnost Cisco objednala u americké výzkumné firmy InsightExpress. Desatero rizik Deset nejčastějších rizik v chování zaměstnanců: 1. Změny bezpečnostních nastavení počítačů. 2. Používání nepovolených aplikací. 3. Neautorizované používání aplikací nebo zařízení. 4. Sdílení citlivých firemních informací. 5. Sdílení firemních zařízení. 6. Nejasná hranice mezi pracovním a osobním zařízením a prostředky komunikace. 7. Nechráněná zařízení. 8. Ukládání uživatelských jmen a hesel. 9. Ztráty stolních zařízení pro ukládání dat. 10. Umožnění vstupu cizích lidí do firmy. Systémy a bezpečnostní hrozby v roce 2008 Renomovaná americká společnost Secunia, zabývající se monitorováním a analýzou bezpečnostních rizik v IT vydala po otestování cca 20 000 počítačů šokující informaci. Plných 98,08 % z testovaných strojů s operačním systémem Windows je zranitelných z důvodů neošetřených chyb v operačním systému anebo v mnohem častějším případě jsou počítače zranitelné kvůli neošetřeným chybám v softwaru třetích stran. únor 2009 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 2, díl 2, str. 11 díl 2, Přehled zajímavostí v oblasti informační a komunikační bezpečnosti za poslední období Skoro 50 % počítačů obsahuje 10 a více bezpečnostních chyb. Proti roku 2007 to znamená významné zhoršení bezpečnostního stavu počítačů, protože bez bezpečnostních rizik bylo v roce 2007 vyhodnoceno 4,54 % počítačů. Skenování počítačů je prováděno na základě dobrovolné účasti v tomto programu a používá se k tomu software Secunia PSI. Je potřeba ale vést v patrnosti to, že se testoval pouze stav aktuálního PC, nikoliv bezpečnostní prvky, jako jsou např. firemní firewally. Ty dokáží značnou část bezpečnostních hrozeb účinně eliminovat. Technologie VoIP z hlediska bezpečnosti Jen málokterá technologie se rozvíjí s takovou dynamikou jako VoIP (Voice over IP). Vždyť třeba ve Spojených státech ji dnes používá přes padesát procent organizací. Přesná čísla z českého prostředí nemáme k dispozici a asi jsou nižší, nicméně jisté je, že rostou a porostou. V mém okolí používají např. Skype skoro všichni. Jsou tyto technologie bezpečné nebo nejsou? Trochu jsme to posoudili již výše. V podstatě pokud se používají ve své bezplatné verzi, kromě úniků dat žádné výrazné hrozby nehrozí. Pokud jsou využívány jako služba pro placená volání do běžných telefonních sítí, hrozby tam již jsou. Obyčejní běžní uživatelé s rozumným kreditem řádově stovek korun určitě nemusí mít obavy. Hrozba pro ně představuje velikost jejich existujícího kreditu, o který mohou přijít. Jinak je tomu u větších organizací, které takto zabezpečeny nejsou. V souvislosti s masovým rozšířením internetové telefonie každopádně vyvstává základní otázka: Jak je na tom z hlediska bezpečnosti? Dynamický vývoj technologie Bezpečnostní hledisko únor 2009 část 2, díl 2, str. 12 BEZPEČNÁ POČÍTAČOVÁ SÍŤ díl 2, Přehled zajímavostí v oblasti informační a komunikační bezpečnosti za poslední období Velice střízlivě to vyjádřila americká bezpečnostní firma RSA, která upozornila, že navzdory všem varováním a katastrofických scénářům ohledně zranitelnosti VoIP představují největší nebezpečí pro internetovou telefonii „běžné“ síťové slabiny. Tedy nedostatky v klasických sítích, zranitelnosti v použitých operačních systémech apod. Což je pravda: nedávno se například vyskytla chyba v operačním systému Windows, která umožňovala napadnout VoIP program Nortel. Administrátoři sítí se zpravidla mylně domnívají, že pokud digitalizovaný hlas putuje po síti v paketech, prostě jen připojí VoIP komponenty do již hotové sítě a vše bude fungovat. Že pokud je tato síť zabezpečena, pak bude i internetová telefonie bezpečná. Tak jednoduché to ale není - ochrana VoIP vyžaduje úplně jiný přístup než zabezpečení e-mailu či internetového provozu. Vezměme si klasický firewall: kontroluje procházející data, přičemž má určitou propustnost. Je-li datový provoz vyšší, jsou data uložena do fronty, v níž čekají na prověření. V praxi se jedná o prodlevy naprosto minimální a neznatelné: u běžného využívání internetu nehraje doručení či odeslání e-mailu o několik desetin sekundy zásadní roli. Jenomže u internetové telefonie je to něco docela jiného: ukládání paketů na firewallu a jejich nepravidelné odesílání dovnitř i ven má za následek dramatické zhoršení kvality přenášeného hlasu, vznik hluchých míst či výpadků dat. Běžný firewall zde nestačí, je zapotřebí používat firewall s podporou VoIP technologií (kde se příslušné pakety „odbavují“ přednostně, aby nebyla narušena kontinuita datového toku). Na specializované firewally zase každý nemá a problém je na světě. Nejhorší možnost, kterou máme, je nechat VoIP technologie v nechráněné síti. únor 2009 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 2, díl 2, str. 13 díl 2, Přehled zajímavostí v oblasti informační a komunikační bezpečnosti za poslední období Faktem každopádně je, že bezpečné VoIP v nebezpečném prostředí asi nemůžeme očekávat. Internet nebezpečným prostředím bez jakékoliv diskuse je, musíme si tedy bezpečné prostředí vytvořit. Jedním z častých mýtů v souvislosti s VoIP je právě konstatování, že v jeho případě jde pouze o datový přenos, čili je-li zabezpečená stávající infrastruktura, je automaticky bezpečné i internetové telefonování. Zásluhou výše uvedených problémů s některými firewally je třeba naprosto běžné, že je vytvořen „tunel“ ve firewallu a data nejsou kontrolovaná. Ostatně jejich kontrola je i jinak obtížná, protože většina aplikací používá proprietární řešení. Jinými slovy: firewall nemá možnost tato data kontrolovat. Je to podobné jako s šifrovanými daty, do nichž firewall nemá možnost „vidět“ a která je tedy stejně nutno kontrolovat až na cílové stanici. Díky multimediálním aplikacím VoIP (například možnost poslání souboru) tak může dojít k proklouznutí škodlivého kódu až na cílovou stanici. VoIP každopádně chybí celosvětově uznávané a používané standardy. Je to pochopitelné, snem každého výrobce je prosadit právě ten „svůj“ protokol. Díky tomu ani jednotliví klienti navzájem nekomunikují. Tato skutečnost sice limituje možnosti kontroly provozu, na druhé straně má i svá pozitiva: těžko lze vytvořit jeden unifikovaný globální útok proti všem klientům a protokolům. Jedním z nejrozšířenějších protokolů je přitom SIP, který ovšem zpravidla není šifrovaný, a předává tedy informace v otevřené podobě. Jeho prostým zachycením (při ustanovování komunikace) je tak možné nesmírně snadno „odposlechnout“ identifikaci komunikující strany nebo její heslo. únor 2009 část 2, díl 2, str. 14 BEZPEČNÁ POČÍTAČOVÁ SÍŤ díl 2, Přehled zajímavostí v oblasti informační a komunikační bezpečnosti za poslední období SIP paket lze také jednoduše podvrhnout. Výhoda? Třeba uskutečnění volání zdarma (pod pojmem „zdarma“ rozumějte „na účet někoho jiného“). SIP paket má dvě základní hodnoty Uniform Resource Identifiers (URI), které určují, odkud hovor je (From) a kdo za něj bude platit (Contact). Dnešní systémy přitom zcela automaticky předpokládají, že obě hodnoty jsou stejné. Takže tyto URI nejsou kontrolované navzájem. Často je přitom kontrolována pouze hodnota Contact, takže lze paket jednoduše upravit, aby někdo jiný platil za váš hovor. Samozřejmě že je vůči VoIP možný i klasický útok (a dokonce pravděpodobný a jednoduchý: třeba odcizení přihlašovacích atributů pomocí spywaru nebo odposlech pomocí trojanů, což by se vám u klasických telefonních linek asi podařilo těžko). Tipy pro zabezpečení VoIP Základní tipy, jak zabezpečit VoIP: 1. šifrujte hlasovou komunikaci, 2. vyžadujte autentizaci, 3. používejte VoIP kompatibilní firewally, 4. oddělte datový a hlasový přenos, 5. záplatujte pravidelně aplikaci i operační systém, 6. nepoužívejte základní hesla, 7. kontrolujte, zda dodržujete poskytovatelem nebo výrobcem dodaný seznam bezpečnostních opatření (eventuálně jej vyžadujte), 8. používejte systém prevence průniku. Nesmíme zapomínat ani na „klasiku“ dnešní informační (ne)bezpečnosti - na výskyt programátorských chyb a zranitelností. Dodavatelé VoIP často vyzývají přinejmenším k aplikaci záplat, mnohdy i k více či méně pravidelnému přechodu na vyšší verze. únor 2009 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 2, díl 2, str. 15 díl 2, Přehled zajímavostí v oblasti informační a komunikační bezpečnosti za poslední období Také podotýkáme, že součástí informační bezpečnosti je dostupnost, kterou se u VoIP ne vždy daří plně zajistit. Svědčí o tom třeba i fakt, že VoIP se nedoporučuje používat pro tísňová volání. (Existují i další důvody pro odmítání této technologie, a to třeba problematická geografická lokalizace volajícího nebo identifikace volajícího.) Bezpečnostní problémy se v zásadě dají rozdělit do tří oblastí: selhání autentizace (např. neoprávněný útočník nakládá s daty/informacemi, k nimž by neměl mít přístup), selhání integrity (výpadky spojení apod.) a selhání soukromí (odposlech aj.). Každá z těchto oblastí přitom při návrhu architektury musí být posuzována samostatně - ovšem stejně tak musí být posuzovány všechny společně v celkovém bezpečnostním kontextu. Jak na VoIP bezpečnost? Klíčem k bezpečnému VoIP je každopádně správný návrh sítě a její celková architektura. Což je ostatně problém nejen bezpečnosti, ale i kvality služby (potíže s těmito ukazateli pochopitelně odrazují lidi od VoIP vůbec). Každopádně nejde jen o to, internetovou telefonii nasadit, ale o to, nasadit ji bezpečně. Ostatně i operační systém (jakýkoliv!) lze nasadit, nebo nasadit bezpečně. Pokud je to jen trochu možné, oddělte datové a hlasové přenosy. Pochopitelně to vyžaduje nemalé náklady, ale na druhé straně je to jediná cesta k zajištění dostupnosti VoIP. Právě na tyto skryté náklady při pořizování internetové telefonie si dejte pozor. O tom, že oddělení dat a hlasových přenosů přináší své ovoce, svědčí i případ z roku 2004, kdy virus napadl síť americké univerzity Worcester Polytechnik Institute. Datová síť se zhroutila, ale technologie VoIP díky oddělení sítí bez potíží dále fungovala. únor 2009 část 2, díl 2, str. 16 BEZPEČNÁ POČÍTAČOVÁ SÍŤ díl 2, Přehled zajímavostí v oblasti informační a komunikační bezpečnosti za poslední období Mírně pesimistický závěr Jedna věc je každopádně neoddiskutovatelná: útoky proti datovým sítím dlouhodobě narůstají, je jen otázkou času, kdy masově postihnou i VoIP. Je to čím dál zajímavější a čím dál zranitelnější cíl. Původně se VoIP jevil jako výborná technologie (kolem roku 2000), která spojí přednosti datových a hlasových sítí, kdy hovor bude asi 3x levnější než klasický hovor prostřednictvím telefonu. Dnes se ale ukazuje, že kvůli bezpečnosti je třeba datovou a VoIP síť rozdělit, je třeba investovat do zabezpečení VoIP sítě a výhoda se pomalu zmenšuje, přesto se jeví zatím stále výhodné budovat VoIP sítě, ale ne tak moc jako dříve. Návratnost těchto investic klesá a u přechodu z jedné technologie (klasické) na VoIP je otázkou, zda se to dnes ještě vyplatí. Co můžeme očekávat v roce 2009? Z hlediska trendů budou pravděpodobně stále více napadány především takové služby, které umožní útočníkovi přímý finanční profit. To znamená především bankovní služby, obchodní služby a telefonní služby a to ať už klasické nebo VoIP. Z hlediska škodlivého softwaru budou snahy o získávání citlivých informací z koncových počítačů uživatelů, jako jsou hesla, osobní údaje, čísla bankovních karet apod. Bude dále pokračovat trend růstu krádeží identit a jejich zneužití pro rozesílání nevyžádaných sdělení. Přestože je tato věc v ČR upravena zákonem, boj s touto problematikou slaví v podstatě nulové úspěchy. Budou ve větší míře než dosud napadány především WWW aplikace prostřednictvím chyb v balících, které slouží k jejich tvorbě a provozu. Děravost aplikací typu Internet Explorer a Mozilla Firefox se bude sbližovat. únor 2009 BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 2, díl 2, str. 17 díl 2, Přehled zajímavostí v oblasti informační a komunikační bezpečnosti za poslední období Pro uživatele mimo aktivních a pasivních ochran bude vhodné používat méně rozšířené OS a aplikace (pokud jim to znalosti a potřeby dovolí). V podstatě se nejdená o nic nového, heterogenní prostředí je mnohem hůře napadnutelné než monokultura. Z tohoto pohledu bych jako problém viděl poměrně velký monopol v oblasti síťových prvků. U serverů a stanic tak velký problém asi není. Docela zajímavou oblastí s poměrně velkou perspektivou je virtualizace a použití virtuální strojů a sítí. Je to slušná možnost jak v rámci jednoho hardwaru zajistit heterogennost systému a při napadení alespoň částečný chod prostředí. Mimo oddělení hlasových VoIP a datových služeb pravděpodobně dojde k většímu rozšíření oddělených sítí pro správu jak síťových prvků, tak i aplikací. únor 2009 část 2, díl 2, str. 18 BEZPEČNÁ POČÍTAČOVÁ SÍŤ díl 2, Přehled zajímavostí v oblasti informační a komunikační bezpečnosti za poslední období únor 2009