VÉDELMI INFOKOMMUNIKÁCIÓ
GÁBRI MÁTÉ
SZERVEZETEK BELSŐ INFORMATIKAI BIZTONSÁGA ORGANIZATIONS' INTERNAL IT SECURITY
Jelen cikkemben egy olyan problémakört szeretnék vizsgálat alá vetni, mely napjainkban egyre meghatározóbbá válik, azonban nem övezi ennek megfelelő mértékű figyelem. Ez a problémakör nem más, mint adott szervezeten — elsősorban gazdasági szervezet — belüli informatikai veszélyforrások és az ehhez közvetlenül és közvetve kapcsolódó információ- és informatikai biztonságot érintő kérdések.
In my article I would like to explore a certain aspect of information security, which gets more and more dominant nowdays, however usually system administrators don't pay too much attention to it. The topic is information security and challenges inside a given organization and the questions which directly or indirectly affects the information and IT security.
A bevezető részben említést kellene tennem röviden a történeti előzményekről, hogy miként jutottak a fejlett társadalmi rendszerek az információs társadalom fogalmának közelébe, hogy az informatika és rajta keresztül az internet miként változtatta meg mindennapi életünket, mi is az az Internet, milyen új lehetőségeket biztosít, illetve milyen kockázatokat, veszélyeket rejt magában. Ettől a fajta felvezetéstől azonban eltekintenék, ugyanis a főbb események véleményem szerint mára már mindenki előtt ismertté váltak. Abban az esetben, hogyha az Olvasó komolyabban érdeklődik ezen történések iránt, akkor ajánlani tudom egy korábbi cikkemet, mely a Zrínyi Miklós Nemzetvédelmi Egyetem Hallgatói Közlemények, XI. évf. 2. számában jelent meg Információs biztonság, azaz a biztonság hatodik dimenziója címmel.[1] 65
SZERVEZETEK BELSŐ INFORMATIKAI BIZTONSÁGA
Védekezés — de milyen irányból? A hétköznapi, otthoni felhasználók jelentős többsége tudatában van annak, hogyha csatlakozni szeretne számítógépével az internetre, akkor szüksége van védelmet biztosító szoftverekre, például vírusirtóra, tűzfalra,1 azért hogy rendszerét biztonságban tudhassa.2 Ez egy meglehetősen leegyszerűsített képe annak a tudatállapotnak, mely az internetet összekapcsolja a folyamatos veszély, állandó támadások fogalmával. Ahogy azt a fent említett cikkemben kifejtettem, a világhálón gyakorlatilag az összes résztvevő célpont és bárki lehet potenciális elkövető, éppen ezért mindenkinek szükséges minimális védekező lépéseket tenni. A világhálón a harc elsősorban a birtokolt információhoz való hozzáférésért zajlik. Ennek alapján logikusan és könnyen fel lehet osztani a célpontokat „értékük” szerint és ennek megfelelően kell a védekezést kialakítani. Például vegyünk egy bankot és egy otthoni felhasználót. Amíg a bank informatikai rendszere az ügyfelek adatait tárolja, illetve a tranzakciókat végzi addig az utóbbi személy csak a barátaival, rokonaival folytat információcserét, például elektronikus levelezés, vagy csevegés formájában. Természetesen nem szabad kihagyni egy szűk, de egyre gyorsabban bővülő réteget, akik már szolgáltatásokat is igénybe vesznek, mint például a banki ügyek intézése. Kézenfekvőnek tűnhet, hogy az érintett pénzügyi szervezetnek minden lehetséges lépést meg kell tennie az adatainak és szolgáltatásainak védelmében, míg az otthoni felhasználó rendszerén nem feltétlenül található olyan adat, amit egy kívülállónak érdekében állna megszerezni. Ez az állítás sajnos egyre kevésbé állja meg a helyét. A felhasználók elmentik e-mail fiókjukhoz, online közösségekhez tartozó felhasználóneveiket és jelszavaikat, a banki rendszerhez szükséges belépési kódokat és teljes nyugalomban használják az internet nyújtotta kényelmi szolgáltatásokat. Nyugodtan kérdezzük meg magunktól, hogy mielőtt belépünk a böngészőnk segítségével az online banki rendszerbe, 1
2
Valójában egy csomagszűrőre, azonban a „tűzfal” elnevezés jelen kontextusban helytállóbb, hiszen az otthoni felhasználók ezt a kifejezést ismerik, használják egy egyszerű csomagszűrőre is. A példában a jelenleg legelterjedtebb operációs rendszert vettem alapul, ugyanis feltételezem, hogy a hétköznapi felhasználó nem fog bonyolultabb, ám sok esetben alapvetően biztonságosabb rendszert használni egyszerű feladatok elvégzésére.
66
VÉDELMI INFOKOMMUNIKÁCIÓ
megnézzük és leellenőrizzük az oldal valódiságát tanúsító hitelesítést? Nos igen, egy ilyen egyszerű lépéssel már a jelszólopási kísérletek jelentős százalékát ki is zárhatjuk.[2] Az elkövetők számára ideális célpontok és rendkívül hatékony eszközök az ilyen, kvázi védtelen otthoni számítógépek. A behatoló könnyedén elhelyezhet kártékony programokat, melyekkel korlátlan lehetőségeket teremt magának. Vannak egyszerűbb adathalász programok, melyek a mentett jelszavainkat küldik el a támadónak, illetve vannak komolyabb kártékony programok, melyek a gép teljes irányítását is „átruházhatják” a támadó félre. Az elkövető természetesen nem csak egy, hanem sok-sok ilyen gépet megfertőz, és így akár több tízezres „géppark”3 áll a rendelkezésére az akciók elkövetéséhez. Hasonló módszerrel támadták 2008 nyarán Észtország létfontosságú informatikai infrastruktúráinak egy részét,4 illetve 2009 júliusában az Egyesült Államokat és Dél-Korea-t.5 Látható, hogy nem szükséges az információt, vagy magát a fizikai infrastruktúrát elpusztítani, elegendő pusztán a szolgáltatások elérhetőségét akadályozni és máris egy egész ország megérzi annak negatív hatását. A felhasznált eszköz pedig nem más, mint a védtelen otthoni felhasználók számítógépei. Számos olyan oldal létezik, ahol saját botnetet lehet rendelni, gépenként akár 20 centes áron. A megrendelő még azt is kiválaszthatja, hogy milyen szoftverekkel fertőzzék meg a célpontokat, illetve milyen jellegű támadást indítsanak. Napjainkban az ilyen szolgáltatásokat nyújtó weboldalak száma szerencsére csekély, azonban a jövőben drasztikusan nőhet és ez beláthatatlan következményekkel járhat.6 Visszatérve a szemléletes banki példánál az elkövetőknek elegendő az otthoni felhasználókat megcélozni aáűhoz, hogy anyagi haszonra tegyenek szert. Egyrészt az egyszerű végfelhasználó számítógépén nincsenek olyan védelmi eljárások, mint egy pénzügyi intézet rendszerében, azonban tárolhat olyan kritikus információt, amivel hozzásegíti a támadót célja eléréséhez. 3
4 5 6
Ezek az úgynevezett botnet-ek, vagyis olyan „zombi” gépekből álló internetes hálózat, melyet egy másik hasonló zombi gép, vagy egy személy irányít és használ fel illegális cselekedetekre. http://www.guardian.co.uk/russia/article/0,,2082689,00.html?gusrc=rss&feed=12 http://modernbiztonsag.org/node/52 http://www.networkworld.com/news/2007/102907-internet-researchers-discover-newhacking.html?fsrc=rss-security
67
SZERVEZETEK BELSŐ INFORMATIKAI BIZTONSÁGA
1. ábra Phishing e-mail
Sőt, nem is kell az adott gépet megfertőzni, elegendő a felhasználók releváns szakmai tudásuk hiányát kihasználni. Tökéletes példa ilyenre az úgynevezett „phishing”, amikor célzott módszerekkel próbálják kicsalni a felhasználók hozzáférési adatait. Például az elkövető ügyesen megszerkesztett e-mailben, a bank nevében arra kéri a célpontot, hogy egyeztetés, illetve egyéb biztonsági okokból adja meg az online rendszerhez tartozó belépési adatait. Sajnos sokan pórul járnak és nem csak a hétköznapi otthoni felhasználók között találunk áldozatokat. Az egyik nyílt forráskódú operációs rendszer, az OpenBSD7 misc@ levelező 7
http://www.openbsd.org
68
VÉDELMI INFOKOMMUNIKÁCIÓ
listájára érkezett egy levél, mely szerint, ha nem küldjük el a feladónak válaszban az e-mail címünk, hozzá tartozó felhasználó nevünk, valamint jelszavunkat, akkor nem fogunk több levelet kapni a levelező listáról. A feladó @openbsd.org-os e-mail címet használt, hogy ezzel se keltsen gyanút. Természetesen avatottabbak szinte azonnal kiszúrhatták a csalást — feltéve, hogy maga a levél tartalma nem ébresztett gyanút — hiszen a rendszer fejlesztői között nem találunk Bob Beck nevű illetőt. A történet teljességéhez hozzá tartozik, hogy ezen a levelezőlistán nem otthoni egyszerű felhasználók osztják meg egymással tapasztalataikat, hanem gyakorlottabb, esetenként szakértő személyek között zajlik a diskurzus. Azért az élet itt is szolgál meglepetéssel, ahogy ezt a következő kép is mutatja.
2. ábra Adathalászat áldozata
Az eset érdekességét két tény is növeli. Először is az illető nem az eredeti feladónak válaszolt, hanem egy másik hozzászólónak, aki ráadásul meglehetősen fanyar, de találó megjegyzést tett az adathalász levélre. 69
SZERVEZETEK BELSŐ INFORMATIKAI BIZTONSÁGA
Másodszor pedig megadta a levelezőlista központi címét is levelében, így az összes feliratkozott személy — így én is — megkapta levelét. Jogosan kérdezheti az Olvasó, hogy miért írok oldalakon keresztül az otthoni számítógépek és felhasználók sebezhetőségéről, amikor a cím szervezetek belső informatikai biztonságát említi. A válasz rendkívül egyszerű. Sam Fourman Jr., akiről az imént olvasottak után feltételezhetjük, hogy az átlagos otthoni felhasználók csoportját gazdagítja, miután elküldte e-mail fiókjának hozzáférését több ezer embernek befejezte ebédjét — az e-mail feladásának időpontja 12:44 — majd visszatért munkájához, amit több mint valószínű, hogy az e-mail elküldésére használt számítógépén fog folytatni. Amennyiben egyszerű adminisztrátor, nincs nagy gond, viszont könyvelőként már más a helyzet. Például az elmaradt utalásokat írta alá és küldte el a banknak az online felületen keresztül. Jogosan tehetjük fel a kérdést, hogy tényleg a bank felé adta meg a hitelesítő adatokat? Természetesen közvetlenül is meg lehet támadni az információt tároló, feldolgozó rendszereket, azonban ilyenkor az elkövetőnek sokkal elővigyázatosabbnak és természetesen felkészültebbnek, tapasztaltabbnak kell lennie, mert a lebukás és a felderítés esélye a többszörösére nő. Egy ilyen komplex rendszert nem lehet előre elkészített programokkal megtámadni. A támadást megelőzően az elkövetőnek hosszas információgyűjtést kell végeznie a célpont infrastruktúrájával kapcsolatban. Ezután meg kell találnia a gyenge pontokat, amelyeket kihasználhat annak érdekében, hogy elérje célját, majd el kell készítenie azokat a programokat, kódokat, amelyek segítségére lesznek a támadás során. A különböző támadási lehetőségek bemutatására a cikk teljes terjedelme is kevés lenne, illetve nem is ez a célom. A fenti példában említettem, hogy az átlagfelhasználó is tudatában van annak, hogy lépéseket kell tennie saját rendszerének védelmében. A potenciális célpontokat jelentő gazdasági szervezetek komoly lépéseket tesznek a külső fenyegetések elhárítására. Informatikai rendszereik védelméhez hozzájárulnak a megfelelően tervezett hálózatok, vagyis a szolgáltatásokat nyújtó munkaállomások és kiszolgálók gondos felügyelete, rendszeres karbantartása, naprakész állapota. Ebben a munkában szoftverek is segítenek, mint például tűzfalak8 alkalmazása.9 Azonban 8
Olyan számítógépek, illetve céleszközök, melyek magukban foglalják a csomagszűrőt, alkalmazás szintű proxy-kat, illetve reverse proxy-kat, valamint átjárókat a különböző szolgáltatások számára.
70
VÉDELMI INFOKOMMUNIKÁCIÓ
adódik a kérdés egy, a külső támadásokkal szemben védett hálózat teljes biztonságban tudhatja magát?10 Egy informatikai infrastruktúra, valamint a tárolt, felhasznált információ biztonságát rendkívüli mértékben befolyásolja az adott szervezet belső biztonsága. Gondoljunk csak arra, hogy a kulcsfontosságú információhoz legkönnyebben bentről lehet hozzáférni, egy olyan személyen keresztül, aki nap, mint nap, munkája során kapcsolatban van ilyen adatokkal. Azonban ennél sokkal egyszerűbb, gyakorlatilag észrevétlen történések is komolyan befolyásolhatják a szervezeti infrastruktúra, szolgáltatások integritását, biztonságát. Rendkívül fontos kihangsúlyozni, hogy szervezeti informatikai rendszer esetében nem csak a külső támadások ellen kell védekező lépéseket tenni, hanem legalább ugyanilyen mértékben kell figyelmet fordítani a belülről érkező veszélyek elhárítására.
Belső veszélyforrások Ebben a részben igyekszem felsorolni és értelmezni azokat az alapvető veszélyforrásokat, melyek egy szervezeten belülről erednek, vagy a belső biztonság hiánya miatt realizálódnak. A fenyegetéseket az alábbiak szerint csoportosíthatjuk: 1. Kintről, a hálózatot (internet) kihasználva érkező támadások, melyek a belső biztonsági réseket kihasználva okoznak károkat; 2. Kintről érkező, nem közvetlen támadások, melyek a belső biztonsági réseket kihasználva okoznak károkat; 3. A szervezeten belülről kiinduló támadás, károkozás. 1. Külső, közvetlen veszélyforrások Az első csoportban a legtipikusabb eset amikor a dolgozók munkaállomásai fertőződnek valamilyen kártékony programmal. Ez az esemény sajnálatos módon azért következhet be, mert az adott szervezetnél nem fordítottak elég figyelmet az informatikai infrastruktúra belső biztonsá9
A külső támadások elleni védekezés részletes technikai ismertetésére most nem térnék ki, mert nem ez a cikk fő témája. 10 A kérdést vizsgálva nem tekintem mérvadónak a kívülről érkező, folyamatosan megújuló technikákat alkalmazó támadásokat, ugyanis az ezek elleni védekezés esélye nagyban függ az új biztonsági eszközök megjelenésétől.
71
SZERVEZETEK BELSŐ INFORMATIKAI BIZTONSÁGA
gára. A támadóknak számos lehetőségük van a kártévő programok célba juttatására: spam11, hamisított üzenetek csevegő programokon keresztül12, hamisított linkek és weboldalak, weboldalakba beépített kódok, stb. Természetesen mondhatjuk, hogy a tisztességes rendszergazda mindegyik munkaállomáson naprakész víruskeresőt futtat, azonban egy dolgot nem szabad elfelejtenünk: még hogyha a víruskereső meg is fogja a kártékony programot az már a belső hálózaton található, ugyanis egy munkaállomásra már letöltődött. A szervezet belső biztonsága érdekében mindig az legyen az elsődleges cél, hogy a kártevőket, a támadásokat a határainkon kívül13 állítsuk meg! Azt is észrevehetjük, hogy az ilyen támadások elsősorban a felhasználók járatlanságát és — elnézést a szóhasználatért — hiszékenységét használják fel. Ez a megállapítás rendkívül fontos a hatásos védekezés tekintetében. Milyen veszélyeket rejt magában, hogyha a belső hálózaton egy, vagy több munkaállomás megfertőződik? Ebben az esetben a kártékony program gyakorlatilag szabadon terjedhet tovább a belső hálózaton és a többi munkaállomás csak a saját védelmi mechanizmusára támaszkodhat.14 Láthatjuk, hogy ez az eset elsősorban „csak” a szervezetre nézve káros, azonban előfordulhat, hogy egy intelligens, önálló kártevő fertőzte meg a hálózatot és ekkor a program felhasználja a munkaállomásokon tárolt információkat15 és ezáltal új célpontokat talál magának a világhálón és hozzákezd megfertőzésükhöz. Komolyabb programok információt csempésznek ki belső hálózatunk felépítéséről, a csomagforgalomról, megszerzik a munkaállomásokon tárolt felhasználóneveket, jelszavakat, látogatott oldalak listáját, illetve akár támadhatnak is külső gépeket, hálózatokat.[3] Nagyon elterjedt a spam botok használata, amik a megfertőzött gép erőforrásait használják fel kéretlen levelek küldésére. Néhány áldozatul 11
12 13 14
15
72
A címzett által nem kívánt elektronikus levél, mely az esetek többségében ártalmatlan reklám, azonban sok esetben kártékony programok letöltésére, telepítésére buzdít a felhasználó tudta nélkül. Remek példa erre a Skype-on, MSN-en és ICQ-n terjedő ismerkedést sejtető üzenetek, melyek linkeket tartalmaznak. Vagyis mielőtt az adott kód, program elérné a belső hálózatot. A gépekre külön-külön telepített víruskeresőkre és egyéb védelmi szoftverekre gondolok, azonban láthatjuk, hogy ezek a programok a teljes hálózatot nem tudják megvédeni, csak az egyes gépeket. Elsősorban e-mail címek, de lehetnek eltárolt felhasználónevek, jelszavak.
VÉDELMI INFOKOMMUNIKÁCIÓ
esett gép esetén nehéz észrevenni a hálózati forgalom megváltozását egészen addig, amíg már késő. Kisebb hálózatok esetén egy publikus IP címmel rendelkezik a szervezet és a kéretlen levelek is erről távoznak, ami azt eredményezi, hogy nagyon hamar fel lehet kerülni különböző tiltó listákra, így ellehetetlenül a legitim levelezés, amennyiben az adott IP mögött van a levelező szerver. A fertőzést költséges kivédeni, azonban egy jól konfigurált hálózati átjáró ezt a problémát is könnyedén megelőzi.16 A cikk elején említettem a botnetek problémáját. Sajnos előfordulhat, hogy a szervezeti belső hálózat bizonyos munkaállomásai — melyek megfertőződtek — egy botnet részévé válnak. Ilyen esetben fennáll a veszélye annak, hogy a botnetet irányító személy támadást intéz egy általa kiválasztott, tetszőleges célpont ellen. Az áldozat sikeresen észleli a támadást és információkhoz jut annak kiindulási pontjait illetően. Mit fog látni? Hogy az akciók egy része a fertőzött munkaállomásokat birtokló szervezet hálózatáról indult ki. Természetesen van mód a tisztázásra, de jobb az ilyen helyzeteket elkerülni.[4] A hatásos védekezés módját két helyen kell keresnünk. Az első az a védelmi vonal, amely a hálózatunkat a külső támadások ellen védi, ugyanis ezeket a megoldásokat ugyanolyan jól lehet használni belső védelemre is. A belső hálózaton található szolgáltatásokat védő tűzfalat remekül lehet használni a kifelé irányuló kapcsolatok korlátozására is. Nem egyszer találkoztam munkám során azzal az esettel, amikor a világháló felől érkező forgalom tiltása elfogadható volt, de a belső hálózaton található számítógépek kifelé irányuló kapcsolatai semmilyen korlátozás alá nem estek. Ezzel szemben, hogyha komolyan vesszük az internetforgalom szabályozását, és kifelé is csak a tényleg szükséges adatcsomagokat17 engedjük, akkor máris csökkentettük a megfertőződött képek külvilággal való kommunikációját. A forgalom szűrésében és tiltásában egy transzparens proxy kiszolgáló is segítségre lehet, ugyanis ennek segítségével a látogatható oldalak körét szűkíthetjük, a megtekintett oldalak vírusmentességét ellenőrizhetjük, valamint naplózhatjuk, hogy melyik dolgozó mikor, melyik oldalt mennyi ideig olvasta. Emellett 16 17
SMTP port (TCP 25) teljes letiltása kifelé, kivéve a levelező szerver belső IP címét. A legtöbb esetben a HTTP protokoll (80-as TCP port) engedélyezésén kívül nincs is másra szükség, ugyanis ilyenkor a munkaállomások böngészhetnek a világhálón, azonban semmilyen más szolgáltatáshoz nem férhetnek hozzá.
73
SZERVEZETEK BELSŐ INFORMATIKAI BIZTONSÁGA
érdemes a szervezeti elektronikus levelezést saját küldő- és fogadó kiszolgálóval megvalósítani, így saját spam- és vírusszűrési technikákat, testre szabható korlátozásokat alkalmazhatunk. Ezekkel a lépésekkel elérhetjük azt, hogy az internet felől érkező kártékony programok el sem jutnak a belső hálózatig.[6][7] A második tényező maga az alkalmazott. Sajnos a védelem leggyengébb láncszeme, ugyanis a felhasználó, aki a fertőzések java részét előidézi azzal, hogy elolvas egy hamisított e-mailt, rákattint arra a linkre ami a kártékony programot rejti, stb. Fontos, hogy a számítógéphasználók felkészüljenek azokra a veszélyekre, melyeket az interneten való barangolás jelent. Számos fertőzés elkerülhető, hogyha az érintettek tudatosan és megfontoltan használják a világháló nyújtotta szolgáltatásokat. Az ISACA18 felmérést készített az Egyesült Államokban a vállalati dolgozók körében, hogy mennyire tartják be a céges informatikai szabályokat, mennyire figyelnek oda az interneten leselkedő veszélyekre. Az eredmény elszomorító, ugyanis a megkérdezettek 35%-a már legalább egyszer megszegte a korlátozásokat, 15%-uk pedig rendszeresen folytat fájlcserét19 a világhálón. Az ilyen jellegű tevékenység megkönnyíti a fertőzések bejuttatását a hálózatra, ugyanis a fájlcserélő hálózatokon rengeteg a vírust, illetve egyéb kártékony kódot tartalmazó szoftver. Ez a fajta forgalmat csak úgy lehet megakadályozni, hogyha az összes dinamikus portot20 tiltjuk, azonban így a külvilág felé csak a fix portos, egycsatornás kapcsolatok engedélyezhetők, amelyek számos esetben nem elegendőek egy szervezet működéséhez.21 A legitim kapcsolatok jelentős része szűrhető proxy alkalmazásokkal, ahogy ezt már korábban említettem. A felmérés rávilágít arra is, hogy a dolgozók 65%-át nem érdeklik azok a problémák, amelyeket okozhatnak a céges informatikai infrastruktúrának.22 18 19 20
21 22
74
http://www.isaca.org/ Például Bittorrent. 1025-től egészen 65535-ig. A világhálón, illetve a TCP/IP hálózatokban a kiszolgálókliens viszonylat alapján működnek a kapcsolatok, ahol a kiszolgálók dolgoznak fix portokkal, ahova a kliensek — jelen esetben a munkaállomások — egy véletlenszerűen kiválasztott portról csatlakoznak. Ezek a dinamikus portok a fent említett tartományból kerülnek ki, így azok tiltása még az olyan egyszerű tevékenységet, mint a weboldalak böngészését is lehetetlenné tenné. Ebben az esetben ellehetetlenül az aktív módu FTP kapcsolat, illetve egyes azonnali üzenetküldő alkalmazások sem képesek működni. http://www.net-security.org/secworld.php?id=5590
VÉDELMI INFOKOMMUNIKÁCIÓ
2. Külső, közvetett veszélyforrások A kintről érkező közvetett támadások a mobil technológia fejlődésével nyertek teret. Ma már szinte mindenkinek van „okostelefonja” vagy PDA-ja, esetleg hordozható számítógépe. Ez különösen igaz azokra a személyekre, akik olyan szervezetnél, vagy olyan pozícióban dolgoznak, ahol az informatika nyújtotta lehetőségek és képességek elengedhetetlenek a mindennapi munkavégzés során. A mobil eszközök rendkívül nagy rugalmasságot biztosítanak az alkalmazottak számára, hiszen a szervezeten belül gyakorlatilag bárhol dolgozhatnak, munkájukat másik telephelyre, haza, vagy akár külföldre is magukkal vihetik. Természetesen mondanom sem kell, hogy ez a mobilitás komoly és reális veszélyeket rejt magában. Tegyük fel, hogy az a céges hálózat, melyben ezek az eszközök a hivatalos munkaidő alatt megjelennek, biztonságosak23. A hálózat megfelelően strukturált, a hozzáférések szabályozottak, az internetelérés korlátozott és szűrt, tehát elmondhatjuk, hogy a világháló felől érkező támadások sikerének esélye minimális. Igen ám, de mi történik akkor, amikor egy mobil eszköz kikerül a szervezet hálózatából és máshonnan kapcsolódik a világhálóra? Nem garantálja semmi, hogy az adott hálózat rendelkezik hasonló szintű biztonsággal, mint az előbbi, így az eszköz máris sokkal nagyobb veszélynek van kitéve. Példának vegyük az otthoni „hálózatot”, ahol az esetek jelentős többségében gyakorlatilag semmilyen védelem nem található az internet és a felhasználó között. Ilyen esetben például egy vállalati hordozható számítógép könnyedén megfertőződhet kártékony programokkal. Ezek után az érintett laptop ismét becsatlakozik a szervezet hálózatába, szabad utat adva a vírus, vagy egyéb kártevő terjedésének. A hordozható eszközök egy másik jelentős veszélyforrást is rejtenek magukban. Mint ahogy korábban említettem, a mobilitás nagy előnye, hogy az illető munkahelyétől távol is tudjon dolgozni, például a lakásán. Ehhez arra van szükség, hogy például a céges notebookján — melyet magával visz — tárolja a munkavégzéshez szükséges adatokat, információkat. Beosztástól függ ugyan, de elképzelhető, hogy bizalmas, a 23
Csak a példa kedvéért, ugyanis ilyen állapotot elérni gyakorlatilag lehetetlen.
75
SZERVEZETEK BELSŐ INFORMATIKAI BIZTONSÁGA
szervezetre, vagy az ügyfeleire nézve értékes információkat kénytelen a személy magával hordozni. Ilyen esetben az adatokat megszerezni kívánó harmadik félnek elegendő a mobil hordozóhoz hozzáférnie, vagy eltulajdonítania. Nagy-Britanniában egy alkalmazott hazavitte céges laptopját, melyet a lakásából elloptak. A merevlemezen a Nationwide társaság 11 millió ügyfelének minden adata megtalálható volt.24 Az Egyesült Államokban az Administaff, emberi erőforrással foglalkozó vállalat laptopját lopták el, melyen szabadon hozzáférhető volt a cég történetében előforduló 159 ezer alkalmazott összes adata.25 Az Egyesült Államokban lebukott egy laptop tolvaj, aki néhány év leforgása alatt 130 hordozható számítógépet tulajdonított el. A technikája egyszerű volt: besétált az adott irodába, irodaházba és kisétált a gépekkel a hátizsákjában.26 A Times hírlap felmérése szerint az USA-ban 2004-ben összesen 2 millió notebookot loptak el, és ebből mindössze 3%-ot sikerült felderíteni és visszaszerezni. A példákat még oldalakon keresztül sorolhatnám, de úgy gondolom ez a néhány elég szemléletes ahhoz, hogy észrevegyük milyen veszélyt rejt magában az a számtalan hordozható eszköz, melyekkel nap mint nap dolgozunk.[5]
3. ábra Egy VPN hálózat szerkezeti ábrája 24 25 26
76
http://news.bbc.co.uk/1/hi/uk/6160800.stm http://www.networkworld.com/news/2007/101807-stolen-laptop-prompts-employeealert.html?fsrc=rss-security http://tech.blorge.com/Structure:%20/2007/10/29/laptop-thief-steals-130-laptops/
VÉDELMI INFOKOMMUNIKÁCIÓ
A második csoportba tartozó veszélyek ellen leginkább a szervezeti szabályzat szigorításával, valamint a dolgozók felkészítésével lehet védekezni. Betartatható, ugyanakkor szigorú korlátozásokat kell hozni a hordozható eszközök ki- és bevitelével kapcsolatban, biztosítani kell a megfelelő ellenőrzést abban az esetben, ha az adott eszköz a szervezeti hálózaton kívül is használatban volt. Egy lehetséges megoldás, hogy virtuális mangánhálózatot (továbbiakban VPN) hoz létre a szervezet, amelyet a dolgozók kintről használhatnak a világhálón való biztonságos böngészésre. A működési elv egyszerű: ahogy az eszköz kikerül a szervezeti hálózatból és felkapcsolódik az internetre, belép a szervezet VPN-jébe, és innentől kezdve az internetes forgalom áthalad azon a komoly szűrőrendszeren, mely a belső hálózatot is védi. Az már csak hab a tortán, hogy a VPN-t biztosító kiszolgáló és a felcsatlakozott eszköz közötti adatforgalom titkosított, ami két nagy előnnyel bír: lehallgatása komoly nehézségekbe ütközik, illetve így nem szükséges az eszközön értékes információt tárolni, ugyanis a VPN segítségével a világ bármely pontjáról elérhető a szervezet belső hálózatán, biztonságosan tárolt adat. Itt is hangsúlyoznom kell, hogy elengedhetetlen a dolgozók megfelelő szintű számítástechnikai felkészítése, hiszen hogyha megfelelően bánnak a szervezet számára fontos információval, akkor ez is hozzájárul a biztonság növeléséhez. Egy másik módja a védekezésnek az, hogyha az információ hozzáférhetőségét próbáljuk korlátozni, vagy nehezíteni az illetéktelenek számára a hordozható eszközön. Remek megoldás a merevlemez fizikai titkosítása. Ezzel a módszerrel csak a feloldó kulcs birtokában lehet az adatokat felhasználni, ellenkező esetben a harmadik fél csak értelmezhetetlen byte halmazt talál a diszken. Természetesen ebben az esetben a gyenge láncszem maga a feloldó kulcs, ugyanis hogyha ez egy jelszó, akkor van esély a megfejtésére, hogyha pedig egy fizikai kulcsot27 alkalmaznak, akkor a kulcsot tartalmazó eszköz biztonságától függ az adatok érintetlensége. Rendkívül kényes téma az új típusú mobil adathordozók28 jelentette kockázat. Alkalmazásuk rugalmassá teszi az információ mozgatását akár a szervezeten belül, akár azon kívülre, vagy fordítva, ami gyorsabb és kényelmesebb munkavégzést eredményez. 27 28
Ekkor a kulcs tulajdonképpen egy véletlenszerű számsor, amit vagy egy fájlban, vagy egy mágneskártyán tárolnak és ez nyitja a merevlemezen található titkosítást. Pendrive, USB felületen csatlakozó külső merevlemez.
77
SZERVEZETEK BELSŐ INFORMATIKAI BIZTONSÁGA
Lássuk be, sokkal szívesebben viszünk haza egy pendrive-ot, mint egy laptopot, ha már úgyis dolgozni kell otthon, mert szorít a határidő. Ugyanakkor szintén könnyen lehet ezeket az adatokat nem csak otthoni munkavégzés céljából a szervezeten kívülre, vagy kártékony programot a rendszeren belülre juttatni. Ezekre az eszközökre a hálózat üzemeltetői még kevésbé tudnak hatást gyakorolni, mint a mobil munkaállomásokra. Nincs hardware-címük, egyedi, elválaszthatatlan azonosítójuk ami alapján szűrni, tiltani lehetne a hálózatból az idegen adathordozókat. Megoldás lehet az USB portok tiltása a munkaállomásokon, azonban ez nagyobb hálózat esetén megnöveli a karbantartási költséget, illetve rugalmatlanná teszi a mindennapos munkavégzést. Szigorú szabályozással a veszélyt nem csökkenti az adott szervezet, viszont szankciók kilátásba helyezésé érdekeltté teheti az alkalmazottat abban, hogy nagyobb figyelmet fordítson ezen eszközök kezelése során. Természetesen a szándékos elkövető ellen ez sem nyújt hatásos védelmet. 3. Belső veszélyforrások A harmadik nagy csoportba a szervezeten belüli személyek által gerjesztett veszélyforrások tartoznak. Külső fél, például konkurencia, számára komoly értéket képviselő információval napi érintkezésben lévő alkalmazott könnyen kijuttathatja ezeket az adatokat. Az érintett számtalan okból követhet el ilyen cselekményt, azonban gazdasági szervezetek esetében a legjellemzőbb motivációs eszköz a pénz, illetve a bosszú, míg állami szinten leginkább az elvi meggyőződés szolgáltat rá okot. Már egy kisméretű szervezet esetén is elengedhetetlennek tartom egy információ-kezelő szabályzat írását és elfogadtatását. A SANS Institute29 számos hasznos tanáccsal szolgál az ilyen szabályzatok megírásához. Az analóg vonalaktól kezdve az elektronikus levelezésen át egészen a jelszavak kezeléséig kínál sablonokat,30 melyek ingyenesen felhasználhatóak és bővíthetőek az adott szervezet igényeinek megfelelően. Az ilyen típusú kockázatok ellen meglehetősen nehéz védekezni. Minden egyes szervezet esetében más jellegű korlátozásokra van szükség az információ hozzáférhetőségét illetően. Egy dolog azonban biztos: a megfelelően fizetett alkalmazott kevésbé hajlamos az adatok szállítására, 29 30
78
http://www.sans.org http://www.sans.org/resources/policies/?ref=3731#template
VÉDELMI INFOKOMMUNIKÁCIÓ
de természetesen a magas fizetés sem jelent biztos védelmet. Nem lehet mást tenni, mint felkészülni ilyen eshetőségre is. A megfelelő szabályzat és a technikailag legalább elégséges mértékben tudatos alkalmazott kulcsfontosságú a külső támadások kivédésében. Mindig lesznek olyan kéretlen levelek, weboldalak, amelyek átjutnak a precízen konfigurált védelmi vonalainkon keresztül a felhasználóhoz, így már csak abban bízhatunk, hogy Ő felismeri a valódi szándékot és nem kattint rá a levélben szereplő linkre, nem nyitja meg a mellékletet, illetve nem látogat el kétes oldalakra. Ez az a terület, ahol a külső- és belső veszélyforrások összefonódnak és egy komplex rendszert alkotnak. Az alkalmazott egyszerre lehet a leghatásosabb támadó és védelmi tényező az adott szervezet informatikai infrastruktúrájában.[4] Cikkemben megpróbáltam rávilágítani azokra a legjellemzőbb információ- és informatikai biztonsági problémákra, melyek egy szervezeten belül jelentkezhetnek.31 Véleményem szerint hatásos csak a pro aktív védekezés lehet, és ez bizony rengeteg anyagi- és időbeli ráfordítást igényel. Természetesen az anyagi oldalon sokat lehet javítani vállalati szinten, hogyha képesek vagyunk elrugaszkodni az uralkodó szemlélettől és hajlandóak vagyunk alternatív eszközöket alkalmazni biztonságunk érdekében, melyekről sok esetben kiderül, hogy jobb hatásfokkal működnek, mint kereskedelmi társaik. Zárszóként engedjék meg, hogy megint ismételjem önmagam, vagyis a védekezés legmeghatározóbb eleme ugyanaz, mint a támadásé, ez pedig nem más, mint az ember, vagyis az érintett felhasználó. Az ő felkészültsége és tudása rendkívül sokat számít. Az informatikai támadás és védekezés eszközrendszere rendkívül dinamikus módon változik, egyszer az egyik, másszor a másik oldal van előnyben. A két felet szembe állítva egy számos ismeretlenből és változóból álló egyenletet kapunk, melyben csak egy állandó, biztos pont van és ez nem más, mint a felhasználói „butaság”, ami a támadói oldalt erősíti.
31
Felületes módon, és csak a lényegre szorítkoztam, ugyanis eme írást inkább figyelemfelkeltésnek szántam, mint minden részletre kiterjedő tanulmánynak.
79
SZERVEZETEK BELSŐ INFORMATIKAI BIZTONSÁGA
Felhasznált irodalom 1. Information Warfare. Winn Schwartau, Thunder's Mouth Press 1996. 2. Information Warfare–How to Survive Cyber Attacks. Michael Erbschloe, McGraw-Hill 2001. 3. INSECURE Magazine. 1. szám, 2005. április 4. Stephen A. Thomas: IP-kapcsolás és útválasztás. Kiskapu 2002. 5. Tom Thomas, Panem Hálózati biztonság. Budapest 2005. 6. www.iptables.org 7. www.squid-cache.org
80
