MASARYKOVA UNIVERZITA FAKULTA INFORMATIKY
TESTOVÁNÍ BEZPEČNOSTI BAKALÁŘSKÁ PRÁCE
BRNO, 2006
HOLUB MICHAL, DIS
Prohlášení
Prohlašuji, že tato práce je mým původním autorským dílem, které jsem vypracoval samostatně. Všechny zdroje, prameny a literaturu, které jsem při vypracování používal nebo z nich čerpal, v práci řádně cituji s uvedením úplného odkazu na příslušný zdroj. V Brně, 8. května 2006
Holub Michal, DiS ___________________________
Poděkování Rád bych poděkoval vedoucímu mé bakalářské práce, doc. RNDr. Václavu Matyášovi ml., M.Sc., Ph.D., za vstřícnost, ochotu a profesní rady, bez nichž by nemohla vzniknout. Děkuji také firmě Ahorn s.r.o. za poskytnuté prostředí a vybavení, zejména pak panu Pavlu Kreuzingerovi.
Shrnutí Cílem této práce bylo otestovat bezpečnost ve společnosti Ahorn, s. r. o., popsat zjištěné problémy a navrhnout jejich řešení.
Klíčová slova Testování bezpečnosti, bezpečnost systému, Microsoft Baseline Security Analyzer, Microsoft Windows, sociální inženýrství.
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
PRÁCE
Obsah 1 ÚVOD.............................................................................................................7 2 BEZPEČNOST IT................................................................................................8 2.1 Problémy Bezpečnosti IT.............................................................................................8 2.2 Řešení Problémů Bezpečnosti IT.................................................................................9 1. krok – Strategie informační bezpečnosti...............................................................................9 2. krok – Analýza rizik................................................................................................................9 3. krok – Informační bezpečnostní politika...............................................................................9 4. krok – Bezpečnostní směrnice a standardy..........................................................................10 5. krok – Implementace bezpečnosti........................................................................................10 6. krok – Monitorování a kontrola...........................................................................................10
3 SOCIÁLNÍ INŽENÝRSTVÍ......................................................................................11 4 TESTOVÁNÍ BEZPEČNOSTI...................................................................................12 4.1 Představení Společnosti............................................................................................12 4.2 Microsoft Baseline Security Analyzer 2.0..................................................................12 Požadavky na běh programu....................................................................................................12 Výsledky testování...................................................................................................................12 Oblasti, v nichž MBSA nenašel žádný problém u žádného s testovaných počítačů.................13
Test aktualizací...................................................................................................................13 Test Windows.....................................................................................................................14 Závěr........................................................................................................................................18
4.3 Testování Bezpečnosti Poboček Firmy Ahorn, S. R. O..............................................18
5 PROJEKT VÝZKUMU...........................................................................................20 5.1 5.2 5.3 5.4 5.5
Pojmový Aparát.........................................................................................................20 Metody Sběru Dat.....................................................................................................20 Administrace Dotazníku...........................................................................................21 Složení Respondentů.................................................................................................21 Obecné Otázky Bezpečnosti......................................................................................21 -5-
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
PRÁCE
Prozrazení hesla osobě blízké..................................................................................................21 Jednoduché heslo / papírek.....................................................................................................22 Délka hesla..............................................................................................................................22 Použití stejného hesla do různých systémů..............................................................................23 Frekvence změny hesla............................................................................................................23 Pojmy bezpečnosti IT...............................................................................................................24 Spyware na počítači.................................................................................................................24 Adware jako součást některých aplikací..................................................................................25 Prozrazení hesla rozčilenému administrátorovi......................................................................25 Zamykání PC...........................................................................................................................26 Pojmy z oblasti sociálního inženýrství.....................................................................................26 Podlehnutí phishingovému emailu Citibank............................................................................27 Údaje, které lze zaznamenat při prohlížení internetu..............................................................27 Rozdíl http / https....................................................................................................................28
6 DOPORUČENÍ..................................................................................................29 6.1 Základní Doporučení................................................................................................29 6.2 Volitelná Doporučení................................................................................................30
7 ZÁVĚR...........................................................................................................31 7.1 7.2 7.3 7.4
Testování Programem MBSA....................................................................................31 Test Bezpečnosti Poboček..........................................................................................31 Dotazníková Část......................................................................................................31 Celkové Hodnocení...................................................................................................32
8 SEZNAM POUŽITÉ LITERATURY.............................................................................33 PŘÍLOHA A PŘÍLOHA B PŘÍLOHA C
-6-
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
PRÁCE
1 Úvod V dnešním světě patří informace mezi nejdůležitější nehmotná aktiva, která může organizace nebo jednotlivec vlastnit. Tak jako už od nepaměti zabezpečujeme hmotný majetek, je nutné se postarat i o bezpečnost informací. Oproti hmotnému majetku, který lze relativně spolehlivě zabezpečit, je ochrana informací velmi obtížný úkol. Je nutné si uvědomit, že krádež informací lze provést s velmi nízkými náklady, v podstatě stačí pouze počítač připojený do sítě (ať u Internetu, z pohledu vnějšího útočníka, či intranetu, z pohledu útočníka vnitřního). Z toho plyne, že počet útoků bude mnohonásobně větší než počet případných "útoků" na hmotný majetek. Také variabilita útoků a bezpečnostní slabiny systémů (objevené i neobjevené), činí zabezpečení informací obtížným úkolem. Je proto nutné zavést mnohá opatření vedoucí k zabezpečení informací. Po zavedení těchto opatření by měla následovat fáze, která má za úkol ověřit funkčnost přijatých opatření a dodržování bezpečnostních pravidel definovaných bezpečnostní politikou organizace. Do této fáze patří analýza bezpečnosti, bezpečnostní audit, penetrační testování aj. Některé tyto činnosti se provádějí jednorázově, jiné průběžně. Ve své bakalářské práci se zaměřím na testování bezpečnosti síťové infrastruktury organizace Ahorn, s. r. o. nástrojem Microsoft Baseline Security Analyzer v. 2.0 (dále jen MBSA) od Microsoftu. Po otestování bezpečnosti se zaměřím na vypracování dotazníku, který bude mít za úkol prověřit povědomí zaměstnanců organizace o počítačové bezpečnosti. V poslední fázi provedu test bezpečnosti na některých prodejnách firmy Ahorn. V těchto testech se zaměřím na "odolnost" zaměstnanců vůči technikám sociálního inženýrství. V kapitole Bezpečnost IT čtenáře seznámím s touto problematikou a následující kapitola čtenáře seznámí se sociálním inženýrstvím (dále SI) a vztahem SI k bezpečnosti IT. První část kapitoly Testování bezpečnosti se bude věnovat krátkému popisu programu MBSA, jeho nasazení v organizaci a seznámení s výsledky, v druhé části se budu věnovat popisu testování „odolnosti“ zaměstnanců proti technikám sociálního inženýrství. V závěru kapitoly se zaměřím na nejzásadnější problémy zjištěné při kontrole bezpečnosti v organizaci a navrhnu řešení na jejich odstranění. V kapitole Dotazník čtenáři představím dotazník, jehož úkolem bylo zjistit obecné povědomí zaměstnanců o základních otázkách bezpečnosti. Kapitola Seznam doporučení bude shrnovat má doporučení pro zvýšení bezpečnosti organizace a poslední kapitola Závěr bude shrnovat mé zkušenosti a dojmy při tvorbě této bakalářské práce.
-7-
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
PRÁCE
2 Bezpečnost IT Zabezpečováním IT se označuje proces dosažení a udržení důvěrnosti, integrity, dostupnosti, prokazatelnosti, odpovědnosti, autenticity a spolehlivosti informací a služeb IT na takové úrovni, aby případné náklady na narušení bezpečnosti převyšovaly náklady na její dosažení. Bezpečnost IT v organizaci závisí především na přístupu managementu organizace a tato by měla být nedílnou součástí bezpečnostní politiky organizace [1].
2.1 Problémy bezpečnosti IT Zdálo by se, že bezpečnost je velké téma. Je. Ale ne všude a pro všechny. Sále u nás najdete firmy, pro které jsou jejich informace otázkou existence, ale přesto příslovečně nehnuly v bezpečnosti prstem a patří mezi ty, jež spoléhají na štěstí. A pak jsou firmy, které se pro svůj úspěch snaží udělat více, a bezpečnost řeší nebo řešit začaly. Management těchto firem provedl v určitém stádiu důležitý "mentální krok" (ještě ne vlastní krok řešení, spíše příprava na odraz). Co obnáší "mentální krok"? Management se rozhodl informační bezpečností skutečně zabývat, což obnáší všechny, nebo alespoň některé následující rysy: •
vyčlenění interních lidských zdrojů (zřízení útvaru bezpečnosti, jmenování bezpečnostního manažera, alokace pracovníků jiných útvarů),
•
vyhrazení finančních prostředků,
•
ochota spolupracovat na řešení bezpečnosti s externími dodavateli,
•
připravenost vzít na sebe zodpovědnost za bezpečnost na nejvyšší úrovni,
•
uvědomění si potřeby spustit systematický proces řešení,
•
smíření se s faktem, že řešení bezpečnosti znamená věnovat se této oblasti natrvalo.
Důvodů, proč se management pohnul, může být přitom celá řada - prožité bezpečnostní incidenty, závěry auditu, rozhodnutí majitelů, pozitivní osvětové působení vnitřních sil, snaha získat konkurenční výhodu, srovnání obdobných firem v oboru atd. Podstatné je, že toto rozhodnutí bývá jen výjimečně podloženo tvrdými fakty typu návratnosti investic (ROI). Proto bývá toto rozhodnutí těžké a "mentální krok" s sebou přináší chápání investic do bezpečnosti analogicky jako nákladů spojených s pojištěním.
-8-
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
PRÁCE
2.2 Řešení problémů bezpečnosti IT Podporu nejvyššího managementu lze považovat za krok nultý. Jaké jsou kroky další? V následujícím textu uvedu šest kroků, které popisují proces řešení informační bezpečnosti. Uvedené schéma představuje zjednodušený model procesu řešení bezpečnosti, jež je součástí uznávaného bezpečnostního standardu ISO 13335. Ačkoliv se jedná o konkrétní schéma konkrétního standardu, lze je bez obav považovat za univerzální vyjádření přístupu k řešení bezpečnosti. 1. krok – Strategie informační bezpečnosti tomto kroku je potřeba udělat dva hlavní kroky: •
definovat hlavní cíle v oblasti informační bezpečnosti (co a jak chránit),
•
navrhnout a schválit parametry dalších kroků, ideálně ve formě projektu/ů.
První krok vlastně představuje zhmotnění "mentálního kroku". Management stanovuje priority řešení a ty se musí promítnout do cílů a parametrů. Typickými výstupy této části bývá definiční projektová dokumentace a ideálně také Celková bezpečnostní politika - stručný dokument deklarující podporu managementu v oblasti bezpečnosti (nejen informační). 2. krok – Analýza rizik Analýza rizik musí poskytnout odpovědi na tři základní otázky: •
Co se stane, když nebudou informace chráněny?
•
Jak může být porušena bezpečnost informací?
•
S jakou pravděpodobností se to stane?
Existuje řada specializovaných metodologií na provádění analýzy rizik (např. FRAP, IRIS, CRAMM) a tento krok typicky vyžaduje spolupráci s externími experty. Standardním výstupem analýzy rizik je zpráva se sumarizací a prioritizací rizik plus návrh doporučených opatření na jejich eliminaci nebo alespoň snížení. 3. krok – Informační bezpečnostní politika Analýza rizik provedená v předchozím kroku vede k detailnímu poznání organizace, jejích problémů a potřeb. To umožňuje vytvořit klíčový bezpečnostní dokument - bezpečnostní politiku - a zohlednit v něm specifika dané organizace. Jedná se o dokument, který je po přijetí managementem závazný pro celou společnost a který definuje východiska pro všechny další aktivity společnosti v oblasti informační bezpečnosti. Hlavním cílem informační bezpečnostní politiky je: •
definovat hlavní cíle při ochraně informací,
-9-
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
•
stanovit způsob, jak bezpečnost řešit,
•
určit pravomoci a zodpovědnosti.
PRÁCE
4. krok – Bezpečnostní směrnice a standardy Bezpečnostní politika definuje hlavní pravidla a zásady bezpečnosti. Ty je potřeba ještě dále konkretizovat do podoby detailních pravidel a postupů - bezpečnostních směrnic a standardů. Směrnice a standardy jsou součástí interní legislativy a jako takové se stávají závaznými pro organizaci. 5. krok – Implementace bezpečnosti Zásady a pravidla politiky, resp. standardů a směrnic, se nenaplní automaticky jejich vytvořením a přijetím. Je potřeba nastartovat aktivity (projekty), které bezpečnostní zásady uvedou do života. Z tohoto pohledu se nejedná o uzavřený krok, ale spíše moment, kdy jsou zahajovány jednotlivé bezpečnostní projekty, koordinované ustaveným bezpečnostním managementem. Příklady bezpečnostních projektů mohou zahrnovat: •
bezpečnostní vzdělávání,
•
havarijní plánování,
•
zabezpečení připojení na internet,
•
implementace infrastruktury veřejných klíčů.
6. krok – Monitorování a kontrola Pokud je ustaven bezpečnostní management a jsou schváleny klíčové bezpečnostní dokumenty, je nutné zajistit dodržovaní definovaných pravidel a zásad a ovšem také zpětnou vazbu, která zajistí, že se významné změny promítnou do příslušné dokumentace a do procesu řízení bezpečnosti. Reakce na nově se objevující rizika, změny priorit organizace a změny okolního prostředí mohou vyvolat potřebu vrátit se k některému z předchozích kroků řešení bezpečnosti a provést například doplňkovou analýzu rizik, či doplnění chybějících bezpečnostních standardů a směrnic. Tento fakt je na schématu řešení naznačen šipkami vedoucími vzhůru. [2]
- 10 -
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
PRÁCE
3 Sociální inženýrství Sociální inženýrství je ovlivňování a přesvědčování lidí s cílem oklamat je tak, aby uvěřili, že sociotechnik je osoba s totožností, kterou předstírá a kterou si vytvořil pro potřeby manipulace. Díky tomu je sociotechnik schopný využít lidi, se kterými hovoří, případně dodatečné technologické prostředky, aby získal hledané informace. Hlavní myšlenkou je následující odstavec: Proč se obtěžovat s používáním brutální síly na prolamování hesel, když jednodušší je přinutit někoho, kdo heslo zná, k tomu, aby nám jej řekl? Navíc při dobře vedeném útoku si oběť v drtivé většině vůbec neuvědomí, že něco vyzradila nepovolané osobě. Toto je nejnebezpečnější rys problematiky sociálního inženýrství. Když nám ukradnou peněženku s kreditní kartou, hned je nám jasné, že tuto skutečnost musíme ohlásit a příslušná karta bude zablokována, ale v případě, že je použito sociální inženýrství, se vůbec nedozvíme, že v tu chvíli nás někdo okrádal (o informace). Další příčinou toho, že je možné provádět sociotechnické útoky na poměrně důležitých místech, může plynout z pocitu přílišné virtuality oboru IT. Chybí zde schopnost domýšlet přesahy do reality. Zjednodušeně bych to ukázal na následujícím příkladu: Pokud sousedovi odcizím automobil, je všem intuitivně zřejmé, že jsem spáchal zločin, neboť po mém skutku dotyčnému sousedovi onen automobil evidentně chybí. Ale pokud bych od souseda zkopíroval jeho program či výsledky půlroční práce (samozřejmě nikoli tak, že bych se vloupal do jeho domu, ale elektronickou cestou), nic se neděje – sousedovi přece vše zůstalo, neutrpěl žádnou hmotnou újmu. Většina lidí si myslí, že průniky do počítačových systémů jsou čistě technické záležitosti, následek skulin v systému, kterých je útočník schopen využít. Pravdou je, že v úloze pomocníka pro překonávání bezpečnostní bariéry hraje sociotechnika velkou roli. Nedostatečná informovanost uživatelů často poskytuje báječnou příležitost použít je jako vstupní bránu i v případech, kdy útočník nemá vůbec autorizovaný přístup k systému. Sociální inženýrství je v drtivé většině případů ten nejlevnější a pro znalého člověka i nejjednodušší způsob, jak narušit bezpečnost jinak velmi robustních systémů. Obecně se o sociálním inženýrství dá říci, že útoky mají velmi vysoké procento úspěšnosti a jsou velice zákeřné. Při dobrém skrývání útočníka navíc téměř není možné vystopovat. A dopad je někdy drtivý. [3] Je nutné si také uvědomit, že schopný sociotechnik dalece přesahuje oblast bezpečnosti IT, neboť je schopen provést útok v podstatě kdekoliv, kde jsou lidé. To jej také činí mnohem užitečnějším „nástrojem“ než například klasický hacker. Osobně se domnívám, že útoků užívajících technik sociálního inženýrství bude v budoucnosti přibývat. Půjde zejména o oblast průmyslové špionáže, krádeže obchodních tajemství apod.
- 11 -
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
PRÁCE
4 Testování bezpečnosti 4.1 Představení společnosti Firma Ahorn, s. r. o. sídlí ve Vlkoši 343. Firma má podnikové prodejny v Brně, Olomouci, Plzni, Praze, Vlkoši a Zlíně. Má 19 pracovníků, kteří aktivně používají výpočetní techniku. Zaměstnanci organizace využívají 20 počítačů, v drtivé většině s operačním systémem Windows XP Professional. Doménový řadič je Windows 2000 s licencí pro 25 uživatelů. Pracovní stanice nejsou chráněny osobním firewallem a většina nemá nainstalován anti-spyware software. Zálohují se všechna data na serveru, z důvodu hardwarové chyby neprobíhá zálohování automaticky, ale ručně 1-2× týdně (v současné době hledá firma rozumnou alternativu k ručnímu zálohování).
4.2 Microsoft Baseline Security Analyzer 2.0 Nástroj slouží k vytváření zpráv, které hodnotí úroveň zabezpečení jednoho nebo více počítačů. Zpráva obsahuje sadu informací s výsledky a doporučeními k jednotlivým testovaným komponentám systému. Kromě testování bezpečnosti operačního systému se testují také systémy Microsoft SQL Server, Microsoft Internet Information Services a Microsoft Office. Program také zhodnotí, zda jsou nainstalovány všechny bezpečnostní aktualizace výše uvedených systémů. MBSA 2.0 je propojen se systémem automatických aktualizací, což zajišťuje, že má vždy nejnovější informace o vydaných bezpečnostních záplatách. Požadavky na běh programu Nebudu popisovat všechny požadavky, které lze nalézt v originální dokumentaci [4] [5] k produktu, nicméně bych se zastavil u několika poznatků, které jsem učinil při používání programu. Na každém testovaném počítači musí být přihlášený uživatel s lokálními administrátorskými právy (to také platí i pro testovací počítač). Co se však v dokumentaci nelze dočíst je fakt, že pro správné otestování všech počítačů je nutné, aby uživatel, který je přihlášený na testovacím počítači existoval na testovaných strojích jako lokální administrátor. Pro otestování aktualizací je vhodné vypnout osobní firewally na testovaných počítačích, v opačném případě se test aktualizací neprovede. Výsledky testování V této kapitole rozeberu jednotlivé oblasti bezpečnosti, které MBSA testuje, předvedu výsledky získané při analýze počítačů v organizaci a případně je okomentuji. Pro výpočet průměrných hodnot
- 12 -
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
PRÁCE
jsem použil aritmetický průměr. V případě, že nebylo možné získat výsledek, byl počítač v daném testu vynechán (tj. průměr nebyl ovlivněn). Oblasti, v nichž MBSA nenašel žádný problém u žádného s testovaných počítačů •
Test systému souborů – všechny svazky na všech testovaných počítačích byly typu NTFS.
•
Automatické přihlášení do systému – žádný testovaný počítač neměl povolené automatické přihlášení do systému.
•
Sdílení složek - žádný testovaný počítač nepoužívá jednoduché sdílení (Simple File Sharing).
Test aktualizací Tabulka 1: Výsledky MBSA při testování aktualizací
Testovaný systém Chybějící aktualizace
MS Office
Security Update Update rollup nebo service pack
MS Windows 4
20
0,8
1,54
Z celkového počtu 15 testovaných počítačů se na dvou nepodařilo test provést (kvůli firewallu). Pouze jeden počítač měl nainstalované všechny aktualizace (jak pro Windows, tak i pro Office). Pro demonstraci důležitosti bezpečnostních aktualizací jsem vybral jednu z posledních kritických chyb Windows [6]. Jedná se o chybu vykreslovacího jádra, která umožňuje spustit kód vzdáleného programu (chyba číslo 912919). Byl uskutečněn útok HappyNY.A, který používal emailovou zprávu s předmětem „happy new year“. Zpráva měla přílohu „HappyNewYear.jpg“. Tato příloha byla ve skutečnosti WMF soubor, který, díky výše uvedené bezpečnostní chybě, instaloval trojského koně. V českém prostředí měl email menší šanci na úspěšné napadení počítače (díky určité podezřívavosti vůči anglicky psaným emailům a neznalosti anglického jazyka). Nicméně, je to ukázka praktického využití chyby v operačním systému k napadení počítače. Komentář Dle mého názoru je údaj o množství nenainstalovaných aktualizací jedním z hlavních ukazatelů o celkovém zabezpečení počítače. Převážně z tohoto důvodu jsem se také rozhodl o použití programu MBSA při testování bezpečnosti v organizaci. Vzhledem k tomu, že ne všechny aktualizace se instalují bez vědomí uživatele, jedná se o problém. Je nepraktické (nemožné) chtít po obyčejných uživatelích, aby si sami instalovali aktualizace. Jednou
- 13 -
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
PRÁCE
z možností je nechat vše na správci sítě, který by je v pravidelných intervalech (vydání nové aktualizace) instaloval na počítače. Další možností je stahovat aktualizace pouze na server a ten je pak instaluje na pracovní stanice. V případě organizace Ahorn, s. r. o. bych nejprve doporučil nainstalovat všechny potřebné záplaty ručně a následně přešel na systém stahování aktualizací na server s automatickou instalací na pracovní stanice.
Test Windows Vypršení platnosti hesla
Všechny účty na všech testovaných počítačích měly neomezenou platnost hesla. Systémové účty jako HelpAssistant, SUPPORT_xxx byly uvedeny v souboru NoExpireOk.txt a doba platnosti jejich hesla nebyla testována. Komentář Obecně se doporučuje měnit hesla přibližně po třech měsících. Prakticky je to ovšem problém. Změna hesla vždy evokuje určitou nevoli ze strany uživatelů, kteří mají problémy si pamatovat nová hesla a stará zapomínat. Navíc systém Windows nepoužívá hesla rozšířená o tzv. salt složku, takže kratší hesla se daří prolomit ve velmi krátké době. Úspěšně se daří prolomit hesla délky 1-14 znaků, která obsahují alfanumerické znaky včetně symbolů (metodou time-memory trade-off, která používá raibow tables) [7]. Útočník tedy potřebuje pouze soubor s hesly a ten není problém získat například pomocí Live distribucí Linuxu. Tento fakt dle mého názoru sráží důležitost pravidelné změny hesla v systému Windows, nicméně věřím, že zavedení nutnosti změny hesla po určité době, se pozitivně projeví na povědomí pracovníků k této problematice. Omezení anonymních uživatelů
Většina testovaných počítačů omezovala anonymní přístup uživatelů. Pouze server a jedna pracovní stanice měly RestrictAnonymous nastaveno na 0. Komentář Nastavení omezení anonymního připojení RestrictAnonymous lze najít v registrech pod klíčem HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. K dispozici jsou tři možnosti nastavení – 0, 1 a 2. 0. Anonymní uživatelé nejsou nijak omezeni. 1. Omezení anonymních uživatelů 2. Anonymní uživatelé nemají přístup bez dalšího nastavení.
- 14 -
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
PRÁCE
V případě jediné pracovní stanice, jež měla RestrictAnonymous nastaveno na 0, označil MBSA její nastavení v pořádku, což si nedovedu vysvětlit. V případě serveru bych doporučil nastavit hodnotu na 1. Nastavovat hodnotu 2 na doménový řadič se nedoporučuje, v případě, že ji použijeme, je vhodné nastavení otestovat. Problémy s hodnotou 2 mohou mít i počítače, které používají Small Business Server, případně další služby. Počet účtů, které jsou ve skupině lokálních administrátorů
Průměrný počet administrátorských účtů na testovaných počítačích byl 4,61. Komentář MBSA považuje více než dva administrátory za bezpečnostní riziko. Vzhledem k tomu, že jeden z nich bude vždy uživatel Administrator (nelze smazat, lze pouze zablokovat), zbývá jeden účet. Bezpečnostní politika organizace definuje každého uživatele jako lokálního administrátora. Situace na serveru je ještě horší, zde je definováno dokonce osm administrátorů. Doporučil bych tedy zablokování standardního účtu Administrator a zrevidování ostatních administrátorských účtů, zda jsou opravdu potřeba. Hesla lokálních účtů
Na všech počítačích se vyskytoval uživatelský účet Administrator, který neměl nastavené žádné heslo (heslo bylo prázdné), což představuje značné bezpečnostní riziko. Vzhledem k tomu, že lokální účet Administrator nelze odstranit a účet se nepoužívá (pro administraci počítači se používají jiné uživatelské účty, které jsou v lokální skupině Administrators nebo jsou administrátory na PDC) deaktivoval bych jej. Také účet hosta neměl nastavené žádné heslo, ale byl naopak deaktivován. Ostatní uživatelské účty měly nastavené heslo. Komentář Podle správce sítě je minimální vyžadovaná délka hesla 4 znaky (tato délka hesla je vyžadována v organizaci), což není dostatečné. Rozhodl jsem se provést malý test odolnosti hesel. Hesla jsem hašoval funkcí MD5 a z výsledného haše jsem se pokusil získat zpět heslo. Pro získávání hesel zpět z haše jsem použil program MD5 – Bruteforcer [8], který hesla láme metodou Brute force (zkouší všechny možné kombinace znaků v hesle). Testoval jsem na počítači Intel Pentium M 2.00GHz, 1 GB RAM a Windows XP Professional. Průměrný počet kombinací, které byl počítač schopen prověřit za jednu sekundu, byl 651 000. V případě, že uživatel použije 4 alfanumerické znaky (rozlišují se malá a velká písmena, celkem 62 znaků), heslo se daří průměrně rozlomit za 624 / 651 000 = 22 sekund, při použití 5 znaků je to přibližně 1700 sekund a při použití 6 znaků je to 1 den. Dostatečnou bezpečnost by mělo zajistit heslo o délce 7-8 znaků (doba potřebná pro rozlomení hesla je 62 dní při použití 7 znakového hesla, 10 let
- 15 -
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
PRÁCE
při použití 8 znakového hesla). Pokud použijeme pouze malá písmena, délka hesla by měla mít alespoň 9-10 znaků (doba potřebná pro rozlomení hesla je 96 dní v případě 9 znakového hesla, 7 let v případě 10 znakového hesla). V případě, že použijeme všechny znaky dostupné na klávesnici (94 znaků) ideální heslo by se mělo pohybovat kolem 6-7 znaků (doba potřebná pro rozlomení hesla je 12 dní v případě 6 znakového hesla, 300 dní v případě 7 znakového hesla). Je třeba si také uvědomit, že k dispozici jsou i metody značně rychlejší než brute-force (již zmíněné techniky využívající Rainbow Tables), se kterými je možné rozlomit až 14 znakové heslo ve velmi krátké době (řádově sekundy až minuty), proto by se měla ochrana souboru s hesly stát jednou z priorit při zabezpečení IT. V případě testované organizace jsem objevil jeden problém, který se týká délky hesla. V dotazníkové části se u tohoto problému pozastavím, nicméně se ukázalo, že většina zaměstnanců považuje 4 znakové heslo (zde již nerozhoduje mohutnost abecedy, neboť 4 znakové heslo se daří lámat v rozumném čase vždy) za dostatečné. Jako důvod mnoho z nich uvedlo, že 4 znaky považují za dostatečné, protože je to dostatečné v jejich organizaci a někteří dávali do relace PIN jejich platební karty a délku hesla („když to stačí u PINu, tak to stačí i u hesla“). Doporučil bych tedy, aby organizace zvýšila minimální délku hesla alespoň na 6-7 znaků s tím, že bude vyžadovat alespoň jednu číslici a alespoň jedno velké písmeno. Věřím, že se to také projeví na obecném povědomí zaměstnanců organizace o minimální délce hesla. V případě problémů s jejich odmítavým postojem k navrhované délce hesla („já si to nezapamatuji“), bych předvedl některé metody tvorby dlouhého a jednoduše zapamatovatelného hesla. Nepotřebné služby na pozadí
Na všech počítačích byla nainstalována pouze služba MSFTPSVC , která byla zastavená, nepředstavuje tedy žádné bezpečnostní riziko. Pouze na serveru byla tato služba spuštěna (společně se službou SMTPSVC). Komentář Dle administrátora je služba MSFTPSVC na serveru povolena záměrně, z důvodu testování rychlosti internetového připojení. Zvenčí je tato služba nedostupná. Jiné použití tato služba pro organizaci nemá. Služba SMTPSVC byla nainstalována společně se službou MSFTPSVC, ale nepoužívá se, doporučil bych ji tedy zakázat. Audit systému Windows
Žádný testovaný počítač neměl povolen audit systému. Komentář
- 16 -
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
PRÁCE
Audit Windows slouží k uchovávání důležitých operací jako je přihlášení / odhlášení, systémové události, správy účtů a další. V případě pracovních stanic bych navrhoval audit přihlašování k uživatelskému účtu. V případě serveru bych navrhoval povolil audit všech událostí. Bezpečnostní zóny aplikace Internet Explorer
Většina testovaných počítačů vyhověla požadavkům programu MBSA na zabezpečení Internet Exploreru. Čtyři počítače měly nastavenou nízkou úroveň zabezpečení a dva počítače měly povolené spouštění ActiveX komponent na dotaz uživatele. Komentář U pracovních stanic, které měly nastavenou nízkou úroveň zabezpečení programu Internet Explorer, bych doporučoval zvýšit tuto úroveň na středně nízkou (medium-low). U dvou pracovních stanic bylo povoleno spouštění nepodepsaných ActiveX prvků na dotaz uživatele. V případě, že toto nastavení není odůvodněné, zakázal bych spouštění nepodepsaných ActiveX prvků. V dalším kroku bych doporučil přechod na konkurenční internetový prohlížeč, konkrétně Firefox (dále FF). V případě, že je Internet Explorer (verze 6.0 SP2, dále jen IE) aktualizovaný, byla, v době psaní této bakalářské práce, známa jediná chyba, která nebyla ošetřená (chyba paměti při vnořeném tagu OBJECT). Firefox (verze 1.5.0.2 Windows) trpí také jedinou neopravenou chybou (přetečení zásobníku při metodě iframe.contentWindow.focus v javascriptu). Zdálo by se, že oba programy mají stejné množstvím chyb, nicméně v historii nalezneme podstatně více chyb u IE než u FF. Konkrétně verze IE 6.0 SP2 od roku 2004 (31. března) trpěla 76 chybami, které výrobce dříve či později opravil pomocí aktualizací. Ukázalo se, že časové okno mezi nalezením chyby a jejím využitím je dostatečné pro různé útoky. Naproti tomu FF měl ve verzích 1.5, 1.5.1 a 1.5.2 celkem 11 chyb (napočítám betaverze 1.5.1 a 1.5.2). V případě, že by se prohlížeč Firefox podařilo prosadit jako základní internetový prohlížeč, navrhoval bych jednoduché proškolení zaměstnanců v jeho používání. A to zejména z důvodu nekompatibility některých internetových aplikací s tímto prohlížečem (pokud nefunguje ve FF, použít IE) [9]. Ochrana maker produktů MS Office
U sedmi testovaných počítačů označil MBSA zabezpečení maker u výše uvedených produktů za nedostatečné. Komentář U těch počítačů, které byly označeny programem MBSA za nedostatečně zabezpečené z hlediska používání maker u produktů MS Office, bych doporučil úroveň zabezpečení zrevidovat, případně zvýšit.
- 17 -
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
PRÁCE
Závěr MBSA ukázal na některá místa na testovaných pracovních stanicích, která by mohla být příčinou problémů. Dle mého názoru jsou nejzávažnější chybou absence aktualizací prakticky na všech testovaných počítačích a aktivní administrátorské účty bez hesla. Vzhledem k charakteru pracovních úkonů zaměstnanců organizace se domnívám, že by bylo možné použít IT infrastrukturu, která by využívala bezdiskových počítačů jako pracovních stanic. Vyřešily by se tak mnohé bezpečnostní problémy, zvláště jeden, který souvisí s otázkou v dotazníku: „Řekli jste někdy heslo někomu z Vaší rodiny, blízkých či spolupracovníků?“. Často zaměstnanci odpověděli, že ano, a konkrétně se jednalo o spolupracovníka. Od správce sítě jsem se dozvěděl, že zaměstnanci nedůsledně používají úložiště dokumentů na serveru a díky tomu nastávají situace, kdy důležité dokumenty jsou na lokálním disku v soukromé složce a tedy nepřístupné pro ostatní lokální uživatele. Správce sítě a někteří spolupracovníci (většinou v rámci kanceláře) proto znají navzájem svá hesla pro případ, kdyby vlastník souboru nebyl dostupný. S tímto problémem také souvisí zálohování. Data na serveru jsou zálohována (nyní ručně, firma hledá rozumnou alternativu), na pracovních stanicích je zálohována pouze jejich pošta. Navrhoval bych proto proškolení všech zaměsntanců organizace, které by zdůraznilo důležitost ukládání všech pracovních dokumentů na centrální úložiště.
4.3 Testování bezpečnosti poboček firmy Ahorn, s. r. o. Další částí mé práce bylo testování „odolnosti“ zaměstnanců firmy Ahorn, s. r. o. proti použití technik sociálního inženýrství. Firma má celkem šest prodejen, já jsem provedl test na dvou z nich, a to konkrétně na prodejnách v Brně (Cejl 62a) a Olomouci (Centrum Olympia Olomouc, Olomoucká 90). K této práci přikládám (příloha C) vyjádření soudní čekatelky Mgr. Lucie Červenkové k právní postihnutelnosti mého jednání v případě, že by se jednalo o skutečný útok. Cíl testu Pro propojení prodejen s centrálou organizace používá protokolu RDP. Klienti na prodejnách se připojují k serveru, kde mají přístup k podnikovému systému Navision. Pro ochranu vzdáleného přístupu a programu Navision je použito heslo. Vzhledem k tomu, že systém Navision uchovává údaje o dodavatelích, odběratelích, cenách atd., hlavním úkolem je zabezpečení těchto informací. Cílem testu bylo přesvědčit zaměstnance prodejny, aby mi řekl přihlašovací jméno a heslo, jak na vzdálenou plochu, tak do systému Navision. Výchozí situace Týden před plánovaným testem odeslal pan Kreuzinger (administrátor firmy Ahorn, s. r. o.) email, který upozorňoval zaměstnance prodejen, že v nejbližší době proběhne profylaxe tiskáren za-
- 18 -
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
PRÁCE
městnancem servisní organizace. Je pravda, že toto ohlášení mi test ulehčilo, ale je třeba si uvědomit, že firma Ahorn nepoužívá žádnou metodu digitálního podpisu. Nebyl by tedy žádný problém (v případě reálného útoku) poslat emailovou zprávu, která by se „tvářila“, jako by byla od pana Kreuzingera. Také jsem si vymyslel historku, jak selhává tisk ze systému Navision na ostatních prodejnách, pravděpodobně díky viru, abych měl reálný důvod pro přístup do systému Navision. Pobočka Brno Test v pobočce proběhl 4. května 2006 v odpoledních hodinách. Po svém příchodu do prodejny a ohlášení důvodu svého příchodu, jsem usedl k počítači. Důležitým aspektem útoku je získání důvěry. Nejprve jsem se zaměstnancem probral problémy, které má s tiskárnou a následně jsem mu popsal situaci na ostatních prodejnách (historka s virem). Poté jsem využil situace při stěhování těžké postele a nabídl jsem svou pomoc (stěhovala zaměstnankyně), tím jsem navodil atmosféru důvěry (z mého pohledu). Dále jsem se věnoval „opravě“ tiskárny, záměrně jsem ji softwarově odpojil, takže vznikl dojem, že nefunguje. Testovací tisk vždy proběhl z programu Navision. Po každém neúspěšném pokusu o tisk, jsem se ze systému odpojil, abych pracovníka donutil zadat heslo znovu. Po několika minutách přišel zákazník, na což jsem čekal, a v okamžiku, kdy zaměstnanec odcházel obsloužit zákazníka, jsem ho poprosil, zda by mi přihlašovací jména a hesla nenapsal na papírek, ať ho pořád nemusím vyrušovat. Zaměstnanec ukázal na žlutý papírek s přihlašovacími údaji, který měl přilepený na stole. Přihlašovací údaje na vzdálenou plochu a systému Navision jsem tedy získal. Po zprovoznění tiskárny a testovacím tisku jsem se rozloučil. Celá „akce“ zabrala přibližně 20 minut. Pobočka Olomouc Test v pobočce proběhl 5. května 2006 v odpoledních hodinách. Při testování jsem postupoval podle schematu, který jsem použil předchozí den. Navození důvěry, sdělení vážnosti situace a náprava problému. Opět jsem použil trik se zákazníkem a zaměstnankyně mi ochotně napsala všechny přihlašovací údaje na papírek. Celá akce trvala přibližně 10 minut. Závěr V jakém případě bych uznal, že zaměstnanec testem prošel? Pokud by mi stál celou dobu za zády a sledoval co v systému dělám a v případě, že by přišel zákazník, od systému mě odhlásil. Za správnou reakci bych také považoval, pokud by zaměstnanec, v případě, že bych chtěl přístup do Navisionu, zavolal administrátorovi (panu Kreuzingerovi) a osobně se zeptal, zda je nutné mít přístup k tak citlivým informacím.
- 19 -
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
PRÁCE
5 Projekt výzkumu Úkolem dotazníku bylo získat informace o povědomí zaměstnance o počítačové bezpečnosti.
5.1 Pojmový aparát K popisu zkoumané reality budu používat tohoto pojmového aparátu. Spyware je software, který se dostane nepozorovaně do počítače při brouzdání po internetu nebo instalací neověřené aplikace a poté od uživatele shromažďuje a odesílá osobní informace, aniž by sdělil, co dělá, a neumožní uživateli se rozhodnout, zda-li si tuto činnost přeje. Informace, které spyware shromažďuje, mohou být seznamy navštivěných webových, nebo citlivější informace, jako jsou uživatelská jména, údaje o bankovních kartách a hesla [10]. Adware je software, který se projevuje různými reklamními bannery v různých aplikacích, novými ikonami ve webovém prohlížeči, změnou domovské stránky, otevíráním různých reklamních pop-up oken, atd [11]. Phishing, rhybaření spam, směřující uživatele na podvrženou stránku, připravenou tak, aby uživatele přesvědčila k vyzrazení osobních dat. Stránka se obvykle vydává za oficiální stránky banky, internetového prodejce, ukládá data a nedůležitou komunikaci posílá skutečnému serveru [12]. Pharming ke své činnosti využívá překladu jména serveru na odpovídající IP adresu, útočí tedy na DNS (Domain Name System). Pokud pak uživatel ve svém internetovém prohlížeči zadá adresu, nedojde k překladu na odpovídající IP adresu, nýbrž nějakou jinou, podvrženou [13].
5.2 Metody sběru dat Demografické údaje o respondentech a jejich výroky jsem získal pomocí dotazníkové metody. Účastníkům výzkumného šetření byl představen anonymní dotazník obsahující 16 položek. Položky spadají do některé z následujících kategorií: •
položky uzavřené – konečná množina odpovědí (položky dichotomické, polynomické a výčtové)
•
položky otevřené – respondenti odpovídali vlastními slovy.
- 20 -
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
PRÁCE
Dotazník je jako celek rozčleněn do třech tematických částí.
V první části dotazníku jsem použil dvou demografických položek k získání údajů o pohlaví a vzdělání. Druhá část dotazníku byla tvořena šesti otázkami z obecné bezpečnosti IT (zaměřeno převážně na problematiku hesel). V třetí části dotazníku, tvořené osmi položkami, jsem se zaměřil na problematiku sociálního inženýrství a jeho technikám.
5.3 Administrace dotazníku Výzkum jsem uskutečnil během dvou setkání s respondenty ve dnech 28. března a 11. dubna 206. Respondenty byli zaměstnanci organizace Ahorn s. r. o., kteří denně používají počítač k výkonu své práce. Respondentů bylo celkem 13. Dotazník probíhal formou strukturovaného rozhovoru, vždy v soukromí a anonymně. Vzhledem k tomu, že dotazování probíhalo za plného provozu, a nechtěl jsem příliš narušovat chod organizace, rozhodl jsem se pro menší počet otázek. Druhým důvodem byla má obava, že delší dotazník by se negativně projevil na kvalitě odpovědí.
5.4 Složení respondentů Tabulka 2: Rozložení respondentů podle vzdělání a pohlaví
Vzdělání
Muži
Střední
Ženy
15%
46%
Vyšší odborné
8%
0%
Vysoké (humanitní zaměření)
8%
0%
Vysoké (technické zaměření)
23%
0%
5.5 Obecné otázky bezpečnosti Prozrazení hesla osobě blízké Zjišťoval jsem, zda respondenti někdy řekli heslo někomu z jejich rodiny, blízkých či spolupracovníků. Nadpoloviční většina (61%) respondentů heslo sdělila. Komentář Většina z dotázaných respondentů, kteří odpověděli Ano, dodala, že heslo řekli svému spolupracovníkovi. Hesla si sdělili, protože občas potřebují mít přístup k dokumentům, které jsou uloženy na počítačích kolegů. Z toho vyplývá, že lidé málo, či nedůsledně využívají síťových úložišť na serveru. To s sebou také nese riziko ztráty dat, neboť data na pracovních stanicích nejsou zálohována, kdežto na serveru ano. Doporučil bych tedy poučit pracovníky o výhodách a nevýhodách lokálních
- 21 -
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
PRÁCE
a vzdálených úložišť. V případě, že by lidé nadále ukládali dokumenty na lokální disky, navrhoval bych postupnou záměnu „plnohodnotných“ počítačů za bezdiskové stanice. Jednoduché heslo / papírek Pokládal jsem otázku: Co pokládáte za menší zlo? Heslo napsané na papírku, či jednoduché heslo, které si lehce zapamatujete (např. ahoj, či stejné heslo jako přihlašovací jméno). Nadpoloviční většina respondentů (76%) považuje jednoduše zapamatovatelné heslo za lepší volbu, než si napsat heslo na papírek. Komentář Zažitá představa je, že heslo napsané na papírku je zlo a nikdy by se nemělo používat. To platí o heslech, která se vyskytují v bezprostřední blízkosti zařízení, které zabezpečují (heslo k uživatelskému účtu přilepené na monitoru, PIN kód vložený do ochranného plastu společně s platební kartou). Základním požadavkem na heslo je jeho délka a mohutnost použité abecedy, dalším požadavkem je použití různých hesel do různých systémů. To s sebou nese problém zapamatovatelnosti. Je složité a nepraktické, pamatovat si mnoho dlouhých hesel, je proto lepší si je poznamenat na místo, kde jsou v bezpečí. Lze také použít specializovaný software, který umožňuje zakódovat soubor s hesly (potom je nutné si pamatovat pouze jedno „hlavní“ heslo) [14]. Délka hesla Respondenti odpovídali na otázku, jak dlouhé by podle nich mělo být správné heslo (bylo potřeba brát v potaz poměr délky hesla a zapamatovatelnosti). Tabulka 3: Jak dlouhé by podle respondentů mělo být správné heslo
Délka hesla (znaků)
Výsledek
4 znaky
46%
5 znaků
15%
6 znaků
15%
7 znaků
0%
8 znaků
24%
Komentář Zde se podle mě silně projevil vliv bezpečnostní politiky organizace, která vyžaduje, aby měla hesla alespoň 4 znaky (nezohledňuje se mohutnost abecedy). V testu Síla hesel lokálních účtů jsem předvedl, že 4 znakové heslo je velmi jednoduché zjistit (řádově sekundy až desítky sekund), proto by
- 22 -
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
PRÁCE
se měli uživatelé vyvarovat používání krátkých hesel. Nepříjemným důsledkem je také to, že lidé si volí krátká hesla i do jiných systémů než je jejich firemní a tím vytvářejí prostor pro případné útoky. Doporučuji tedy zvýšit minimální délku hesla (s použitím číslic v hesle) a v případě stížností na zapamatovatelnost bych předvedl techniky pro tvorbu dlouhého a lehce zapamatovatelného hesla. Použití stejného hesla do různých systémů Ptal jsem se, zda respondenti používají stejné heslo pro přístup do různých systémů (typicky heslo do jejich počítače je stejné jako heslo pro přístup do internetové konference). Nadpoloviční většina respondentů (53%) používá stejná hesla do různých systémů. Komentář Podle mého názoru není chybou, pokud uživatel použije stejné heslo do aplikace, která používá uživatelských účtů pouze k jejich odlišení a samotný účet o nich neobsahuje citlivá data. Příkladem může být diskuzní fórum, chat atd. V těchto aplikacích často není kladen důraz na „neprůstřelnost“ zdrojového kódu, zabezpečení databáze atd. Problém může nastat v případě, pokud uživatel použije stejné heslo, například do diskuzního fóra a elektronického bankovnictví. Zatímco v případě diskuzního fóra může dojít k odcizení uživatelských dat, v případě aplikace elektronického bankovnictví je to nepravděpodobné. Pokud použije útočník cílený útok, může se pokusit získat heslo z těchto jednodušeji zabezpečených systémů a doufat, že oběť použila stejné heslo i do více zabezpečeného systému. Frekvence změny hesla Ptal jsem se respondentů, jak často respondenti mění svá hesla. Tabulka 4: Jak často respondenti mění svá hesla
Odpověď
Výsledek
Neměním
76%
Neměním, mám silné heslo
8%
6 měsíců
8%
3 měsíce
8%
1 měsíc
0%
Méně
0%
- 23 -
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
PRÁCE
Komentář Bezpečnostní politika organizace nenařizuje uživatelům měnit svá hesla. To se dle mého názoru odráží v celkovém přístupu respondentů k této problematice. I v případě, že je použito silné heslo o délce 7-8 znaků, získání hesla z otisku by mělo trvat 62 dní (výpočet v kapitole Síla hesel lokálních účtů). V případě, že se heslo během této doby změní, aktivita směřovaná na získání hesla je zbytečná a z pohledu útočníka se jedná o ztrátu (nejen časovou, ale i finančních prostředků). Je nutné si také uvědomit, že útočník nezačne heslo „lámat“ v okamžiku, kdy je změněno. To znamená, že doba nemusí být nutně 1-2 měsíce, ale 3-6 měsíců postačí. Pojmy bezpečnosti IT Zda respondenti znají některý z pojmů, souvisejících z bezpečností IT. Tabulka 5: Znalost pojmů bezpečnosti IT
Pojem bezpečnosti IT
Výsledek
Firewall
54%
Cookies
38%
Spyware
46%
Adware
15%
Antivirus
100%
Trojský kůň
100%
Spyware na počítači Respondentům jsem vysvětlil, co charakterizuje programy typu spyware a jak se mohou projevovat. Následně jsem se zeptal, zda měli někdy takový program nainstalovaný. Akceptoval jsem i odpověď „nevím“. Tabulka 6: Zda měli respondenti někdy nainstalovaný nějaký program typu spyware
Odpověď
Výsledek
Ano
31%
Ne
38%
Nevím
31%
- 24 -
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
PRÁCE
Komentář Myslím si, že ve skutečnosti bylo respondentů, kteří měli někdy nainstalovaný spyware, více. Je to dáno faktem, že ne všichni tento pojem znají a jsou schopni určit, zda jej nainstalován skutečně měli či ne (z toho důvodu jsem akceptoval i možnost „nevím“). Adware jako součást některých aplikací Respondentům jsem popsal hypotetickou situaci: „Váš kamarád, kolega Vám poslal v příloze emailu obrázek, film nebo nějakou písničku, ale na Vašem počítači není program, který by uměl přílohu přehrát/zobrazit. Rozhodnete se proto nějaký nainstalovat. Stáhnete jej na internetu a při instalaci Vás program upozorní, že obsahuje adware. Co uděláte? Budete pokračovat v instalaci?“ Z všech odpovědí jsem vytvořil pět kategorií a každou odpověď zařadil do odpovídající kategorie. Tabulka 7: Zda by nainstaloval adware
Odpověď Nic neudělá, nainstaluje Nainstaluje a odstraní
Výsledek 31% 8%
Nenainstaluje
23%
Nenainstaluje, zeptá se
23%
Nestahuje programy
15%
Komentář Pojem adware si respondenti často zaměňovali za stejnojmenný program, který slouží k odstraňování právě adware (také spyware a jiných škodlivých programů). Prozrazení hesla rozčilenému administrátorovi Respondentům jsem popsal hypotetickou situaci: „Pracujete ve velkém podniku (300 a více zaměstnanců), kde znáte pouze okruh svých spolupracovníku a ředitele (i ostatní manažery) jste viděli pouze několikrát. Jste na obědě a zavolá Vám osoba, která je velmi rozčilená a představí se jako administrátor, s tím, že ředitel od Vás potřebuje okamžitě nějakou sestavu. Ředitel je opravdu rozzlobený a vyhrožuje, že bude vyvozovat osobní důsledky, pokud sestavu nedostane včas. Administrátor Vám nabídne, že sestavu řediteli může doručit včas, nicméně k tomu potřebuje Vaše přihlašovací jméno a heslo.“ Otázka zněla: „Řeknete své jméno a heslo?“
- 25 -
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
PRÁCE
Reakce respondenta záležela na tom, jak si tuto vyhrocenou situaci dokáže představit. Odpovědi jsem vždy zařadil do jedné ze dvou kategorií (prozradí, neprozradí). Nadpoloviční většina respondentů (84,62%) by správně zareagovala na tento útok používající techniky sociálního inženýrství. Komentář Do kategorie „prozradí“ jsem zařadil pouze ty respondenty, kteří jasně odpověděli, že prozradí. Nicméně, v několika případech nebylo nejasné, kam odpovědi zařadit. Rozhodl jsem se pro kategorii neprozradí. Dle mého názoru, pokud by tento útok byl opravdu proveden, počet respondentů, kteří by heslo prozradili bude o něco vyšší. Zde jsou některé zkrácené odpovědi: •
Pokud jsem přesvědčena, že se jedná o admina, tak bych heslo prozradila.
•
Jsem personalistka, takže musím znát všechny lidi.
•
Když je to tak důležité, ať zavolá šéf sám.
Zamykání PC Ptal jsem se, zda respondenti „uzamykají“ své PC (případně kancelář), když od něj odcházejí (na toaletu, na oběd, atd.). Tabulka 8: Zda respondenti uzamykají své PC
Odpověď
Výsledek
Uzamykám PC
30,77%
Uzamykám kancelář
46,15%
Neuzamykám PC ani kancelář
23,08%
Pojmy z oblasti sociálního inženýrství Zda respondenti znají některý z pojmů, souvisejících se sociálním inženýrstvím. Tabulka 9: Znalost pojmů souvisejících se sociálním inženýrstvím
Pojem
Výsledek
Phishing, rhybaření
7,69%
Pharming
7,69%
Spam
76,92%
Sociální inženýrství
0,00%
- 26 -
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
PRÁCE
Podlehnutí phishingovému emailu Citibank Respondentům jsem popsal hypotetickou situaci [15]: „Jste klientem Citibank a do Vaší emailové schránky přišel následující dopis.“ Respondentovi jsem ukázal kopii phisningového emailu. Na konci emailu byl odkaz. Po kliknutí na odkaz se v prohlížeči načetly opravdové stránky Citibank, nicméně přihlašovací dialog byl falešný (kromě adresního proužku byl totožný s tím, který je na oficiálních stránkách). Ptal jsem se respondentů, zda by se přihlásili, aby mohli potvrdit transakci, případně si prohlédnout, od koho transakce přišla apod. Odpovědi jsem zařadil do kategorie přihlásil by se / nepřihlásil by se. Nadpoloviční většina respondentů (61%) uvedla, že by se do podvrhnutého bankovního systému nepřihlásila. Komentář Domnívám se, že ve skutečnosti by bylo přihlášených respondentů o jednoho či dva více, ale i tak se ukazuje, že podobné metody jsou velmi účinné. Jako příklad uvádím zkrácené odpovědi respondentů: •
Pokud je to věrohodné, tak bych se přihlásila, jinak bych se asi zeptala.
•
Zavolám do banky, rozhodně se nebudu přihlašovat.
•
Otevřel bych stránky ze svého odkazu.
•
Transakci bych ověřila.
Phishingový útok na klienty Citibank byl poprvé proveden již 10. ledna 2004 v anglicky mluvících zemích. Tehdy používal chyby vykreslování adresy v adresním proužku, kde bylo možné ukrýt skutečnou adresu tak, že za znak @ útočník umístil symbol 0x01. Internet Explorer nezobrazil zbytek adresy, takže stránky se jevily jako by byly z jiné domény. Chyba byla objevena 9. prosince 2003 (opravena byla kumulativní záplatou MS04-004 dne 2. února 2004, časové okno pro využití chyby bylo tedy více než dostatečné). V České republice byl útok proveden dne 3. března 2006. Chybu IE ve vykreslování adresy již nevyužíval. Banka reagovala na phishingový útok varováním svých klientů prostřednictvím telefonu, SMS a emailu. Banka bezprostředně po útoku podala trestní oznámení na neznámého pachatele a 11. dubna 2006 byl zatčen první podezřelý z provedení útoku. Šlo o osobu, najatou pravděpodobně organizátory útoku, která měla vyzvednout peníze u přepážky, jež útočníci převedli z konta jednoho klienta Citibank na svůj účet v eBance [16]. Údaje, které lze zaznamenat při prohlížení internetu Ptal jsem se respondentů, jaké údaje si myslí, že lze zaznamenat při prohlížení internetu.
- 27 -
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
PRÁCE
Tabulka 10: Monitorování činnosti respondenta při prohlížení internetu
Možnost Emailovou adresu
Výsledek 54%
Čas požadavku na stránku
100%
Adresa Vašeho počítače
100%
Požadovaná stránka
100%
Verze prohlížeče
100%
Operační systém
62%
Geografická poloha
23%
Rozlišení obrazovky
38%
Stránky mohou stahovat data bez vědomí uživatele
69%
Komentář Záměrně neuvádím, která z možností je správná. Respondentům jsem nijak nespecifikoval za jakých podmínek by mohla situace nastat (zda by klientský počítač obsahoval například virus). Je tedy na čtenáři, aby zhodnotil výsledek dle vlastního uvážení. Rozdíl http / https Ptal jsem se respondentů, zda ví, jaký je rozdíl mezi protokolem http a https (připomněl jsem jim, že zkratku http mohou vidět v adresním proužku prohlížeče). Nadpoloviční většina respondentů (92%) nezná rozdíl mezi protokolem http a https. Komentář Někteří respondenti uvedli, že si všimli, že se v adresním proužku objevilo místo http https. Nevěděli však, co to znamená.
- 28 -
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
PRÁCE
6 Doporučení 6.1 Základní doporučení Doporučení v této kategorii by se měla provést co nejdříve, neboť problémy, kterých se dotýkají, mohou vést k závažným problémům při zajištění bezpečnosti IT v organizaci. Použití dlouhého hesla Nastavení hesla by mělo vyžadovat alespoň 7-8 znaků s použitím minimálně jednoho velkého písmena a jedné číslice. Doinstalování chybějících aktualizací MBSA test aktualizací ukázal, že na všech počítačích (kromě jednoho) chybělo velké množství aktualizací. Ty mohou vystavit počítač a celou síť nejrůznějším útokům, které využívají aktuálně objevené bezpečnostní slabiny. V první řadě bych doinstaloval chybějící aktualizace, následně nastavil server tak, aby aktualizace stahoval sám a také je instaloval na pracovní stanice. Revize administrátorských účtů Další test provedený MBSA odhalil, že na všech testovaných počítačích je nadměrný počet administrátorských účtů. Jednotlivý uživatelé jsou na pracovních stanicích definováni jako lokální administrátoři. Správce sítě má na každém počítači svůj účet lokálního administrátora. Ostatní účty tedy nejsou potřeba, zvláště bych deaktivoval standardní účet Administrator, který je na všech počítačích a má prázdné heslo (tento účet nelze smazat). Také je na zvážení, zda uživatelé mají důvod patřit do skupiny Administrators. Pokud ne, přeřadil bych je do skupiny Power Users. Situace je zvláště kritická na serveru, kde je 7 administrátorských účtů. Využívání vzdálených úložišť dat na serveru Při rozhovorech se správcem sítě jsem došel k závěru, že lidé nejsou zvyklí využívat úložiště dat na serveru. Místo toho mají některé důležité dokumenty ve své soukromé složce na pracovní stanici. Z tohoto důvodu také zaměstnanci (zejména ti, kteří sdílí jednu kancelář) znají navzájem svá hesla. Navrhoval bych, aby organizace zvážila možnost použití bezdiskových pracovních stanic. Usnadnila by se tím správa pracovních stanic a také zálohování. Instalace anti-spyware softwaru na pracovních stanicích Žádný s testovaných počítačů neměl program na odstranění spyware. Dle mého názoru je antispyware velmi užitečný, zejména při prohlížení internetu Internet Explorerem. Výkon pracovních stanic nebude tímto opatřením nijak výrazně ovlivněn. Osobní firewall nedoporučuji instalovat, server pro přístup na internet je již firewallem chráněn.
- 29 -
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
PRÁCE
Poučení zaměstnanců prodejen Při testu technik sociálního inženýrství jsem objevil nedostatky zaměstnanců v jejich přístupu k ochraně citlivých dat. Správci sítě bych je doporučil proškolit v oblasti důležitosti zabezpečení dat.
6.2 Volitelná doporučení Některá opatření v této kategorii je třeba pečlivě zvážit, neboť kromě kladných efektů mohou mít i záporné. Přechod na Firefox V testu MBSA, v kapitole Bezpečnostní zóny aplikace Internet Explorer jsem prakticky ukázal rozdíly mezi prohlížeči Microsoft Explorer a Mozilla Firefox z hlediska bezpečnosti a chyb. Uvedení do organizace má jeden „háček“. Organizace používá aplikace, zejména při kontaktu se státní správou, které jsou optimalizované pro IE. Pro úspěšné zavedení FF je nutné nejprve otestovat funkčnost používaných aplikací v tomto prohlížeči. Audit systému V případě serveru bych doporučil audit všech událostí, v případě uživatelských stanic bych nechal na uvážení administrátora, co povolit (alespoň přihlášení / odhlášení uživatele). Audit systému přímo nezvýší bezpečnost počítačů, nicméně může pomoci při identifikaci případných problémů. Revize zabezpečení produktů MS Office V některých případech test MBSA nalezl nízkou úroveň zabezpečení maker produktů MS Office. U uživatelů, na jejichž počítačích MBSA problémy nalezl doporučuji konzultovat, zda je nastavení opodstatněné. Nastavení hesla po zapnutí spořiče obrazovky Ne všichni respondenti odpověděli v dotazníkové části, že uzamykají svá PC (nebo kancelář). Zavedl bych tedy toto jednoduché a rychlé opatření.
- 30 -
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
PRÁCE
7 Závěr 7.1 Testování programem MBSA Používat MBSA bylo velmi příjemné. Přípravná fáze před testem trvala přibližně 1-2 hodiny, a to zejména z důvodu chybějícího upozornění na nutnost existence administrátora stejného jména na testovaných počítačích, jako je přihlášený uživatel na testovacím počítači. Po překonání tohoto problému již nic nebránilo v provedení testů. Samotné testování trvalo přibližně 2-3 minuty. Bohužel test se nepodařilo provést na počítačích, jejichž uživatelé nebyli přítomni v době testu (byla uzamčena kancelář). Oceňuji také, že program je zdarma a rozhodně čtenáři doporučuji jeho stažení a provedení testu na svém počítači. Důležité je také pročtení souboru s nápovědou k jednotlivým položkám.
7.2 Test bezpečnosti poboček Podobný test jsem dělal poprvé a byl to nezvyklý pocit. Cítil jsem se velmi trapně hlavně v okamžiku, kdy jsem žádal o zapsání jména a hesla na papírek. Čekal jsem, že mě zaměstnanec ostře odmítne, případně bude nepříjemný. Nakonec jsem byl překvapen jednoduchostí a úspěšností útoku. Je třeba si také uvědomit, že nebezpečné už je to, že jsem byl přihlášen do systému Navision ještě předtím, než jsem získal heslo na papírku. V obou případech zaměstnanec pouze zadal přihlašovací údaje a odešel. Pokud bych byl domluvený s jedním, či dvěma „zákazníky“, kteří by odvedli pozornost, bylo by dostatek času na stažení / zkopírování dat z Navisionu. V obou případech také zaměstnanci používají 4 znakové heslo tvořené pouze číslicemi, což velmi usnadňuje odečtení hesla „přes rameno“. V prvním případě se mi to také podařilo. Zajímavé je také právní pohled na celou věc (pokud by se jednalo o skutečný útok). Samotná činnost by podle Mgr. Lucie Červenkové (autorky vyjádření v příloze C) nemusela být považována za postihnutelnou, nicnémě vše by záleželo na charakteru případu.
7.3 Dotazníková část Přestože jsem s podobným průzkumem neměl žádné zkušenosti, hodnotím dotazník a jeho výsledky velmi kladně. Čtenáři, jež bude dělat v budoucnu podobný dotazník bych doporučil provést několik testovacích rozhovorů s respondenty, jejichž úroveň znalostí se předpokládá u cílových respondentů. Já jsem to neudělal a po prvních třech rozhovorech jsem se rozhodl mírně poupravit některé dotazy a způsob dotazování, vše proto, abych docílil jednoznačnějších odpovědí.
- 31 -
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
PRÁCE
U některých otázek jsem měl pocit, že zaměstnanci odpovídali, tak jak si mysleli, že by měli odpovídat. Týká se to zejména hypotetické situace s administrátorem na telefonu a phishingového emailu Citibank. Myslím si, že v reálném životě, a výsledky testu poboček mě v tom utvrdily, by výsledky vyzněly více v jejich neprospěch. Bohužel mě v současné době nenapadá žádný způsob, jak otázky formulovat tak, aby se zaměsntnanci opravdu vžili do dané situace. Po skončení rozhovoru jsem vždy odpovídal na dotazy zaměstnanců ohledně té které otázky. Některé otázky či správně odpovědi jsem vysvětloval bez dotazu, jednalo se zejména o phishingový email Citibank v případě, že zaměstnanec na tento trik „skočil“. Většina reagovala na nové skutečnosti velmi překvapeně. Zejména když jsem vysvětloval rozdíl mezi http a https. K zamyšlení je také skutečnost, že v případě některých otázek je nutné brát i jednu odpověď na špatnou možnost jako veliký bezpečnostní problém. Například v případě phishingového emailu by už i jediný zaměstnanec, který by odpověděl špatně (transakci by potvrdil), znamenal značné problémy. Podobných položek je v dotazníku více. Věřím, že získané výsledky budou zajímavé a také doufám, že jsem alespoň trochu rozšířil obzory některým zaměstnanců firmy Ahorn s. r. o.
7.4 Celkové hodnocení Zabezpečení prostředků IT v organizaci hodnotím jako průměrné, v některých aspektech jako podprůměrné. Přístup zaměstnanců prodejen k otázkám bezpečnosti IT hodnotím velmi negativně. V dotazníkové části mě zejména překvapilo množství zaměstnanců, kteří by podlehli phishingovému emalu Citibank a hypotetické situaci s rozzlobeným administrátorem. Jsem rád´, že provádění této práce mi přiblížilo firemní prostředí a uvědomil jsem si, jak rozdílné může být od školy. Také jsem lépe pochopil pozici sociálního inženýrství v otázkách bezpečnosti IT. Nejedná se pouze o fenomén, ale o velmi účinnou techniku. Řetěz je tak silný, jak silný je jeho nejslabší článek a oním nejslabším článkem v bezpečnosti IT je (a vždy podle mě i bude) člověk.
- 32 -
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
PRÁCE
8 Seznam použité literatury [1] Červený, Ladislav, Analýza bezpečnosti systému v praxi – diplomová práce, 20. dubna, 2004 [2] Seige, Viktor, Informační bezpečnost? Proč ne!, 7. srpna, 2002 [URL] http://www.systemonline.cz/site/bezpecnost/its.htm [3] Šimek, Richard, Sociotechnika (sociální inženýrství), 2003 [URL] http://www.fi.muni.cz/usr/jkucera/pv109/2003p/xsimek3sociotechnika.htm [4] Datasheet produktu MBSA 2.0, Microsoft Corporation, 2005 [URL] http://www.microsoft.com/technet/security/tools/mbsa2/datasheet.mspx [5] Dokumentace programu MBSA 2.0, Microsoft Corporation, 2006 [6] Sharon, Machlis, Risk of Windows WMF attacks jumps 'significantly', Leden, 2006 [online] [URL] http://www.computerworld.com/securitytopics/security/holes/story/0,10801,107419,00.html [7] Darknet, Password Cracking with Rainbowcrack and Rainbow Tables, 27. 2. 2006 [URL] http://www.darknet.org.uk/2006/02/password-cracking-with-rainbowcrack-and-rainbow-tables/ [8] Aplikace MD5 – Bruteforcer, verze z 29. října 2004 [URL] http://ambience.digitalshell.net/~llamatron/md5.zip [9] SecurityFocus, Vulnerabilities, 20. dubna 2006 [URL] http://www.securityfocus.com/vulnerabilities [10] Wikipedia, Spyware, 20. dubna, 2006 [URL] http://en.wikipedia.org/wiki/Spyware [11] Wikipedia, Adware, 20. dubna, 2006 [URL] http://en.wikipedia.org/wiki/Adware [12] Wikipedia, Phishing, 20. dubna 2006 [URL] http://en.wikipedia.org/wiki/Phishing
- 33 -
T E S T O VÁ N Í
B A K AL Á Ř S K Á
BEZPEČNOSTI
PRÁCE
[13] Wikipedia, Pharming, 20. dubna, 2006 [URL] http://en.wikipedia.org/wiki/Pharming [14] Munir, Kotadia, Jot down your passwords, 23. května, 2005 [URL]http://news.com.com/Microsoft+security+guru+Jot+down+your+passwords/2100-7355_3-5716590.html [15] Straka , Martin, Citibank – phishing, 3. března, 2006 [URL] http://websec.blog.lupa.cz/0603/citibank-phising-20060303 [16] iDnes, První podezřelý z phisingu Citibank účtů zadržen, 11. dubna, 2006 [URL] http://technet.idnes.cz/prvni-podezrely-z-phisingu-citibank-uctu-zadrzen-fvm-/bezpecnost.asp?c=A060411_140000_bezpecnost_vse
- 34 -
Přílohy
Příloha A Testy prováděné programem MBSA zmíněné v této práci Test aktualizací MBSA se zaměřuje na tři typy aktualizací •
Security update se většinou zaměřuje na jednotlivé chyby nebo bezpečnostní problémy.
•
Update rollup je kumulativní oprava několika bezpečnostních chyb
•
Service pack je kolekce oprav a rozšíření daného systému
Vypršení platnosti hesla MBSA testuje, zda na pracovní stanici existují nějaké lokální účty, které mají neomezenou platnost hesla. Do testu nejsou zahrnuty účty, které jsou uvedeny v souboru NoExpireOk.txt v instalačním adresáři MBSA. Systém souborů Program testuje souborový systém každého disku (svazku), zda je NTFS. Test vyžaduje, aby byl svazek sdílen systémově (např. C$) Automatické přihlášení do systému Testuje se, zda je aktivní volba automatického přihlášení. V případě, že je volba aktivní je heslo uloženo v registrech buď zašifrované nebo jako plaintext (což samozřejmě představuje závažný problém). V případě, že je heslo zašifrováno (jako tajemství Local Security Authority, nachází se v těchto klíčích HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\DefaultPassword\CurrVal a HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\DefaultPassword\OldVal ), není možné jej přečíst vzdáleně. Pokud je heslo uložené v registrech jako plaintext (v klíči HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Wi nlogon jako DefaultPassword DefaultPassword) lze jej vzdáleně přečíst. Nicméně v obou případech se může uživatel s fyzickým přístupem k počítači přihlásit do systému bez znalosti hesla, což představuje značné bezpečnostní riziko.
Účet hosta (guest) Testuje se, zda je povolen účet hosta (guest) na testovaném počítači. Pokud se používá jednoduché sdílení a uživatel nemá vytvořen lokální účet nebo doménový účet, důvěryhodný pro doménu, do které se přihlašuje, počítače se systémem Windows XP přiřazují příchozí spojení na účet hosta (ForceGuest). V takovém případě program nehodnotí povolený účet hosta jako bezpečnostní chybu. Pokud počítač nepoužívá jednoduché sdílení, je povolený účet hosta označen jako bezpečnostní chyba. Omezení anonymních uživatelů Testuje se, zda se používá nastavení registrů RestrictAnonymous k omezení anonymních připojení na počítač. Anonymní uživatelé mají přístup k některým informacemi o systému, jako jsou například uživatelská jména, detaily uživatelů, zásady zabezpečení uživatelských účtů a názvy sdílení. Počet účtů, které jsou ve skupině lokálních administrátorů V případě, že se na testovaném počítači nacházejí více než dva uživatelské účty patřící do skupiny lokálních administrátorů MBSA to označí jako zranitelnost. Hesla lokálních účtů Testují se lokální uživatelské účty, zda neobsahují jednoduchá nebo prázdná hesla. Tento test se neprovádí na PDC. MBSA neprovádí testování síly hesel pomocí jejich „luštění“, pouze se pokusí změnit heslo (dle níže uvedených pravidel) a testuje, zda se změna podařila. Test také upozorní na účty, které jsou uzamčeny nebo deaktivovány. Pravidla pro změnu hesla jsou: •
prázdné heslo
•
heslo je stejné jako uživatelské jméno
•
heslo je stejné jako název počítače
•
heslo je některé z následujících slov: password, admin, administrator
Nepotřebné služby na pozadí Test zjišťuje, zda jsou instalovány služby, které jsou obsaženy v souboru Services.txt. Tento soubor se nachází v kořenovém adresáři programu MBSA. Testoval jsem následující služby •
MSFTPSVC (FTP)
•
TlntSvr (Telnet)
•
W3SVC (WWW)
•
SMTPSVC (SMTP)
Sdílené adresáře Test zjišťuje, zda jsou na počítači nějaké sdílené adresáře. Seznam sdílených adresářů obsahuje také systémově sdílené adresáře, společně s úrovní přístupu a zabezpečení NTFS. Audit systému Windows Test zjišťuje, zda je povolen audit Windows. Bezpečnostní zóny aplikace Internet Explorer Testuje se, zda nastavení bezpečnostních zón programu Internet Explorer, odpovídá doporučenému nastavení. Testuje se •
přístup k souborům, ovládacím prvkům ActiveX a skriptům,
•
úroveň funkcí poskytnutých programům jazyku Java (zejména aplety)
•
zda musí být weby identifikovány pomocí ověřování SSL (Secure Sockets Layer),
•
ochrana heslem pomocí výzvy a odpovědi systému Windows NT (NTLM). V závislosti na zóně, ve které se server nachází, může aplikace Internet Explorer odeslat heslo automaticky, zobrazit výzvu k zadání uživatelského jména a hesla nebo zamítnout veškeré požadavky na přihlášení.
Ochrana maker produktů MS Office MBSA testuje produkty balíku MS Office (Word, Excel, PowerPoint, Outlook), zda mají povolenou ochranu maker.
Příloha B Dotazník 1) Pohlaví 2) Vzdělání •
střední
•
vyšší odborné
•
vysoké – technického zaměření
•
vysoké – humanitního zaměření
3) Řekli jste někdy heslo někomu z Vaší rodiny či blízkých? •
ano
•
ne
4) Co pokládáte za menší „zlo“, heslo napsané na papírku, či jednoduché heslo, které si lehce zapamatujete (např. Ahoj, či stejné heslo jako přihlašovací jméno)? •
papírek
•
jednoduché heslo
5) Jak dlouhé by podle Vás mělo být správné heslo (berte v potaz poměr délka / zapamatovatelnost)? 6) Používáte stejné heslo pro přístup do různých systémů (heslo do Vašeho počítače je stejné jako heslo pro přístup do internetové konference)? •
ano
•
ne
7) Jak často měníte hesla •
neměním
•
neměním, mám silné heslo
•
6 měsíců
•
3 měsíce
•
1 měsíc
•
méně
8) Znáte některý z následujících pojmů •
firewall
•
cookies
•
spyware
•
adware
•
antivirus
•
trojský kůň
9) Spyware se může nainstalovat na počítač jako součást nějakého programu nebo když navštívíte určité stránky. Tyto programu mohou provádět celou škálu činností – monitorovat, co píšete na klávesnici, odesílat data, atd. Měl jste někdy takový program nainstalovaný •
ano
•
ne
•
nevím
10) Hypotetická situace: „Váš kamarád, kolega Vám poslal v příloze emailu obrázek, film nebo nějakou písničku, ale na Vašem počítači není program, který by uměl přílohu přehrát/zobrazit. Rozhodnete se proto nějaký program nainstalovat. Stáhnete jej na internetu a při instalaci se Vás program upozorní, že obsahuje adware. Co uděláte? Budete pokračovat v instalaci?“ 11) Hypotetická situace: „Pracujete ve velkém podniku (300 a více zaměstnanců), kde znáte pouze okruh svých spolupracovníku a ředitele (i ostatní vysoké managery) jste viděli pouze několikrát. Jste na obědě a zavolá Vám osoba, která je velmi rozčilená a představí se jako administrator, s tím, že ředitel od Vás potřebuje okamžitě nějakou sestavu. Ředitel je opravdu rozzlobený a vyhrožuje, že bude vyvozovat osobní důsledky, pokud sestavu nedostane včas. Administrátor Vám nabídne, že sestavu řediteli může doručit včas, nicméně k tomu potřebuje Vaše přihlašovací jméno a heslo. Řeknete své jméno a heslo?“ 12) „Uzamykáte“ svůj počítač, když od něj odcházíte? •
ano
•
ne
•
kancelář
13) Znáte některý z následujících pojmů •
phishing, rhybaření
•
pharming
•
spam
•
sociální inženýrství
14) Jste klientem Citibank a na Váš email přijde následující zpráva: Vážený kliente Citibank Online®, 03/02/2006 na Váš běžný účet byl přijat převod v cizí měně na částku ve výši 2000 . Se shodou s spotřebitelským souhlasem CitiBank® online, je potřeba potvrdit tento převod pro jeho úspěšné zařazení na Váš běžný účet. Pro potvrzení platby Vás prosím o návštěvu programu ovládání Vaším účtem CitiBank® online a dále postupujte podle předloženého návodu. V případě nepřijetí potvrzení v průběhu 48 hodin, bude částka vracena odesílateli. Pro vstup do programu CitiBank® online, klikněte sem >>> S pozdravem Služba CitiBank® Alerting Service Po kliknutí na odkaz „klikněte sem“, se objeví tyto stránky,
které Vám umožní se přihlásit do systému Citibank a potvrdit transakci. Provedete potvrzení transakce?
15) Když prohlížíte webové stránky, jaké informace jsou technicky možné zaznamenat o vás, případně vašem počítači. •
emailovou adresu
•
čas požadavku na stránku
•
adresa Vašeho počítače
•
požadovaná stránka
•
prohlížeč
•
operační systém
•
geografická poloha, kde jste
•
rozlišení obrazovky
•
stránky mohou stahovat Vaše data na disku, bez Vašeho vědomí
16) Víte, co znamená, když se v adresním proužku objeví místo http https?
Příloha C Od soudní čekatelky Mgr. Lucie Červenkové jsem získal následující text, který popisuje, jak právo posuzuje podstatu mého jednání při testování odolnosti pracovníků poboček vůči technikám sociálního inženýrství. Text předkládám v neupravené podobně tak, jak jsem ho obdržel.
Dopad jednání popsaného autorem práce v oblasti trestního práva Při posouzení vlivu jednání popsaného a simulovaného autorem této práce je nutno ve stručnosti a zjednodušeně zmínit základní principy trestní odpovědnosti v českém právu. Trestným činem je pro společnost nebezpečný čin, jehož znaky jsou uvedeny v zákoně, tj. tzv. skutková podstata trestného činu, která představuje formální stránku. Tu doplňuje materiální stránka trestné činnosti v podobě společenské nebezpečnosti, jejíž stupeň musí být vyšší než nepatrný, aby se čin, který naplňuje po formální stránce znaky uvedené v zákoně, posuzoval jako trestný čin. Jedním ze znaků skutkové podstaty je pak subjektivní stránka trestného činu, tj. zavinění pachatele, které může mít formu úmyslnou nebo nedbalostní. Každý trestný čin musí být spáchán s určitým zavinění, přičemž záleží na ustanovení konkrétní skutkové podstaty, zda stačí nedbalost nebo je nutný úmysl. Jednání autora práce spočívající v získání přístupových údajů do systému Navision, by mohlo za určitých okolností naplňovat znaky trestného činu poškození a zneužití záznamu na nosiči informací dle § 257a odst. 1 trestního zákona. Tohoto trestného činu se dopustí ten, kdo získá přístup k nosiči informací v úmyslu způsobit jinému škodu nebo jinou újmu nebo získat sobě nebo jinému neoprávněný prospěch a a)tyto informace neoprávněně užije (jakákoli nedovolená manipulace s informačním obsahem příslušného nosiče), b)informace zničí, poškodí, změní nebo učiní neupotřebitelnými (odstranění záznamu informací z příslušného nosiče nebo jiné snížení hodnoty informačního obsahu) nebo c)učiní zásah do technického nebo programového vybavení počítače nebo jiného telekomunikačního zařízení. Skutková podstata tohoto trestného činu poskytuje ochranu nejen hmotnému substrátu, jehož prostřednictvím informace vznikají, ukládají se a používají, ale (právě) i nehmotnému obsah informací. Z hlediska subjektivní stránky zákon vyžaduje úmyslné zavinění a tento úmysl musí být navíc provázen zištnou pohnutkou nebo snahou způsobit újmu. Zákon nevyžaduje, aby měl pachatel uvedený úmysl ještě předtím, než fakticky získal přístup k nosiči informací, proto úmysl může pojmout až dodatečně v době, kdy už přístup k nosiči informací má. Nesporné však je, že orgány činné v trestním řízení by však takovému pachateli museli prokázat, že úmysl způsobit škodu či získat újmu zde byl, ať už od počátku jednání pachatele nebo až po získání přístupu k nosiči informací. K dokonání trestního činu se nevyžaduje způsobení škody nebo jiné újmy nebo získání neoprávněného prospě-
chu, ale trestný čin je dokonán již tím, že pachatel získá přístup k nosiči a v uvedeném úmyslu si dále počíná některým ze způsobů podle písm.a) až c) citovaného ustanovení. Podle tohoto ustanovení nelze postihovat různé formy nedbalostního jednání a zacházení s nosiči informací. Určité problémy z hlediska zavinění však může způsobit taková manipulace s informacemi a jejich nosiči, jejímž cílem skutečně není způsobení újmy nebo získání prospěchu, ale spíše zábava, zvědavost nebo snaha dokázat nedostatky a slabá místa určitého počítačového nebo telekomunikačního systému, resp. programu. V těchto případech je nutné obzvláště pečlivě zkoumat skutečný úmysl osoby, která se dopustila uvedeného jednání, zejména, budou-li následky takové, jak předpokládá ustanovení § 257a odst. 1 trestního zákona. Trestní odpovědnost podle citovaného ustanovení u takové počítačové „zábavy“ nemusí být vyloučena, protože předpokládá i způsobení nemajetkové újmy nebo získání nemajetkového prospěchu, přičemž vzhledem ke svým odborným znalostem jsou tito pachatelé dostatečně srozuměni s tím, jaké následky způsobují (pokud nezůstanou jen u prohlížení databází a informace, s nimiž se při tom seznámí, nijak nezneužijí). Touto nemajetkovou újmou může být např. ztráta důvěry obchodního partnera, ztráta cenných nezálohovaných dat, které nejde obnovit, dočasné vyřazení počítače z provozu znamenající náhradní řešení spojené s vyššími náklady, rizikem apod. Pro úplnost nelze zapomenout na tresty ukládané za tento trestný čin. Kromě zákazu činnosti, peněžitého trestu či propadnutí věci přichází v úvahu i trest odnětí svobody až na jeden rok. V následujících odstavcích (tzv. kvalifikovaných skutkových podstatách) je pak možno uložit trest odnětí svobody na šest měsíců až tři léta, popř. jeden rok až pět let, v závislosti na výši způsobené škody nebo získaného prospěchu, popř. při vyšším stupni organizovaní trestní činnosti. Použitá literatura: Šámal, P., Púry, F, Rizman, S. Trestní zákon. Komentář. 5. vydání. Praha: C.H. Beck, 2003, s. 1455-1461
