16.05.2006, 00:00

Útok na infraštruktúru NBÚ -- ako sa z neho poučiť

Ako je už známe, prostredníctvom služby na serveri webmail.nbusr.sk, ktorá poskytuje pracovníkom NBÚ prístup k e-mailovým schránkam cez internet, útočník (skupina útočníkov) získal zoznam používateľských mien a zašifrovaných hesiel zneužitím chyby tejto aplikácie.
Chyba už bola nejaký čas známa a existovala na ňu aj oprava (od 28. marca 2006). Následne sa útočník použitím hrubej sily (jednoduché hádanie) snažil k používateľským menám nájsť heslá. To sa mu pri používateľskom mene nbusr podarilo vzhľadom na použité triviálne heslo nbusr123. Týmto sa získal používateľský prístup k serveru. Následne útočník získal prístup administrátora systému a v tom momente mal plnú kontrolu nad serverom webmail.nbusr.sk.
V čom by táto kauza mohla byť poučná pre predchádzanie podobným udalostiam, pre vyššie zabezpečenie informačnej bezpečnosti v ďalších organizáciách, nevynímajúc súkromné? Neaktualizovaná aplikácia, použitie slabých hesiel a nevhodná politika hesiel a absencia monitoringu -- to boli najzávažnejšie chyby zo strany NBÚ, ktoré uľahčili cestu útočníkovi do informačného systému.
Ako sa však vyhnúť podobným prípadom?
a) Priebežne aktualizovať používané programové služby. Každý program v sebe so 100 % pravdepodobnosťou obsahuje chybu, je len otázkou času, či a kedy sa na ňu príde a kedy bude opravená.
b) Používať zašifrované komunikačné kanály. V prípade internetových aplikácií, keď je potrebné zadávať prihlasovacie parametre, je štandardom, že sa na prenos dát používajú šifrované protokoly. Tým je možné eliminovať možnosť prípadného odpočúvania komunikácie.
c) Používať kvalitné heslá, najmä pri administrátorských účtoch. Nikdy nekončiaca sa téma. Používatelia si, žiaľ, stále neuvedomujú, že používaním slabých hesiel ohrozujú najmä seba. Čo ak zneužije heslo peknej blondíny jej závistlivá kolegyňa na zmazanie údajov len preto, že chce, aby ju z firmy prepustili? Skúsim pridať návod na tvorbu kvalitného hesla. Vymyslite si vetu a z každého slova použite prvé písmeno: Každé ráno sa mi nechce vstávať o 6:30 do práce = Krsmnvo6:dp. Myslím, že takéto heslo nikto na prvýkrát neuhádne!
d) Nepoužívať rovnaké heslá do všetkých systémov/aplikácií. Zabudnite na to, že heslo, ktoré používate na prístup k svojej freemailovej schránke, používate aj na internetbankig! Rovnako by to malo platiť aj k prístupovým parametrom k verejne (rozumej cez internet) prístupným zariadenia a zariadeniam vnútri siete.
e) Ukladanie hesiel. Ak už potrebujete mať niekde zaznamenané heslá, v elektronickej podobe majú byť zašifrované a v papierovej si ich dajte napr. do peňaženky. Nie na zadnú stranu kalendára, na displej či nástenku!
f) K verejne prístupným službám a zariadeniam pristupovať tak, že už v tomto momente môžu byť pod kontrolou cudzieho útočníka. Znamená to takéto zariadenia dostatočne odizolovať od vnútornej siete, aby ani v prípade získania kontroly nad nimi nebolo možné zneužiť ich na prienik do vnútornej siete. Takéto zariadenia treba podrobiť dôkladnému, priebežnému a automatizovanému monitoringu. Nie vždy musí ísť o finančne náročné riešenia. Rečnícka otázka: Ak by sa daný útočník nepriznal a nezverejnil útok, vedel by o ňom niektorý z pracovníkov NBÚ?
g) Nastaviť internetové služby tak, aby o sebe nezverejňovali, o akú verziu ide. Skupiny hackerov priebežne vytvárajú interné databázy aktívnych zariadení spoločne s verziami služieb. V prípade výskytu vážnej chyby pri danej verzii je možné okamžite začať útoky na zariadenia, ktoré sa v takejto databáze nachádzajú. V takom prípade nie je dôležité, či ste NBÚ alebo finančná inštitúcia. Ste zariadenie s chybou, ktorú je možné zneužiť, napr. na posielanie nevyžiadanej pošty, ukladanie súborov či ako medzičlánok na ďalší útok -- napr. práve na sieť NBÚ.
h) Podrobovať vlastnú infraštruktúru priebežnému testovaniu či už externým subjektom alebo vlastnými kapacitami a nástrojmi. Štandardom sa tiež stáva, že súčasťou implementácie nového riešenia (infraštruktúry či aplikácie) je jeho plné otestovanie napr. penetračným testom. Je tým možné čiastočne eliminovať prípadné problémy.

Autor je konzultant spoločnosti DCIT Consulting