Top 10 zranitelností uvnitř sítě (1)

Současné síťové zabezpečovací appliance odvádějí vynikající práci při ochraně firemní infrastruktury před kybernetickým nestvůrami. Co ale dělat, když je naopak uvnitř?

Bohužel všechny kříže, česnek, dřevěné kůly a stříbrné střely nemají na současná podlá kybernetická stvoření žádný vliv. Uvádíme deset nejdůležitějších způsobů, jak může být vaše síť napadena zevnitř a co můžete udělat, abyste zajistili, že nikdy nebudete na svých serverech potřebovat exorcismus.

1.    USB disky: Věřte tomu nebo ne, ale USB disky jsou vlastně jedním z běžných způsobů (pokud nejsou dokonce nejčastější), jak infikovat síť schovanou za firewallem. Je k tomu několik důvodů: jsou levné, malé, uchovávají spousty dat a lze je použít s více druhy počítačů. Všudypřítomnost USB disků inspirovala hackery k vývoji cíleného malwaru, jako je například známý červ Conficker, který se dokáže automaticky spustit při připojení do USB portu.
Ještě horší ale je, že výchozí konfigurace operačních systémů obvykle dovolí většině programů (včetně malwaru) automatické spuštění. To je ekvivalentem toho, že by každý váš soused měl dálkový ovladač pro elektrické dveře garáže a byl by ho schopen použít k otevření dveří garáží kohokoli jiného.

Co dělat: Změňte výchozí zásady počítače pro automatické spouštění. Návod lze nalézt v prostředí Windows.

2. Notebooky a netbooky: Notebooky jsou diskrétní, mobilní, obsahují plné operační systémy, mohou pracovat s využitím interní baterie a jsou vybaveny praktickým ethernetovým portem pro přímé napojení do sítě. Notebook v sobě již může mít spuštěn škodlivý kód, který pracuje na pozadí a je určen k prohledání sítě a nalezení dalších systémů za účelem nakažení. Tento notebook může patřit internímu zaměstnanci nebo třeba také návštěvě, kteří pracují z otevřeného prostoru nebo kanceláře.
Kromě nakažených notebooků kompromitujících interní síť je důležité myslet na samotné notebooky. Všechny firmy mají nějakou podobu důležitých informací, které absolutně nesmí opustit firmu (informace o platech, lékařské záznamy, domácí adresy, telefonní čísla a rodná čísla jsou jen částečným příkladem). Je velmi nebezpečné, pokud je taková informace uložena na nezabezpečeném přenosném počítači, protože ho lze snadno odnést. Jsou známy četné případy notebooků s citlivými údaji, které se ztratily. Pokud notebook neobsahuje silný šifrovací algoritmus, lze data snadno získat z daného souborového systému.
Co dělat: Implementovat šifrovaný souborový systém pro takto důležitá data. Existuje mnoho připravených řešení, ze kterých si lze vybírat, včetně řešení open source, jako je například TrueCrypt. Kontrola koncových bodů, které umožňují vstup do interního systému a výstup z něj je také důležitá. Citlivé informace, jako jsou údaje pro přístup prostřednictvím sítí VPN nebo Wi-Fi, by neměly být uloženy v noteboocích a netboocích trvale.

3. Bezdrátové přístupové body: Access pointy poskytují okamžitou konektivitu pro libovolného uživatele v dosahu sítě. Bezdrátové útoky wardriverů (osoby vyhledávající nezabezpečené bezdrátové sítě z jedoucího auta) jsou zcela běžné a v minulosti způsobily významné škody.
Například TJ Stores, vlastník obchodů Marshalls a TJMaxx, byl napaden pomocí této metody, přičemž útočníci pronikli do počítačových systémů firmy, které zpracovávají a ukládají transakce zákazníků včetně kreditních a debetních karet, šeků a dalších obchodních transakcí. Bylo oznámeno, že toto napadení dosud stálo firmu více než 500 milionů dolarů.
Bezdrátové body jsou ze své podstaty nezabezpečené, nezávisle na tom, zda je nebo není použito šifrování. Protokoly jako WEP (Wired Equivalent Privacy) obsahují známé zranitelnosti, které lze snadno využít pomocí sad pro útoky, jako je například Aircrack.  Robustnější protokoly, například WPA (Wi-Fi Protected Access) a WPA2 jsou stále zranitelné vůči slovníkovým útokům, pokud nejsou použita silná hesla.

Co dělat: Pro přístupový bod je doporučeno použít verzi protokolu WPA2 Enterprise s autentizací RADIUS. Toto řešení provádí ověření a vynucuje bezpečnostní opatření. Měla by být používána a často měněna silná kombinovaná hesla. Bezdrátové přístupové body jsou obvykle používány za účelem zvýšení pohodlí, takže obvykle není nutné mít je připojeny do pracovního prostředí.

4. Různá USB zařízení: USB disky nejsou jedinými USB zařízeními, kterých se personál IT musí obávat. Mnoho produktů je také schopno ukládat data v běžných souborových systémech, které lze číst a zapisovat na ně prostřednictvím USB nebo podobného připojení. Protože to není primární funkcí těchto zařízení, často se na ně zapomíná při zvažování potenciálních hrozeb.
Pokud koncový počítač dokáže číst a spouštět data ze zařízení, představuje to ve skutečnosti stejnou hrozbu jako USB disk. Tato řešení zahrnují digitální fotoaparáty, MP3 přehrávače, tiskárny, skenery, faxy a dokonce digitální rámečky na fotografie. V roce 2008 bylo ohlášeno zjištění viru v rámečcích Insignia, které byly prodávány na Vánoce, a virus byl distribuován přímo výrobcem.

Co dělat: Implementujte a vynucujte zásady a kontroly vybavení, určující, která zařízení se mohou připojit do prostředí a kdy. Poté to doplňte častým upozorňováním na zásady. Například v roce 2008 ministerstvo obrany USA vytvořilo zásady a zakázalo přístup do svého prostředí pro všechny USB disky a další vyměnitelná média.

5. Vnitřní připojení: Interní zaměstnanci firmy mohou také nechtěně či záměrně přistupovat do oblastí sítě, kam by neměli, nebo by neměli mít přístup ke koncovým počítačům a kompromitovat je kterýmkoli ze způsobů popsaných v tomto článku. Zaměstnanec si může například „půjčit“ počítač kolegy během jeho polední přestávky. Nebo může požádat spolupracovníka o pomoc v přístupu k oblasti sítě, ke které normálně nemá přístup.

Co dělat: Měla by být pravidelně měněna hesla. Autentizace a přístupové úrovně musí být pro všechny zaměstnance povinné – měli by mít přístup jen do systémů, k souborům atd., které jsou potřebné k plnění jejich povinností. Všechny speciální požadavky by vždy měly být předávány týmu (nikoliv jednomu uživateli s autoritou), který může požadavek schválit.