2/2 přehled zajímavostí v oblasti informační a komunikační

Transkript

BEZPEČNÁ POČÍTAČOVÁ SÍŤ
část 2, díl 2, str. 1
díl 2, Přehled zajímavostí v oblasti informační a komunikační bezpečnosti za poslední období
2/2
PŘEHLED ZAJÍMAVOSTÍ
V OBLASTI INFORMAČNÍ
A KOMUNIKAČNÍ
BEZPEČNOSTI
ZA POSLEDNÍ OBDOBÍ
Trendy
Podle posledních nezávislých výzkumů tvoří SPAM
v elektronické poště 78 - 80 % všech zpráv. Jinými
slovy pouze každá pátá zpráva je ta, která nás zajímá.
Množství škodlivého softwaru v elektronické poště
stouplo na úroveň 1,2 %.
V rámci výzkumu Computer Security Institute bylo
osloveno kolem 700 respondentů, jednalo se především o velké korporace, finanční, vládní instituce
a zdravotnická zařízení. Situace ukazuje, že 90 % organizací odhalilo nějaký druh narušení svého systému.
Téměř 70 % uvedlo, že jejich bezpečnost byla prolomena vážným způsobem. Jednalo se například o průnik do podnikového IS, zcizení firemních informací,
finanční podvody, modifikaci dat, napadení podnikové
únor 2009
sítě apod. 70 % respondentů také potvrdilo vznik finančních ztrát způsobených napadením a 42 % respondentů bylo ochotno své finanční ztráty kvantifikovat. Ztráty 300 společností a vládních organizací činily
celkem více než 265 mil. dolarů.
Více než kdy v minulosti se v rámci ČR projevilo zneužití VoIP služeb a napadení ústředen telefonních
operátorů a jejich nejrůznějších zákazníků. Jedná se
jednak o přímé napadení ústředen prostřednictvím
modemů pro jejich správu, přesměrování volání např.
z bezplatné nebo místní linky na mezinárodní hovory,
napadení síťových prvků a portů na bázi SIP protokolu
apod.
Škody se u jednotlivých firem a organizací pohybují
od stovek tisíc korun do desítek milionů korun. Nárůst těchto trestných činů je několikanásobný. Přitom
je třeba říci, že telefonní společnosti nesedí s rukama
v klíně, ale snaží se aktivně chránit a chránit i své zákazníky. Investovaly desítky milionů korun do Fraud
Detection systémů, Fraud Management systémů a dalších bezpečnostních aplikací. Díky tomu se daří snížit dobu odhalení této trestné činnosti z dříve měsíců,
později dnů do řádově několika hodin. Přesto jsou
škody takové, jaké jsou. V mnoha případech si za tyto
problémy mohou firmy a organizace samotné, mnohdy
stačí pořádně provádět změnová řízení a při záměně,
upgrade nebo rekonfiguraci síťových prvků provést jejich bezpečnostní testy, mnohdy stačí pravidelně sledovat záznamy o provozu (LOG soubory) a zachytit
již pokusy o prolomení protokolů. Je vhodné sledovat
anomálie provozu z hlediska délky, destinací a objemu. Bohužel, mnohde jsou správci přetížení a tyto
činnosti důsledně neprovádějí.
únor 2009
Cílovými destinacemi volání pro tuto trestnou činnost
jsou lokality jako Haiti, Kuba, Ukrajina, Kazachstán
a některé další.
Problémy HW a síťových prvků
Společnost Cisco zveřejnila chyby v Cisco Unity, které
mohou za určitých okolností vést k získání citlivých
informací, umožní obejít jinak spolehlivá bezpečnostní omezení a způsobit útok typu DoS (Denial of
Service). Řešením je update na poslední verzi OS. Více
informací naleznete v těchto Cisco Security Advisory:
Cisco Unity,
mnohočetná
zranitelnost
Authentication Bypass in Cisco Unity.
VoIPshield Reported Vulnerabilities in Cisco Unity
Server.
VTP (VLAN Trunking Protocol) je Cisco protokol
používaný pro centrální správu virtuálních sítí VLAN.
Cisco IOS a Cisco CatOS mohou být zneužity k vyvolání DoS útoků při zpracování speciálně upravených
VTP paketů. Útočník musí mít lokální přístup k postiženým počítačům a ty musí pracovat v serverovém
nebo klientském VTP módu.
Více viz Cisco Security Response.
Cisco IOS
a CatOS VTP
Packet Handling
DoS
Společnost Avaya oznámila výskyt několika zranitelností v různých produktech, které mohou být zneužity
k vyvolání DoS (Denial of Service). Postiženy jsou
následující produkty a verze: Avaya Communication
Manager (všechny verze) a Avaya SIP Enablement
Services (verze 3.1.2 a vyšší). Výrobce doporučuje
omezit přístup k zasaženým systémům do doby, než
bude vydán update.
Avaya Products
Wireshark,
několik
zranitelností
Další chyba byla objevena v Avaya Call Management
System (CMS) pro Solaris. Ta může být útočníkem
zneužita k získání zvýšených práv. Zranitelné jsou
Avaya CMS
zranitelnost
únor 2009
verze R12, R13/R13.1 a R14/R14.1. Avaya doporučuje omezit přístup k serveru do doby, než bude k dispozici update.
Novell eDirectory,
vícenásobná
zranitelnost
Několik zranitelností bylo nalezeno v databázi Novell
eDirectory, mohou být zneužity ke kompromitování
uživatelského systému a způsobit DoS. Tyto chyby postihují verzi 8.7.3 SP10. Jako řešení se doporučuje update na verzi 8.7.3 SP10 FTF1.
Zranitelnost
Trend Micro
OfficeScan Server
V Trend Micro OfficeScan byla objevena zranitelnost,
která může vést k spuštění libovolného kódu. Chyba
v cgiRecvFile.exe může být zneužita k útokům buffer
owerflow pomocí HTTP požadavku s upraveným parametrem „ComputerName“. Zranitelnost je potvrzena ve verzi 7.3 s Patch 4 build 1362 a také ovlivňuje
OfficeScan 7.0 a 8.0, a Client Server Messaging Security verze 3.6, 3.5, 3.0 a 2.0.
Check Point
VPN-1 - odhalení
informací
Zařízení Check Point VPN-1 pro virtuální privátní sítě
je vystaveno možnosti odhalení citlivých informací při
zpracování ICMP chybových paketů na firewall s namapovanými porty (port address translation (PAT) na
zařízení v interní síti.
Robert „The
Spam King“
Soloway
TJX Hack
únor 2009
Největší kriminální případy roku 2008 v IT Security
Nazývaný králem SPAMu byl odsouzen v červenci na
47 měsíců nepodmíněně a k 200 hodinám veřejně prospěšných prací. Poškodil především firmu Microsoft.
Hackeři dokázali prostřednictvím snifferu, wardrivingu a technikou SQL Inject získat přes 40 milionů
čísel kreditních a debetních karet z TJX, OfficeMax,
Barnes & Noble a některých dalších společností. Informace byly uloženy na nelegálních serverech
v USA, Litvě a na Ukrajině.
Prostřednictvím autorizovaného přístupu bylo z počítačů US Army odcizeno 17 000 osobních údajů o vojácích, zaměstnancích a číslech jejich sociálního pojištění. Disk s těmito daty koupil následně na letišti
v Houstnu agent FBI na výměnném disku za 500 USD.
Krádež osobních
dat z US Army
Koncem července nespokojený administrátor sítě
Terry Childs umožnil neautorizovaný přístup do
systémů s následnými mnohamilionovými škodami.
Hijacking v síti
San Franciska
Sapsizian, 62 let, se pokusil zabezpečit lukrativní zakázku vybudování celulární sítě v Kostarice prostřednictvím úplatku ve výši 2,5 mil. USD. Musel zaplatit
pokutu 260 tisíc dolarů a skončil na 3 roky pod dohledem.
Špinavosti
v telekomunikacích
Robert Matthew Bentley potřeboval velkou síť počítačů k tomu, aby mu pomohla distribuovat adware. Za
tímto účelem pronikl do počítačového systému v Newell Rubbermaid a transformoval stovky počítačů do
sítě BotNet. Tato síť byla používána pro nakažení počítačů na celém světě. Jednalo se o společnost DollarRevenue, notoricky známého výrobce advare. Tento
výrobce dostal pokutu 1,5 mil. USD.
Pasák BotNetu
21letý hacker dostával za nakažení každého počítače
v Evropě 0,15 eur a v USA 0,25 USD.
Ve výsledku obdržel 41 měsíců nepodmíněně a pokutu
65 000 USD za uvedení sítě do původního stavu.
Obchodní záměr Lillian Glaubman byl podobný obchodnímu plánu South Parku legendárních Underpants Gnomes.
Jinými slovy:
Krok 1: Postavte internetové kiosky.
Krok 2: ?
Krok 3: Profitujte z nich.
Internetové kiosky
únor 2009
Žena byla odsouzena k šesti a půl roku ve vězení a k náhradě škody 18,2 mil. USD. Jednalo se v podstatě o to,
že prodala podvodně internetové kiosky za 18 000
USD a nakupující přesvědčila o tom, že prostřednictvím reklam a dalších služeb na nich budou vydělávat.
Jednalo se o internetové kiosky firmy Pantheon Holdings. Slibovala, že Pantheon Holdings se dodatečně
postará o to, aby dostal inzerenty k tomu, aby umístili reklamy na obrazovkách.
Od počátku bylo jasné, že firma Pantheon Holdings
nikdy takovou práci nedělala a dělat nebude.
E Rate podvodník
E Rate (něco jako český Indoš) je v USA federální
program, který je navržený k tomu, aby dal U.S. školám a knihovnám dostupný telefon a internet. Tedy
něco jako kdysi v České republice program Indoš.
Za poslední rok federální vyšetřovatelé z FBI usvědčili několik podvodníků, kteří se snažili nepoctivě navyšovat ceny potřebného vybavení a služeb. Jedním
z usvědčených byl i Judy Green, bývalý vzdělávací
konzultant z Kalifornie, který dostal 7,5 roku za 22
podvodů v rámci dotazníků ve prospěch společnosti
Howe Electric, která souhlasila se zaplacením provize
3,3 mil. USD dotyčnému.
Podobně dopadli Clay Harris a další. Další postiženou
společností byl poskytovatel služeb DeltaNet, který se
přiznal k padělání a uvedení nepravdivých údajů ve
snaze získat zakázku z programu E Rate.
Pravděpodobně by vůbec nebylo na škodu provádět
podobná šetření v České republice.
Bezpečnostní pravidla v praxi
Výzkum společnosti Cisco ukázal, že čtvrtina firem
nemá dosud vytvořena žádná bezpečnostní pravidla
únor 2009
v oblasti IT. Takové firmy jsou v době rozšířené mobility a týmové spolupráce na dálku vystaveny mnohem větším bezpečnostním rizikům, například ztrátě
firemních dat. Studie však také ukázala, že i ve firmách se zavedenými pravidly zaměstnanci pravidla
porušují. Rizikové chování zaměstnanců se přitom liší
v rámci jednotlivých zemí a kultur.
„Firmy umožňují zaměstnancům být čím dál více mobilní. Firemní data jsou dnes užívána v různých programech, na různých zařízeních a místech mimo tradiční firemní prostředí, například v domácnostech,
v kavárnách, v letadlech nebo ve vlacích. Bez moderních bezpečnostních technologií, podnikových směrnic a vzdělávání jsou tak o to více zranitelná,“ řekl John
N. Stewart, ředitel pro bezpečnost společnosti Cisco.
Výzkum ukázal, že přestože má 77 % firem stanovena
vlastní bezpečnostní pravidla, existuje stále necelá
čtvrtina společností, které žádná bezpečnostní pravidla v oblasti IT doposud nevytvořily. Absence bezpečnostních pravidel je nejvíce rozšířena v Japonsku
(39 %) a ve Velké Británii (29 %). Absence těchto pravidel přitom může vést například ke ztrátě citlivých firemních dat.
I v případě, že firmy disponují bezpečnostními pravidly, je však podle studie zaměstnanci často porušují
nebo ignorují. Více než polovina dotázaných zaměstnanců například připustila, že ne vždy se firemních
bezpečnostních pravidel drží. Zpravidla za to mohou
chyby v informovanosti a komunikaci, nedostatečná
aktualizace pravidel, ale i jejich nedodržování z důvodů nepochopení jejich závažnosti nebo čisté apatie.
Z druhé strany je nastavení příliš složitých a zbytečně
silných pravidel ve své podstatě kontraproduktivní.
únor 2009
Např. vynucování požadavku na heslo např. s délkou
20 znaků, které obsahuje minimálně 4 velká písmena,
minimálně 4 malá písmena, minimálně 3 číslice a 3
nealfanumerické znaky je zrůdnost, která vede pouze
k tomu, že si dotyčný napíše heslo na kus papíru
a v lepším případě schová, v horším případě přilepí na
monitor svého počítače.
Studie také identifikovala základní chyby zaměstnanců, které napomáhají únikům dat. Ty se podle zjištění liší v rámci jednotlivých zemí a kultur. Například
jeden z pěti zaměstnanců si mění bezpečnostní nastavení pracovního počítače, aby obešel bezpečnostní
pravidla a mohl vstupovat na nepovolené webové
stránky. Nejčastěji se takové chování vyskytuje v rozvíjejících se ekonomikách Číny a Indie. Na otázku,
proč to dělají, odpověděla více než polovina respondentů (52 %), že si prostě takové stránky chce prohlédnout.
Sedm z deseti IT odborníků uvedlo, že vstup zaměstnanců na nepovolené stránky a užívání nepovolených
aplikací (nepovolené sociální služby, software pro stahování hudby, internetové obchody) je příčinou více
než poloviny úniků dat v jejich firmách. Toto přesvědčení bylo nejrozšířenější ve Spojených státech
(74 %) a v Indii (79 %).
Dva z pěti IT odborníků zaznamenali v posledních
dvou letech neautorizované použití aplikace nebo zařízení. Nejčastěji se tak dělo v Číně, kde takový případ zaznamenaly téměř dvě třetiny respondentů. Ze
všech případů se jich dvě třetiny staly během posledního roku, 14 % dotazovaných zaznamenává podobné
incidenty každý měsíc.
únor 2009
Každý čtvrtý respondent (24 %) někdy ústně sdělil nějakou citlivou firemní informaci někomu mimo firmu,
ať již příteli, členu rodiny nebo dokonce neznámému
člověku. Na dotaz, proč to udělali, nejčastější odpovědí bylo: „Chtěl/a jsem se před někým blýsknout.“,
„Potřeboval/a jsem si ulevit.“ nebo „Nevidím na tom
nic špatného.“
Téměř polovina dotazovaných zaměstnanců (44 %)
půjčuje své pracovní zařízení někomu mimo firmu bez
dozoru. Téměř dvě třetiny zaměstnanců také používají
pracovní počítače k osobním účelům, ať už jde o stahování hudby, online bankovnictví, blogování, chatování a jiné. Polovina zaměstnanců užívá svůj osobní
e-mail ke kontaktování zákazníků a kolegů, ale jen
40 % z nich to má povoleno IT oddělením.
Nejméně jeden ze tří zaměstnanců ponechává počítač
přihlášený do sítě a nezamčený na stole, když opouští
své pracovní místo. Tito zaměstnanci mají také tendenci nechávat notebooky na stolech přes noc, někdy
i bez odhlášení, což zvyšuje riziko krádeže a ztráty firemních a osobních dat.
Každý pátý zaměstnanec si ukládá svá vstupní hesla
do systémů ve svém počítači nebo si je napíše na papírek, který pak leží na jeho stole, v neuzavřených
skříňkách nebo nalepený na počítači. V Číně bylo zaznamenáno mezi respondenty 28 % případů, kdy zaměstnanci ukládají loginy a přístupová hesla ke svým
bankovním účtům ve svých pracovních zařízeních
a vystavují tak riziku svou identitu a peníze.
Téměř jedna čtvrtina zaměstnanců (22 %) nosí firemní
data na přenosných zařízeních neznámým lidem ven
z pracoviště. To je nejvíce rozšířené v Číně (41 %)
a představuje riziko v případě ztráty nebo krádeže zaúnor 2009
řízení. Více než pětina (22 %) německých zaměstnanců umožnila pohyb po firemních prostorách bez
dozoru, přitom průměr činil 13 %. Okolo 18 % zaměstnanců umožnilo neznámému člověku vstoupit za nimi
dveřmi do firemních prostor.
Výzkumu se zúčastnily více než dvě tisícovky zaměstnanců a IT odborníků z deseti zemí světa: Spojených států, Velké Británie, Francie, Německa, Itálie,
Japonska, Číny, Indie, Austrálie a Brazílie. Studii
o bezpečnosti si společnost Cisco objednala u americké výzkumné firmy InsightExpress.
Desatero rizik
Deset nejčastějších rizik v chování zaměstnanců:
1. Změny bezpečnostních nastavení počítačů.
2. Používání nepovolených aplikací.
3. Neautorizované používání aplikací nebo zařízení.
4. Sdílení citlivých firemních informací.
5. Sdílení firemních zařízení.
6. Nejasná hranice mezi pracovním a osobním zařízením a prostředky komunikace.
7. Nechráněná zařízení.
8. Ukládání uživatelských jmen a hesel.
9. Ztráty stolních zařízení pro ukládání dat.
10. Umožnění vstupu cizích lidí do firmy.
Systémy a bezpečnostní hrozby v roce 2008
Renomovaná americká společnost Secunia, zabývající
se monitorováním a analýzou bezpečnostních rizik
v IT vydala po otestování cca 20 000 počítačů šokující informaci.
Plných 98,08 % z testovaných strojů s operačním
systémem Windows je zranitelných z důvodů neošetřených chyb v operačním systému anebo v mnohem
častějším případě jsou počítače zranitelné kvůli neošetřeným chybám v softwaru třetích stran.
únor 2009
Skoro 50 % počítačů obsahuje 10 a více bezpečnostních chyb.
Proti roku 2007 to znamená významné zhoršení bezpečnostního stavu počítačů, protože bez bezpečnostních rizik bylo v roce 2007 vyhodnoceno 4,54 % počítačů. Skenování počítačů je prováděno na základě
dobrovolné účasti v tomto programu a používá se
k tomu software Secunia PSI.
Je potřeba ale vést v patrnosti to, že se testoval pouze
stav aktuálního PC, nikoliv bezpečnostní prvky, jako
jsou např. firemní firewally. Ty dokáží značnou část
bezpečnostních hrozeb účinně eliminovat.
Technologie VoIP z hlediska bezpečnosti
Jen málokterá technologie se rozvíjí s takovou dynamikou jako VoIP (Voice over IP). Vždyť třeba ve Spojených státech ji dnes používá přes padesát procent organizací. Přesná čísla z českého prostředí nemáme
k dispozici a asi jsou nižší, nicméně jisté je, že rostou
a porostou. V mém okolí používají např. Skype skoro
všichni. Jsou tyto technologie bezpečné nebo nejsou?
Trochu jsme to posoudili již výše. V podstatě pokud
se používají ve své bezplatné verzi, kromě úniků dat
žádné výrazné hrozby nehrozí. Pokud jsou využívány
jako služba pro placená volání do běžných telefonních
sítí, hrozby tam již jsou. Obyčejní běžní uživatelé s rozumným kreditem řádově stovek korun určitě nemusí
mít obavy. Hrozba pro ně představuje velikost jejich
existujícího kreditu, o který mohou přijít. Jinak je
tomu u větších organizací, které takto zabezpečeny nejsou.
V souvislosti s masovým rozšířením internetové telefonie každopádně vyvstává základní otázka: Jak je na
tom z hlediska bezpečnosti?
Dynamický vývoj
technologie
Bezpečnostní
hledisko
únor 2009
Velice střízlivě to vyjádřila americká bezpečnostní
firma RSA, která upozornila, že navzdory všem varováním a katastrofických scénářům ohledně zranitelnosti VoIP představují největší nebezpečí pro internetovou telefonii „běžné“ síťové slabiny. Tedy
nedostatky v klasických sítích, zranitelnosti v použitých operačních systémech apod. Což je pravda: nedávno se například vyskytla chyba v operačním
systému Windows, která umožňovala napadnout VoIP
program Nortel.
Administrátoři sítí se zpravidla mylně domnívají, že pokud digitalizovaný hlas putuje po síti v paketech, prostě jen připojí VoIP komponenty do již hotové sítě a vše
bude fungovat. Že pokud je tato síť zabezpečena, pak
bude i internetová telefonie bezpečná. Tak jednoduché
to ale není - ochrana VoIP vyžaduje úplně jiný přístup
než zabezpečení e-mailu či internetového provozu.
Vezměme si klasický firewall: kontroluje procházející
data, přičemž má určitou propustnost. Je-li datový provoz vyšší, jsou data uložena do fronty, v níž čekají na
prověření. V praxi se jedná o prodlevy naprosto minimální a neznatelné: u běžného využívání internetu nehraje doručení či odeslání e-mailu o několik desetin
sekundy zásadní roli. Jenomže u internetové telefonie
je to něco docela jiného: ukládání paketů na firewallu
a jejich nepravidelné odesílání dovnitř i ven má za následek dramatické zhoršení kvality přenášeného hlasu,
vznik hluchých míst či výpadků dat. Běžný firewall
zde nestačí, je zapotřebí používat firewall s podporou
VoIP technologií (kde se příslušné pakety „odbavují“
přednostně, aby nebyla narušena kontinuita datového
toku). Na specializované firewally zase každý nemá
a problém je na světě. Nejhorší možnost, kterou máme,
je nechat VoIP technologie v nechráněné síti.
únor 2009
Faktem každopádně je, že bezpečné VoIP v nebezpečném prostředí asi nemůžeme očekávat. Internet nebezpečným prostředím bez jakékoliv diskuse je, musíme si tedy bezpečné prostředí vytvořit.
Jedním z častých mýtů v souvislosti s VoIP je právě
konstatování, že v jeho případě jde pouze o datový přenos, čili je-li zabezpečená stávající infrastruktura, je
automaticky bezpečné i internetové telefonování.
Zásluhou výše uvedených problémů s některými firewally je třeba naprosto běžné, že je vytvořen „tunel“
ve firewallu a data nejsou kontrolovaná. Ostatně jejich
kontrola je i jinak obtížná, protože většina aplikací používá proprietární řešení. Jinými slovy: firewall nemá
možnost tato data kontrolovat. Je to podobné jako s šifrovanými daty, do nichž firewall nemá možnost „vidět“ a která je tedy stejně nutno kontrolovat až na cílové stanici. Díky multimediálním aplikacím VoIP
(například možnost poslání souboru) tak může dojít
k proklouznutí škodlivého kódu až na cílovou stanici.
VoIP každopádně chybí celosvětově uznávané a používané standardy. Je to pochopitelné, snem každého
výrobce je prosadit právě ten „svůj“ protokol. Díky
tomu ani jednotliví klienti navzájem nekomunikují.
Tato skutečnost sice limituje možnosti kontroly provozu, na druhé straně má i svá pozitiva: těžko lze vytvořit jeden unifikovaný globální útok proti všem klientům a protokolům.
Jedním z nejrozšířenějších protokolů je přitom SIP,
který ovšem zpravidla není šifrovaný, a předává tedy
informace v otevřené podobě. Jeho prostým zachycením (při ustanovování komunikace) je tak možné nesmírně snadno „odposlechnout“ identifikaci komunikující strany nebo její heslo.
únor 2009
SIP paket lze také jednoduše podvrhnout. Výhoda?
Třeba uskutečnění volání zdarma (pod pojmem
„zdarma“ rozumějte „na účet někoho jiného“). SIP paket má dvě základní hodnoty Uniform Resource Identifiers (URI), které určují, odkud hovor je (From) a kdo
za něj bude platit (Contact). Dnešní systémy přitom
zcela automaticky předpokládají, že obě hodnoty jsou
stejné. Takže tyto URI nejsou kontrolované navzájem.
Často je přitom kontrolována pouze hodnota Contact,
takže lze paket jednoduše upravit, aby někdo jiný platil za váš hovor.
Samozřejmě že je vůči VoIP možný i klasický útok
(a dokonce pravděpodobný a jednoduchý: třeba odcizení přihlašovacích atributů pomocí spywaru nebo odposlech pomocí trojanů, což by se vám u klasických
telefonních linek asi podařilo těžko).
Tipy pro
zabezpečení VoIP
Základní tipy, jak zabezpečit VoIP:
1. šifrujte hlasovou komunikaci,
2. vyžadujte autentizaci,
3. používejte VoIP kompatibilní firewally,
4. oddělte datový a hlasový přenos,
5. záplatujte pravidelně aplikaci i operační systém,
6. nepoužívejte základní hesla,
7. kontrolujte, zda dodržujete poskytovatelem nebo
výrobcem dodaný seznam bezpečnostních opatření
(eventuálně jej vyžadujte),
8. používejte systém prevence průniku.
Nesmíme zapomínat ani na „klasiku“ dnešní informační (ne)bezpečnosti - na výskyt programátorských
chyb a zranitelností. Dodavatelé VoIP často vyzývají
přinejmenším k aplikaci záplat, mnohdy i k více či
méně pravidelnému přechodu na vyšší verze.
únor 2009
Také podotýkáme, že součástí informační bezpečnosti
je dostupnost, kterou se u VoIP ne vždy daří plně zajistit. Svědčí o tom třeba i fakt, že VoIP se nedoporučuje používat pro tísňová volání. (Existují i další důvody pro odmítání této technologie, a to třeba
problematická geografická lokalizace volajícího nebo
identifikace volajícího.)
Bezpečnostní problémy se v zásadě dají rozdělit do tří
oblastí: selhání autentizace (např. neoprávněný útočník nakládá s daty/informacemi, k nimž by neměl mít
přístup), selhání integrity (výpadky spojení apod.)
a selhání soukromí (odposlech aj.). Každá z těchto oblastí přitom při návrhu architektury musí být posuzována samostatně - ovšem stejně tak musí být posuzovány všechny společně v celkovém bezpečnostním
kontextu.
Jak na VoIP
bezpečnost?
Klíčem k bezpečnému VoIP je každopádně správný
návrh sítě a její celková architektura. Což je ostatně
problém nejen bezpečnosti, ale i kvality služby (potíže s těmito ukazateli pochopitelně odrazují lidi od
VoIP vůbec). Každopádně nejde jen o to, internetovou
telefonii nasadit, ale o to, nasadit ji bezpečně. Ostatně
i operační systém (jakýkoliv!) lze nasadit, nebo nasadit bezpečně.
Pokud je to jen trochu možné, oddělte datové a hlasové přenosy. Pochopitelně to vyžaduje nemalé náklady, ale na druhé straně je to jediná cesta k zajištění
dostupnosti VoIP. Právě na tyto skryté náklady při pořizování internetové telefonie si dejte pozor. O tom, že
oddělení dat a hlasových přenosů přináší své ovoce,
svědčí i případ z roku 2004, kdy virus napadl síť americké univerzity Worcester Polytechnik Institute. Datová síť se zhroutila, ale technologie VoIP díky oddělení sítí bez potíží dále fungovala.
únor 2009
Mírně
pesimistický závěr
Jedna věc je každopádně neoddiskutovatelná: útoky
proti datovým sítím dlouhodobě narůstají, je jen otázkou času, kdy masově postihnou i VoIP. Je to čím dál
zajímavější a čím dál zranitelnější cíl.
Původně se VoIP jevil jako výborná technologie (kolem roku 2000), která spojí přednosti datových a hlasových sítí, kdy hovor bude asi 3x levnější než klasický hovor prostřednictvím telefonu. Dnes se ale
ukazuje, že kvůli bezpečnosti je třeba datovou a VoIP
síť rozdělit, je třeba investovat do zabezpečení VoIP
sítě a výhoda se pomalu zmenšuje, přesto se jeví zatím stále výhodné budovat VoIP sítě, ale ne tak moc
jako dříve. Návratnost těchto investic klesá a u přechodu z jedné technologie (klasické) na VoIP je otázkou, zda se to dnes ještě vyplatí.
Co můžeme očekávat v roce 2009?
Z hlediska trendů budou pravděpodobně stále více napadány především takové služby, které umožní útočníkovi přímý finanční profit. To znamená především
bankovní služby, obchodní služby a telefonní služby
a to ať už klasické nebo VoIP.
Z hlediska škodlivého softwaru budou snahy o získávání citlivých informací z koncových počítačů uživatelů, jako jsou hesla, osobní údaje, čísla bankovních
karet apod. Bude dále pokračovat trend růstu krádeží
identit a jejich zneužití pro rozesílání nevyžádaných
sdělení. Přestože je tato věc v ČR upravena zákonem,
boj s touto problematikou slaví v podstatě nulové úspěchy.
Budou ve větší míře než dosud napadány především
WWW aplikace prostřednictvím chyb v balících, které
slouží k jejich tvorbě a provozu. Děravost aplikací typu
Internet Explorer a Mozilla Firefox se bude sbližovat.
únor 2009
Pro uživatele mimo aktivních a pasivních ochran bude
vhodné používat méně rozšířené OS a aplikace (pokud jim to znalosti a potřeby dovolí). V podstatě se
nejdená o nic nového, heterogenní prostředí je mnohem hůře napadnutelné než monokultura. Z tohoto pohledu bych jako problém viděl poměrně velký monopol v oblasti síťových prvků. U serverů a stanic tak
velký problém asi není.
Docela zajímavou oblastí s poměrně velkou perspektivou je virtualizace a použití virtuální strojů a sítí. Je
to slušná možnost jak v rámci jednoho hardwaru zajistit heterogennost systému a při napadení alespoň
částečný chod prostředí. Mimo oddělení hlasových
VoIP a datových služeb pravděpodobně dojde k většímu rozšíření oddělených sítí pro správu jak síťových
prvků, tak i aplikací.
únor 2009
únor 2009

2/2 přehled zajímavostí v oblasti informační a komunikační

Transkript

Podobné dokumenty

Seznam nejnovějších knih

6.třída č. autor název knihy 1 Allison Jennifer Pátračka Gilda 2

2/2 přehled zajímavostí v oblasti security za poslední období

POMOC: Ant, Beo, čarda,Deira,noma, tinea, Tomb, Yma. Louis

2. Memoriál Alexeje Petroviče Maresjeva

Zabezpečte se před zneužitím Vaší ústředny