Uživatel a poˇ cítaˇ cová bezpeˇ cnost Andrea Kropᡠcová, CESNET CERTS1
Ochrana hesel a klíˇ cu ˚ Není vhodné si heslo v otevˇ rené textové podobˇ e kamkoliv poznamenávat – do diᡠre, na papírky, na doklady, na nástˇ enku, na st˚ ul, na displej poˇ cítaˇ ce. Pokud uživatel nevˇ eˇ rí své pamˇ eti, je vhodné chránit heslo napˇ ríklad další šifrou a pro uložení použít externí médium (disketu, CD-ROM, DVD, CF, Palm), které je pak tˇ reba adekvátnˇ e ochránit pˇ red zcizením. Heslo samozˇ rejmˇ e není žádoucí komukoliv sdˇ elovat a také obrácenˇ e – nedovolte, aby nˇ ekdo sdˇ eloval své heslo vám!
Nejslabším ˇ clánkem poˇ cítaˇ cové bezpeˇ cnosti obecnˇ e je vždy uživatel. Proto by mˇ el být pr˚ ubˇ ežnˇ e vzdˇ eláván a je nutné mu neustále pˇ ripomínat základní pravidla pro bezpeˇ cné používání poˇ cítaˇ cu ˚ a služeb. Tento ˇ clánek není návodem jak zajistit bezpeˇ cnost celé sítˇ e nebo poˇ cítaˇ ce, ani návodem na jejich bezpeˇ cnou konfiguraci. Je zamˇ eˇ ren na základní rizika a pravidla, která by mˇ el každý uživatel znát a dodržovat tak, aby jeho prostˇ rednictvím nedošlo k narušení bezpeˇ cnosti at’ už konkrétnˇ e jeho dat nebo celého systému.
V pˇ rípadˇ e pˇ rístupu k více službám nebo stroj˚ um, které nejsou autentizovány centrálnˇ e, není dobré používat všude stejné heslo. Pamatovat si pro r˚ uzné služby r˚ uzná hesla je sice trochu nepohodlné, ale nižší uživatelský komfort vynahradí vyšší bezpeˇ cnost vašich dat a program˚ u.
Základní pravidlo
Je tˇ reba také dbát na správné používání hesla. Jestliže máte napˇ ríklad heslo pro pˇ rístup k poštˇ e, není dobré zkoušet toto heslo ad-hoc pro jiné služby – obzvláštˇ e ne ty, o kterých nic nevíte nebo které jsou z principu nešifrované (FTP). Obecnˇ e platí, že je dobré zeptat se správce, který vám heslo vydal, ke kterým službám je možné je používat.
Každý uživatel by mˇ el vˇ edˇ et, že je nedílnou souˇ cástí širší poˇ cítaˇ cové bezpeˇ cnosti. Že bezpeˇ cnost jeho stanice není záležitostí pouze správce, nýbrž že on sám se na bezpeˇ cnosti své pracovní stanice i celé sítˇ e aktivnˇ e podílí. Každá koncová stanice s narušenou bezpeˇ cností se m˚ uže stát pˇ restupním prvkem pro útok na ostatní zdroje v síti. Proto se poˇ cítaˇ cová bezpeˇ cnost týká všech prvk˚ u, i té nejobyˇ cejnˇ ejší pracovní stanice. Každý systém je nejsnáze napadnutelný zevnitˇ r.
Mnoho uživatel˚ u používá pro zjednodušení pˇ rístupu na vzdálené servery ssh klíˇ ce – typicky v pˇ rípadˇ e, kdy potˇ rebují pracovat s více vzdálenými servery, na kterých jsou hesla spravována individuálnˇ e. V tˇ echto pˇ rípadech je nutné peˇ clivˇ e zvážit, kde je možné uložit privátní klíˇ c. Optimální je mít privátní ssh klíˇ c uložen pouze na své pracovní stanici, byt’ to m˚ uže komplikovat pˇ renos dat mezi vzdálenými servery navzájem.
Vhodná volba hesla a jeho pravidelná zmˇ ena Pro automatické nástroje není problém vyzkoušet bˇ ehem nˇ ekolika minut stovky tisíc hesel; jako heslo nejsou tedy vhodná bˇ ežná slova (vyskytující se ve slovníku). Optimální nejsou ani jména oblíbených filmových ˇ ci knižních hrdin˚ u, zámˇ ena znak˚ u s diakritikou za numerické symboly ležící na stejné klávese nebo použití dat identifikujících uživatele (adresa, ˇ císla doklad˚ u, data narození apod.). Hesla by mˇ ela pokud možno obsahovat i jiné než jen alfanumerické znaky (napˇ r. znaky ,.:;-=+_). Mˇ ela by být také adekvátnˇ e dlouhá – ˇ reknˇ eme alespoˇ n 8 znak˚ u – a je tˇ reba je obˇ cas zmˇ enit. 1
Ochrana obsahu zprávy a identity Uživatelé si ˇ casto neuvˇ edomují, jak jednotlivé služby fungují. To je vede k mylné pˇ redstavˇ e tˇ reba o tom, kdo se m˚ uže k jejich dat˚ um dostat a jak. Asi nejtypiˇ ctˇ ejším pˇ ríkladem je elektronická pošta. Vˇ etšinu bˇ ežných uživatel˚ u šokují pˇ redevším dvˇ e zjištˇ ení: – že k obsahu jejich zpráv se m˚ uže dostat každý, kdo má potˇ rebné znalosti a možnosti (napˇ ríklad odposlechem sít’ové komunikace
CERTS – Computer Security Incident Response Team
1
nebo pˇ rímým pˇ rístupem k soubor˚ um na poštovním serveru). Jedinou skuteˇ cnˇ e spolehlivou cestou jak ochránit data posílaná elektronickou poštou, je jejich šifrování. Optimální ochranu poskytují metody založené na asymetrické kryptografii, napˇ ríklad PGP klíˇ ce a X.509 certifikáty. – že kdokoliv na svˇ etˇ e m˚ uže poslat e-mail, který bude mít jako odesilatelskou adresu uvedenu adresu jejich. To, že do položky Odesilatel m˚ uže každý vložit cokoliv, se uživatel vˇ etšinou dozví až v okamžiku, kdy jim od nich samých pˇ rijde nesmyslný e-mail, o kterém ví, že si jej urˇ citˇ e neposlali. Stejnˇ e jako v pˇ rípadˇ e ochrany obsahu zprávy, i tento problém má ˇ rešení – tím je elektronický podpis. Elektronický podpis je navíc ˇ rešením i pˇ ri ochranˇ e integrity zprávy. Umožˇ nuje totiž zjistit, jestli zpráva nebyla cestou zmˇ enˇ ena.
poštou). Tyto seznamy by mˇ ely být v systémech uživatel˚ u pravidelnˇ e aktualizovány.
Peˇ clivost a pozornost Uživatelé by mˇ eli neustále dbát i na záležitosti typu zamykání poˇ cítaˇ ce pˇ ri opuštˇ ení pracovištˇ e (a to i krátkodobém) a na uzavˇ rení aplikací typu poštovní klient pˇ red odchodem z práce. Rovnˇ ež napˇ ríklad v internetových kavárnách, obecnˇ e u jakéhokoliv poˇ cítaˇ ce, u kterého jste hostem, je vhodné po skonˇ cení práce vypnout spuštˇ ené aplikace. Je tˇ reba být opatrný i pˇ ri sdílení pˇ renoˇovaných sových médií, napˇ ríklad u médií vymˇ en s kolegou. Obecnˇ e by mˇ ela být vždy aplikována zásada d˚ uvˇ eˇ ruj, ale provˇ eˇ ruj“. ”
Pˇ renosová média Uživatelé by mˇ eli mít na pamˇ eti, že pravidelná antivirová ochrana jejich stanice je potˇ rebná, není však univerzálním samospasitelným ˇ rešením. Používáme-li externí média, napˇ ríklad pˇ ri transporu dat mezi domácím a firemním poˇ cítaˇ cem, je nezbytné vˇ enovat pravidelnou (antivirovou) péˇ ci i tˇ emto médiím.
O problematice šifrování zpráv a elektronického podpisu se podrobnˇ eji zmíníme v nˇ ekterém z dalších ˇ clánk˚ u.
Ochrana certifikát˚ u a revokaˇ cní klíˇ ce K používání elektronického podpisu a šifrování obsahu zpráv nás motivuje snaha ochránit svá data, jejich integritu a svoji identitu. Neménˇ e nutné je ovšem chránit privátní ˇ cásti klíˇ cu ˚ (PGP, X.509 certifikát˚ u) a být pˇ ripraven na možnost zcizení nebo zniˇ cení privátního klíˇ ce. V takovémto pˇ rípadˇ e je d˚ uležité klíˇ c co nejrychleji revokovat. Revokací (zneplatnˇ ením) vlastník klíˇ ce nebo certifikátu ˇ ríká, že jeho elektronickému podpisu již není možné dále vˇ eˇ rit. Pro pˇ rípad zniˇ cení privátního klíˇ ce je rozumné, aby se uživatel na tuto možnost vˇ cas pˇ ripravil; napˇ r. tím, že již pˇ ri generování klíˇ cu ˚ si vygeneruje zároveˇ n i pˇ ríslušný revokaˇ cní klíˇ c.
Znalost funkcionality používaných nástroj˚ u a OS
V souvislosti s elektronickým podepisováním zpráv a jejich šifrováním je nutné dbát na pravidelnou kontrolu toho, jestli nedošlo ke zneplatnˇ ení nˇ ekterého z klíˇ cu ˚ nebo certifikát˚ u, které máme uloženy ve svém klientovi (veˇ rejné klíˇ ce lidí, se kterými jsme v e-mailovém kontaktu). Certifikaˇ cní Autority, které certifikáty vydávají, obvykle nˇ ejakou vhodnou formou zveˇ rejˇ nují seznam revokovaných certifikát˚ u (napˇ ríklad prostˇ rednictvím svých webových stránek nebo el.
Velkou bolestí souˇ casných technologií je skuteˇ cnost, že spolu se zvyšováním jejich uživatelské pˇ rítulnosti se zmenšuje povˇ edomí uživatel˚ u o tom, jak dané aplikace vlastnˇ e fungují a co jejich chování m˚ uže zp˚ usobit. Pozdˇ e se potom diví, jak je možné, že jejich soukromý“ e-mail si m˚ uže ” pˇ reˇ císt i nˇ ekdo jiný než adresát, že data, která sami osobnˇ e smazali, jsou na pevném disku jejich stroje k nalezení ještˇ e dlouho poté, co tak uˇ cinili, že se dopustili porušení autorských práv,
Archivace a šifrování citlivých dat Pokud jsou výsledkem naší práce data, která nejsou urˇ cena pro každého a jejichž prozrazení by mohlo zp˚ usobit problémy, je vhodné data pˇ red uložením zašifrovat a mít je archivované pouze v šifrované podobˇ e. K šifrování je možné použít napˇ r. již zmínˇ ené PGP klíˇ ce nebo certifikáty. Dobrou volbou jak zvýšit bezpeˇ cnost dat je samozˇ rejmˇ e i šifrovaný souborový systém.
2
že na jejich e-mailovou adresu chodí velké množství spam˚ u, že mají zavirovaný poˇ cítaˇ c a podobnˇ e. Je proto vhodné znát následující pravidla aˇ rídit se jimi:
– Instalovat programy pocházející jen ze spolehlivých zdroj˚ u! Není-li si uživatel jist, mˇ el by instalaci nových vˇ ecí nechat na správci.
Psychologický nátlak – Nepoužívat zdánlivˇ e užiteˇ cnou funkci zapamatovat heslo pro pˇ ríští použití, kterou nabízí napˇ r. www-prohlížeˇ c nebo poštovní klient. Uživateli tak sice pˇ ribude trocha práce navíc, ale ta za bezpeˇ cnost urˇ citˇ e stojí.
Každý uživatel by mˇ el vˇ edˇ et o možnostech psychologického nátlaku, kterého se m˚ uže stát obˇ etí i on samotný. Mˇ el by vˇ edˇ et, že nikdo – kolega, správce, ani nadˇ rízený – nemá právo po nˇ em pod jakoukoliv záminkou žádat sdˇ elení hesla, a že taková žádost je nelegální, podezˇ relá a nemˇ ela by z˚ ustat bez odezvy. Správce daného stroje heslo uživatele k niˇ cemu nepotˇ rebuje, protože má jiné prostˇ redky, jak se v systému dostat tam, kam v souvislosti se svou rolí správce potˇ rebuje. Nadˇ rízený pracovník má zase k dispozici formální postupy, které m˚ uže uplatnit v souladu s pravidly firmy. Nikdo nemá nárok, aby mu kolega prozradil heslo ke svému úˇ ctu, ke klíˇ ci a podobnˇ e. Vždy je vhodné si uvˇ edomit paralelu z bˇ ežného života – souseda, nebo šéfa také neuˇ cíte sv˚ uj podpis podle bankovního podpisového vzoru. O možnostech a rizicích psychologického nátlaku by mˇ eli být informováni pˇ redevším zaˇ cínající studenti a noví zamˇ estnanci.
– Pro mazání soubor˚ u používat sofistikované metody, které zajistí skuteˇ cné fyzické smazání dat samotných, nikoliv pouze informací o nich. Zde je dobré zmínit, že je potˇ reba dát pozor na citlivá data napˇ ríklad pˇ ri reklamování vadného pamˇ et’ového média. To, že médium nefunguje, neznamená, že data na nˇ em jsou neˇ citelná. Vhodným ˇ rešením m˚ uže být používání šifrovaného souborového systému nebo šifrování citlivých soubor˚ u. – Pro bezpeˇ cnou elektronickou komunikaci používat šifrování zpráv, napˇ r. pomocí osobního X.509 certifikátu nebo pomocí PGP klíˇ cu ˚. Pro ochranu identity elektronické zprávy podepisovat. – Neotevírat podezˇ relé e-maily a zvláštˇ e ne jejich pˇ rílohy. Na zjevný spam zásadnˇ e neodpovídat a nežádat o vyˇ razení z evidence, i když se to v dopise nabízí. V pˇ rípadˇ e, že tak uˇ ciníte, jen potvrdíte funkˇ cnost své adresy a podnítíte její zaˇ razení do spamové databáze adres.
Do této kategorie rovnˇ ež patˇ rí poplašné e-maily ˇ heslo na ’zbcdef’, jinak dotypu honem si zmˇ en ” jde ke zneužití tvého úˇ ctu“. Ke zneužití skuteˇ cnˇ e dojde, pokud takovéto výzvy uposlechnete.
– Pˇ ri používání klient˚ u pro sdílení dat m˚ uže dojít pˇ ri špatné konfiguraci k tomu, že již v okamžiku stahování se data automaticky nabízí ke stažení jiným uživatel˚ um; uživatel to ˇ casto netuší a spoléhá se na to, že když stahuje autorským zákonem chránˇ ená data výluˇ cnˇ e pro osobní použítí a nehodlá je distribuovat dál, tak se niˇ ceho špatného nedopouští. Netuší, že jeho klient automaticky tato data zpˇ rístupní již v okamžiku stahovací fáze.
Uživatel se m˚ uže dostat do vážných problém˚ u i zdánlivˇ e nevinnou ˇ cinností jen proto, že nezná základní práva a povinnosti. Typickým pˇ ríkladem je porušení autorských práv vystavením autorsky chránˇ ených dat (film˚ u, hudby, software) na www-stránce nebo prostˇ rednictvím klienta poskytujícího data veˇ rejnˇ e ke stažení. Tímto ˇ cinem se dopustí nelegálního šíˇ rení dat chránˇ ených autorským zákonem a to m˚ uže vést až k žalobˇ e postiženou osobou a žádosti o finanˇ cní kompenzaci. Obˇ cas si uživatelé myslí, že se jim na poli autorkého práva nem˚ uže nic stát, protože ˇ Co mi m˚ uže udˇ elat firma z USA? Do Ceské re” publiky na mˇ e pˇ rece nedosáhne“. Je to pˇ redstava ˇ má zákony, které mylná; vˇ etšina zemí vˇ cetnˇ e CR postihují nelegální šíˇ rení dat chránˇ ených autorským právem a každý (i osoby ze zahraniˇ cí) se
Základní znalost práv, povinností a rizik
– K vˇ etšinˇ e d˚ uležitých služeb a nástroj˚ u existují jejich zabezpeˇ cené verze. Napˇ ríklad pro práci s elektronickou poštou jsou to protokoly IMAPS, POPS a SMTPS, pro pˇ rístup na vzdálené servery a pˇ renos dat jsou protokoly SSH a SCP, což jsou zabezpeˇ cené obdoby nechránˇ ených program˚ u telnet a FTP. 3
ˇ mnohé zachránit. Cím déle uživatel s upozornˇ ením na svou chybu váhá, tím horší situace nakonec m˚ uže být. Proto platí: správce se nebojte, zhˇ rešivšího uživatele správce nezastˇ relí, ale pom˚ uže mu.
jejich prostˇ rednictvím mohou zneužití svých dat bránit. Dalším pomˇ ernˇ eˇ castým prohˇ reškem, kterého se uživatelé dopouštˇ ejí, je spamování (spamming). Rozesláním napˇ ríklad reklamních informací velkému množství pˇ ríjemc˚ u se uživatel dopouští nejen prohˇ rešku proti slušnosti a sít’ové etiketˇ e, ale v nˇ ekterých pˇ rípadech také porušuje platné zákony.
Také je dobré si uvˇ edomit, že i správce je jen ˇ clovˇ ek a není vševˇ edoucí. Proto pojme-li uživatel podezˇ rení, že nˇ eco není s jeho poˇ cítaˇ cem nebo s konkrétní službou v poˇ rádku, mˇ el by vždy správci své podezˇ rení sdˇ elit, byt’ by se nakonec ukázalo jako mylné.
Velkou bolestí je lehkomyslné zacházení s privátními údaji a daty. V posledních letech je velmi populární tzv. phishing, který svádí uživatele, aby sami prozradili sv˚ uj pˇ rístupový kód k bankovnímu úˇ ctu ˇ ci jiným službám. Princip je velmi jednoduchý: uživateli pˇ rijde poplašná zpráva, že jeho bankovnímu úˇ ctu hrozí zneužití, ktere m˚ uže vést ke ztrátˇ e financí. Že tomu ale m˚ uže zabránit tím, když okamžitˇ e zmˇ ení sv˚ uj pˇ rístupový kód – a to prostˇ rednictvím uvedeného odkazu. Problém je však v tom, že pˇ ríslušný odkaz nevede na stránky zmínˇ ené banky (i když se tak tvᡠrí), nýbrž na stránky útoˇ cníka, kde je uživatel vyzván k vyplnˇ ení d˚ uležitých údaj˚ u. Pokud tak skuteˇ cnˇ e uˇ ciní, jeho osud je zpeˇ cetˇ en.
Následky narušení bezpeˇ cnosti poˇ cítaˇ ce/sítˇ e Uživatelé si ˇ casto myslí, že bezpeˇ cnost jejich dat, poˇ cítaˇ ce a sítˇ e obecnˇ e se jich samotných netýká. Zvláštˇ e pak v pˇ rípadˇ e, kdy jsou pouze pasivními“ uživateli a o poˇ cítaˇ c, který pˇ ri své ” práci používají, se stará správce“. Mají pocit, že ” za vše zodpovídá správce a v pˇ rípadˇ e narušení bezpeˇ cnosti se jim nem˚ uže stát žádná újma a za nic neponesou odpovˇ ednost. Jedná se samozˇ rejmˇ e o pˇ redstavu mylnou – i pasivní uživatel se m˚ uže na porušení bezpeˇ cnosti svého poˇ cítaˇ ce aktivnˇ e podílet. Napˇ ríklad tím, že kolegovi p˚ ujˇ cí“ k použití sv˚ uj poˇ cítaˇ c nebo své heslo, po” užije zavirované pˇ renosové médium nebo prostˇ e jen svou naivitou a nevˇ edomostí (porušení autorkých práv, spamming). Další mylnou pˇ redstavou, se kterou nˇ ekteˇ rí uživatelé pˇ redem kalkulují, je, že v pˇ rípadˇ e narušení bezpeˇ cnosti nelze zjistit, jak pˇ resnˇ e k nˇ emu došlo a kdo je za problém zodpovˇ edný. Vˇ etšina zkušených správc˚ u ale je schopna tyto vˇ eci odhalit. Významnou pomoc v pátrání po slabém místˇ e napadeného systému pˇ redstavují napˇ ríklad systémy pro obnovu smazaných dat nebo centrální log-servery, které zaznamenávají d˚ uležité operace (jako napˇ ríklad pˇ rihlášení do systému, zmˇ ena dat a podobnˇ e). Uživatelé by o tˇ echto technologiích mˇ eli vˇ edˇ et (stejnˇ e jako o faktu, že správce je ˇ clovˇ ek zvídavý a pˇ rípady narušení bezpeˇ cnosti, když už nastanou, bere jako pˇ ríležitost se nˇ eco nového nauˇ cit), zvyšuje to totiž jejich pocit odpovˇ ednosti. Jakmile se dozvˇ edí, že ve svˇ etˇ e poˇ cítaˇ cu ˚ nic nemizí nenávratnˇ e, jejich pˇ rístup se zmˇ ení ve prospˇ ech bezpeˇ cnosti. Dále je vhodné informovat
Na tomto poli je opravdu asi nejlepším doporuˇ cením chladná hlava, zdravý selský rozum a používání analogií z neinternetového života. Neznámému pˇ ríchozímu, který by tvrdil, že vaše konto bude za 5 minut zneužito, ale on vás m˚ uže zachránit když mu dáte své doklady a nauˇ cíte jej sv˚ uj podpis, také asi nebudete vˇ eˇ rit, ale p˚ ujdete se informovat do své banky.
Spolupráce správce a uživatele Velice d˚ uležitým bodem na poli bezpeˇ cnosti je komunikace mezi uživatelem a správcem. Uživatel by mˇ el vˇ edˇ et, že správce je zde od toho, aby mu maximálním zp˚ usobem pomohl, obzvláštˇ e v pˇ rípadˇ e problém˚ u na poli bezpeˇ cnosti. Uživatelé se ˇ casto stydí pˇ riznat, že pravdˇ epodobnˇ e udˇ elali nˇ eco, co m˚ uže vést k narušení bezpeˇ cnosti (napˇ r. kompromitace hesla) a tuto skuteˇ cnost tutlají – at’ již ze strachu pˇ red správcem, pˇ red nadˇ rízenými nebo z obavy o svou osobní prestiž. To je však zásadní chyba. Vˇ casným a vhodným zásahem m˚ uže správce ještˇ e 4
uživatele o možných d˚ usledcích narušení bezpeˇ cnosti. Ty mohou být velice vážné – ˇ casto jde o zneužití identity uživatele a jeho osobních dat napˇ ríklad pro získání pˇ rístupu k privátním dat˚ um nebo k oklamání ostatních. To všechno m˚ uže vést k narušení soukromí, ke ztrátˇ e osobní prestiže, dobrého jména, financí, k problém˚ um v rodinˇ e a partnerském životˇ e, k problém˚ um v zamˇ estnání a následnˇ e jeho ztrátˇ e, k vylouˇ cení ze školy. Obecný recept jak dosáhnout 100% zabezpeˇ cení asi neexistuje, co proto ˇ ríct závˇ erem? Asi nejvýstižnˇ ejší je pionýrské bud’ pˇ ripraven“ a v pˇ rí” padˇ e, že k narušení bezpeˇ cnosti dojde, reagovat rychle a efektivnˇ e se snahou odstranit vzniklý problém s co možná nejmenšími následky. Dále platí, že klíˇ cem k bezpeˇ cnosti poˇ cítaˇ cu ˚ a apliˇ vynaložený na jeho kací je koncový uživatel. Cas vzdˇ elávání se urˇ citˇ e vyplatí – ˇ cili se uˇ cit, se uˇ cit, ” se uˇ cit . . . “.
5