Informačná bezpečnosť z hľadiska počítačových infiltrácií

Informačná bezpečnosť z hľadiska počítačových infiltrácií Autor: Peter KOVÁČ Oponent: Róbert HRITZ 1 Úvod Profil autorov malware Technológie a riziko Botnet Zero day exploit Rootkit Najčastejšie používané technológie Teoretické hrozby Možnosti ochrany pred infiltráciami z vonkajšieho prostredia Infiltrácie a bezpečnostné riziká zvnútra IT incidenty v Slovenskej republike Heslo nbusr123 Únik databáz mobilných operátorov Implikácie pre Slovensko Úvod V roku 1969 vznikla vojenská sieť ARPAnet (Advanced Research Projects Agency Net), predchodca dnešného internetu. ARPAnet fungoval až do roku 1990 a prevádzku z technickej stránky zabezpečovala spoločnosť Bolt, Beranek & Newman, Inc. Jej zamestnanec Bob Thomas v roku 1970 vytvoril program Creeper. Mal typické vlastnosti červa vedel získať prístup do siete cez modem a posielať svoje kópie na vzdialený počítač. Prvý známy skutočný vírus pre osobné počítače, Elk Cloner, vznikol v roku 1982. Elk Cloner bol boot vírus napísaný v assembleri procesora 6502 a šíril sa disketami na počítačoch Apple II. Prvým vírusom pre počítače PC bol boot vírus Brain z roku 1986, ktorý v tomto čase oslavuje 20 rokov od svojho rozšírenia. V súčasnosti existujú desiatky tisíc programov, ktoré možno označiť ako malware škodlivé aplikácie. Patria medzi ne vírusy, červy, trójske kone, spyware, adware ale aj rozličné dialery. [16] Čoraz častejšie sú správy o incidentoch, kde počítačové infiltrácie spôsobujú znefunkčnenie alebo zhoršenie funkcie kritickej infraštruktúry či únik utajovaných informácií. V októbri 2002 sa odohral masívny útok typu Distributed Denial of Service (DDoS) na 13 ko- 807

1 III. KAPITOLA Informačná bezpečnosť z hľadiska počítačových infiltrácií reňových DNS serverov. Tento útok nebol úspešný, ale v prípade, že by uspel, mohlo dôjsť k ohrozeniu fungovania prevažnej časti internetu [21]. V roku 2003 červ Slammer prenikol do počítačovej siete jadrovej elektrárne Davis-Besse v štáte Ohio (USA), kde na viac ako 5 hodín znefunkčnil bezpečnostný monitorovací systém. Aj keď sa väčšina personálu domnievala, že elektráreň je proti útoku chránená firewallom, v elektrárni existovalo aj nechránené pripojenie do siete jednej z dodávateľských spoločností. Tento dodávateľ mal sieť pripojenú do internetu, čo umožnilo prienik červa [23]. V marci roku 2003 červ Win32/Nachi (známy tiež aj pod menom Welchia) spôsobil, že prevažná časť intranetu US Navy Marine Corps s viac ako 100 000 počítačmi nebola použiteľná pre záťaž spôsobenú množstvom kópií červa hľadajúcich zraniteľné počítače [20]. Incident sa odohral v čase, kedy USA viedli aktívne bojové operácie v Iraku. Ďalšie incidenty spôsobil v roku 2004 červ Win32/Sasser, ktorý okrem iného spôsobil meškanie 20 letov British Airways o 10 minút, znefunkčnil počítače v tretine pobočiek taiwanskej pošty a dokonca vyradil aj 19 centier British Coastal Guards [7, s. 4]. Známy je tiež incident s červom Witty, ktorý v priebehu prvých 10 sekúnd šírenia napadol 135 počítačov, čo je pri prirodzenom priebehu šírenie veľmi málo pravdepodobné [10, s. 47]. Zo 135 počítačov, ktoré červ napadol v počiatočnej fáze šírenia, až 110 bolo lokalizovaných na americkej vojenskej základni. Tieto napadnuté počítače boli veľmi významné pre ďalšiu propagáciu červa, ktorý infikoval v priebehu iba 75 minút 12 000 počítačov [19]. Červ bol pri svojom šírení mimoriadne agresívny a infikované počítače po napadnutí spravidla znefunkčnil, čo v konečnom dôsledku významne obmedzilo jeho rozšírenie. V roku 2005 spôsobil počítačový červ na počítači zamestnanca spoločnosti poverenej výkonom inšpekcií únik informácií o 7 atómových a 13 vodných a tepelných elektrárňach s celkovým objemom 40 50 megabajtov. V týchto dátach sa nachádzali údaje z pravidelných inšpekcií reaktoru č. 3 v Mihame a reaktoru č. 4 v Oi, vrátane zoznamu komponentov dodaných spoločnosťou Mitsubishi Electric pre elektráreň v Mihame [6]. Podobný incident sa v Japonsku odohral aj v januári 2006, keď unikli záznamy o inšpekcii v tepelnej elektrárni Kawagoe, vrátene fotografií vnútrajšku elektrárne obsiahnutých v inšpekčnej správe a osobných údajov osôb, ktoré sa na inšpekcii zúčastnili [13]. V oboch týchto japonských incidentoch zohralo významnú úlohu pripojenie počítača, na ktorom sa údaje nachádzali, 808

Peter KOVÁČ 1 do v Japonsku veľmi populárnej peer-to-peer siete Winny. Táto sieť umožňuje výmenu a zdieľanie súborov na počítačoch, ktoré sú do nej pripojené. Z vyššie uvedených príkladov jednoznačne vyplýva dôležitosť prevencie a ochrany pred rozličnými typmi malware a najmä pred počítačovými infiltráciami. Profil autorov malware V minulosti bol typickým autorom malware mladý muž, ktorý si potreboval dokázať svoje schopnosti. Zapojenie žien do tvorby malware je skôr výnimočné [11]. Doteraz je známy prakticky len jediný prípad, keď sa žena systematicky zaoberala tvorbou počítačových infiltrácií [3]. V posledných rokoch sa dá preukázať významná zmena v charakteristike autorov v súčasnosti je jednoznačný ich posun do oblasti kriminálneho podsvetia s motívom finančného zisku z tvorby malware. Ak máme uvažovať o útoku veľkého rozsahu na kritickú infraštruktúru, je nevyhnutné si uvedomiť, že ho môže realizovať samostatne a bez pomoci iných osôb dostatočne motivovaný jednotlivec. Pravdepodobnejším scenárom je však útok vedený organizáciou s dostatočnými materiálnymi a ľudskými zdrojmi. V každom prípade treba uvažovať o motivovanom autorovi majúcom dostatočné vedomosti a zdroje, s pomocou ktorých môže realizovať cielené útoky. V tom najhoršom prípade bude útočníkom organizácia alebo štát s prakticky neobmedzenými zdrojmi a možnosťami. Technológie a riziko Botnet V súčasnosti predstavuje najrozšírenejšiu formu počítačovej infiltrácie červ s komponentom s vlastnosťami trójskeho koňa. Počítače napadnuté takýmto druhom infiltrácie môžu byť ovládané na diaľku bez vedomia ich legálneho majiteľa. Jednotlivé napadnuté počítače sa označujú ako zombie, pričom jednotlivé zombie počítače bývajú spojené do tzv. botnetu: siete, v ktorej môžu byť až desiatky tisíc napadnutých a na diaľku ovládaných počítačov. Tento typ infiltrácií sa rozšíril v posledných rokoch v dôsledku nárastu počtu 809

1 III. KAPITOLA Informačná bezpečnosť z hľadiska počítačových infiltrácií počítačov trvalo pripojených do internetu. Prostredníctvom na diaľku ovládaných počítačov možno vykonať prakticky akúkoľvek mysliteľnú operáciu od rozposielania nevyžiadanej pošty až po masívny DDoS útok spojený s požadovaním výpalného. V súčasnosti je možné prenajať si botnet osôb patriacich do počítačového podsvetia [8]. V októbri 2005 boli holandskou políciou odhalení prevádzkovatelia botnetu do ktorého patrilo 1,5 milióna počítačov. Ide o najväčšiu doteraz objavenú sieť zombie počítačov. [25]. V budúcnosti treba očakávať nasadenie botnetu podobných, alebo dokonca ešte väčších rozmerov, najmä v prípade pokusov o kyberterorizmus. Zero day exploit Veľké bezpečnostné riziko predstavuje aj zero day exploit. Ide o zneužitie bezpečnostnej chyby v určitej aplikácii v ten istý deň, ako sa chyba stane známou. Štandardným postupom pri odhalení chyby je informovanie výrobcu aplikácie o jej existencii. Výrobca chybu odstráni a distribuuje opravu svojim klientom. Až potom sa bezpečnostná chyba zverejní. Hacker s dostatočnými znalosťami a prostriedkami však môže takéto chyby odhaliť a zneužiť bez toho, aby o nich kohokoľvek informoval. Riziko zero day exploitu nie je možné nijakým spôsobom odstrániť, preto treba s takýmito útokmi počítať a disponovať systémom na odhaľovanie narušenia bezpečnosti siete (intrusion detection system). Rootkit Perspektívny a rozšírený nástroj na získanie kontroly nad počítačom predstavujú aj rootkity. Rootkit je program alebo súbor programov, ktoré používa útočník po získaní prístupu do cieľového počítača. S pomocou rootkitu, ktorý získal prístup ku operačnému systému na nízkej úrovni, je možné skrývať pred legitímnym používateľom počítača procesy a súbory a tak si udržiavať prístup ku napadnutému počítaču. Rootkity majú spravidla schopnosť otvárať napadnutý počítač pre vzdialený prístup. V niektorých prípadoch môže rootkit do počítača nainštalovať aj sám legálny používateľ. Príkladom z poslednej doby je prípad systému na správu digitálnu autorských práv (Digital Rights Management DRM) spoločnosti Sony BMG z roku 2005 s vlastnosťami rootkitu, ktoré boli potenciálne zneužiteľné útočníkom s dostatočnými znalosťami [24]. Rootkit spoločnosti Sony BMG určený na ochranu hudobných 810

Peter KOVÁČ 1 nosičov pred kopírovaním sa preukázateľne dostal do vládnych a vojenských sietí v USA a pravdepodobne aj inde [18]. Takýto spôsob napadnutia by mohol mať v prípade útočníka veľmi závažné následky. Rootkit je vo všeobecnosti ťažké odstrániť z napadnutého systému. K tomu sú zvyčajne potrebné špecializované programy, pričom niekedy sa ani ich použitím nemusí podariť rootkit zo systému odstrániť. Niektorí autori ako jediný skutočne spoľahlivý spôsob spoľahlivého odstránenia rootkitu odporúčajú kompletné preinštalovanie napadnutého systému. Najčastejšie používané technológie Značné riziko predstavujú aj najrozšírenejšie počítačové technológie v súčasnosti sú to produkty spoločnosti Microsoft. Ich nasadenie je masové. Microsoft je výrobcom najrozšírenejšieho operačného systému, najrozšírenejšieho kancelárskeho balíka, najrozšírenejšieho internetového prehliadača, Microsoftu patrí aj väčšina trhu so serverovými aplikáciami. Všetky produkty Microsoftu sú veľmi dobre dokumentované. Tým sú naplnené dva základné predpoklady, aby sa tieto aplikácie mohli stať predmetom útoku masová rozšírenosť a dostupnosť informácií. Vzhľadom na komplexnosť aplikácií nie je možné ani vylúčiť riziko existencie zneužiteľných chýb v nich. Pritom mnohé ich inštalácie sú vykonávané v štandardnom, výrobcom predvolenom režime, čo dáva prípadnému útočníkovi výhodu známeho nastavenia cieľového systému. Dodatočnými rizikami používania aplikácií Microsoftu sú tiež nie práve najrýchlejšia reakcia výrobcu na bezpečnostné chyby, ale najmä nedisciplinovanosť používateľov pri aplikácii bezpečnostných záplat. Teoretické hrozby Nicholas Weawer zaviedol termín Warhol worm pre červa s najrýchlejším možným infikovaním. Pre šírenie červa je rozhodujúca rýchlosť nájdenia napadnuteľných počítačov. Weawer uvažuje s dnešnými technológiami a podľa neho je možné, aby Warhol worm napadol všetky vhodné počítače pripojené do internetu v čase kratšom ako 15 minút. Predpokladá dĺžku kódu červa okolo 100 kilobajtov, 100 skenov na napadnuteľné počítače za 1 sekundu, veľkosť skenu na napadnuteľný počítač do 5 kilobajtov a sken napad- 811

1 III. KAPITOLA Informačná bezpečnosť z hľadiska počítačových infiltrácií 1 ARP sa používa pri prevode IP adresy na MAC adresu pozn. aut. nutého počítača veľkosti desiatok bajtov. Pre šírenie červa je rozhodujúci čas, za ktorý napadne prvých 10 000 počítačov. Kým v súčasnosti červy skenujú napadnuteľné počítače náhodne, prípadne v rámci podsiete, v ktorej sa nachádzajú, Warhol worm by v sebe obsahoval vopred pripravený zoznam infikovateľných počítačov. Takýto zoznam môže mať veľkosť rádovo stovky kilobajtov až megabajty. Warhol worm by pri každom úspešnom napadnutí jeho polovicu odovzdal napadnutému počítaču. Tým by sa dosiahla vysoká rýchlosť infikovania v počiatočnej fáze šírenia, a to dokonca aj za predpokladu, že iba 10 20 % počítačov z pripraveného zoznamu by skutočne bolo infikovaných. Pokiaľ by súčasne počítač už napadnutý Warhol wormom odpovedal na sken inak ako nenapadnutý počítač, predišlo by sa aj zníženiu rýchlosti infikovania, ku ktorému dochádza pri červoch s náhodným skenovaním. Weawer operuje s pojmom permutačný sken, pri ktorom počítače s pomocou hitlistu alebo pomocou permutácií prehľadávajú pridelený IP priestor. Ďalšie zrýchlenie počiatočného infikovania by sa dalo dosiahnuť permutačným skenom, pri ktorom by červ odovzdal novej kópii polovicu prideleného IP priestoru pre permutačný sken. V prípade že by Warhol worm bol pri skenovaní internetu obmedzený príliš veľkým množstvom ARP (Address Resolution Protocol) 1 požiadaviek, môže prejsť na skenovanie lokálnej podsiete a prípadne susedných podsietí. Vhodným cieľom pre Warhol worm sú najrozšírenejšie systémy Microsoft IIS, Microsoft Exchange, P2P programy a instant messaging programy (ICQ, Miranda atď.) [26]. Warhol worm by v ideálnom prípade využíval nové, verejnosti neznáme bezpečnostné chyby vo väčšom počte (zero-day exploit). Testy preukázali, že postihnutých by mohlo byť až 60 % počítačov pripojených do internetu. [27, s. 6] Weawer sa vo svojich úvahách o Warhol worm zaoberal možnosťou jeho čo najrýchlejšieho rozšírenia. Opomenul ale v súčasnosti veľmi reálnu možnosť, že by sa takýto útok začal prostredníctvom rozsiahleho botnetu, v prostredí ktorého by medzi jednotlivé inštalácie červa bol vopred rozdelený hitlist. Keďže prvých 10 000 napadnutých počítačov je pre rýchlosť rozšírenie kritických, v ideálnom prípade útoku by bol červ v počiatočnej fáze nainštalovaný na rozsiahly botnet disponujúci vysokorýchlostným pripojením do internetu. V takomto prípade by bol čas potrebný na dosiahnutie maximálneho účinku v porovnaní v Weawerovými predpokladmi ešte kratší. 812

Peter KOVÁČ 1 Nedávno sa objavili správy o možnosti využitia kvalitatívne nového prístupu pri tvorbe rootkitov Virtual Machine Based Rootkit (VMBR). Pri klasickej forme útoku sa útočník snaží získať prístup ku cieľovému systému na čo najnižšej úrovni, aby sa vyhol detekcii. Kto má prístup k systému na nižšej úrovni, ten má systém viac pod kontrolou. V prípade VMBR útočník na cieľový počítač nainštaluje virtuálny systém, v ktorom potom spustí vlastný operačný systém počítača (takýmto komerčným systémom je napríklad VMWare). Tým získa nad operačným systémom úplnú kontrolu a dokonca môže spúšťať malware v oddelenom prostredí. To znamená, že ho nie je možné detekovať klasickými prostriedkami ako napr. antivírusovým programom z prostredia operačného systému bežiaceho vo virtuálnom prostredí. Použitie VMBR nesie so sebou nevýhody, ku ktorým patrí predĺženie času spúšťania systému (bootovania) a určité zníženie výkonu počítačového systému. Detekcia VMBR je možná, pokiaľ sa získa prístup ku systému na nižšej úrovni ako VMBR. Takéto možnosti poskytuje boot z bezpečného média (CD ROM, USB disk, sieťový boot server), bezpečné systémy Virtual Machine Monitor, bezpečný hardvér, bezpečný boot, alebo trustworthy computing). Zistiť prítomnosť VMBR v systéme, ak aplikácia beží vo virtuálnom prostredí, je možné len v obmedzenom rozsahu: prakticky iba meraním spomalenia systému. [15] Závažný bezpečnostný problém môže byť prítomnosť infiltrácie v boot sektore. Ten sa automaticky zavádza do pamäti pri štarte operačného systému a akýkoľvek kód v boot sektore je vykonaný ešte pred zavedením operačného systému. V minulosti bol boot sektor terčom útokov boot vírusov, v súčasnosti nemožno vylúčiť ani inštaláciu infiltrácie typu rootkitu či trójskeho koňa. Teoreticky treba uvažovať aj inštaláciou backdooru alebo trójskeho koňa aj do BIOSu počítača. Takáto infiltrácie by bola prakticky nezistiteľná a bežnými prostriedkami neodhaliteľná. Mohla by pritom byť inštalovaná do počítača už v procese jeho výroby, a to pre dodanie určitému konkrétnemu zákazníkovi. Využitie takejto infiltrácie pre získavanie informácií alebo spôsobenie značných škôd by potom bolo v zásade veľmi jednoduché a lákavé. V tejto súvislosti treba upozorniť na skutočnosť, že State Department v USA zakázal prednedávnom na podnet niektorých členov Kongresu použitie počítačov čínskeho výrobcu Lenovo v utajovaných sieťach. Spoločnosť Lenovo predtým uspela v súťaži o kontrakt na dodávku 16 000 počítačov ThinkCentre M51 a ďalších zariadení v cene 813

1 III. KAPITOLA Informačná bezpečnosť z hľadiska počítačových infiltrácií 13 mil. USD. Dôvodom na rozhodnutie boli údajne obavy z čiastočného vlastníctva spoločnosti Lenovo čínskou vládou, ktoré viedli k obavám z úniku informácií [5]. Možnosti ochrany pred infiltráciami z vonkajšieho prostredia Jedinú spoľahlivú ochranu proti mimoriadne agresívnym formám počítačových infiltrácií predstavuje fyzická izolácia kritických systémov od internetu. Takéto systémy nemožno napadnúť počítačovou infiltráciou. Určitú limitovanú imunitu môžu mať systémy pripojené do internetu, pokiaľ budú chránené príslušným hardvérom a/alebo softvérom. Klasickú formu ochrany pred infiltráciami predstavuje reaktívna ochrana. Tento spôsob ochrany je mimoriadne účinný voči známym infiltráciám. Infiltrácia je detekovaná s pomocou detekčnej vzorky vytvorenej po analýze. Pre reaktívnu ochranu sú veľmi typické 4 fázy, ktoré musia prebehnúť, kým je k dispozícii ochrana pred infiltráciou. V prvej fáze musí spoločnosť vyrábajúca ochranu získať vzorku infiltrácie. V druhej fáze je infiltrácia analyzovaná a je pridaná vzorka na jej detekciu. V tretej fáze sa umiestnia aktualizácie programu s detekčnou vzorkou na aktualizačný server na internete. V štvrtej fáze sa aktualizuje ochranný program na počítači z aktualizačného serveru. Od okamihu aktualizácie je počítač chránený. Limitom reaktívnej ochrany je časové trvanie vyššie uvedených štyroch fáz, kým sa dosiahne ochrana počítača. V súčasnosti trvá tento cyklus v typickom prípade 3 4 hodiny, pričom počítač v tomto čase nie je nijako chránený. Riziko reaktívneho prístupu zvyšuje aj známa skutočnosť, že pokiaľ v tomto období dôjde ku prieniku infiltrácie na ešte nechránený počítač, infiltrácia môže znemožniť aktualizáciu ochranného programu z aktualizačného serveru výrobcu. Výrobcov takýchto programov sú rádovo desiatky a zablokovanie ich aktualizačných serverov nie je technicky veľmi zložité. Riziko neprítomnosti ochrany v prvých 3 4 hodinách šírenia infiltrácie dokáže eliminovať iba proaktívna ochrana. Proaktívna ochrana je založená na automatickej analýze kódu infiltrácie špecializovaným programom. Takáto ochrana nie je absolútna. Možnosť detekovať každú jednotlivú detekciu automatickým systé- 814

Peter KOVÁČ 1 mom popiera Cohenov teorém 2. V súčasnosti majú najúspešnejšie automatické systémy prekvapivo vysokú účinnosť voči novým a neznámym infiltráciám. Účinnosť týchto programov možno sledovať tak, že sa ku určitému dátumu pozastaví ich aktualizácia a zbierajú sa infiltrácie, ktoré sa vyskytli v období po zastavení aktualizácie. Po uplynutí definovanej doby bez aktualizácie musí program identifikovať vzorky infiltrácií. V testoch vykonávaných serverom www.av-comparatives.org dosahujú najúčinnejšie programy viac ako 60 % detekciu neznámych infiltrácií. [9] V prípade infiltrácií typu VMBR bude treba ochranu infraštruktúry koncipovať ako kombináciu softvérových a hardvérových riešení. Infiltrácie a bezpečnostné riziká zvnútra Pri ochrane pred infiltráciami zohrávajú popri rozličných technických opatreniach chrániacich dôležitú infraštruktúru pred napadnutím zvonku dôležitú úlohu aj opatrenia zamerané smerom dovnútra organizácie. Vo vnútri organizácie predstavuje najväčšie riziko používateľ alebo správca informačného systému. Bezpečnostné riziká pochádzajúce od používateľa systému možno rozdeliť na chyby spôsobené neznalosťou, nedbalosťou, alebo nepozornosťou a zámerné cielené útoky voči informačným systémom. V tejto súvislosti je dôležité predovšetkým jasné stanovanie presných pravidiel používania informačných systémov v rámci organizácie, rozdelenie a presné určenie zodpovednosti za ochranu systémov pred napadnutím. Základnou zásadou je pravidlo minimalizácie možnosti vzniku škôd spôsobených zamestnancom, čo sa realizuje prostredníctvom need-to-know stratégie prístupu k informáciám. Používateľ predstavuje pre informačný systém riziko, pretože najmä pokiaľ disponuje určitým stupňom znalostí o systéme môže sa snažiť o jeho modifikáciu. V tejto súvislosti sú najčastejšími rizikovými aktivitami používateľov snaha o zmenu konfigurácie a nastavení systému, inštalácie neautorizovaného softvéru, ako aj zneužívanie informačného systému na aktivity nesúvisiace s pracovnou náplňou (napaľovanie, sťahovanie hudby z internetu a podobne). Takéto aktivity používateľa môžu so sebou niesť nielen bezpečnostné, ale aj právne riziká pre organizáciu. 2 Pre viac informácií viď [17]. 815

1 III. KAPITOLA Informačná bezpečnosť z hľadiska počítačových infiltrácií IT incidenty v Slovenskej republike V nedávnom období sa v SR odohralo niekoľko incidentov, ktoré poukazujú na nevyhnutnosť zvládnutia ochrany informačných systémov proti útokom zvonku aj zvnútra. Klasickým príkladom útoku zvonku bol prípad preniknutia hackerov do počítačových systémov Národného bezpečnostného úradu (NBÚ) v apríli 2006. Útok, resp. únik informácií z vnútra organizácie je možno demonštrovať na úniku databáz zákazníkov slovenských mobilných operátorov. Tieto dva incidenty si zaslúžia pre svoj unikátny charakter podrobnejšiu analýzu. Heslo nbusr123 V apríli 2006 došlo ku prieniku doteraz neznámych hackerov do siete NBÚ. Pri prieniku získali hackeri podľa vlastného vyjadrenie okolo 20 gigabajtov údajov, vrátene približne 36 000 správ elektronickej pošty zamestnancov NBÚ [22]. Podrobnosti útoku boli zverejnené na undergroundovom internetovom serveri so zameraním na počítačovú bezpečnosť. Útočníci využili dlhšie známu bezpečnostnú chybu umožňujúcu spustenie kódu na cieľovom počítači. Samotná chyba bola známa najmenej dva týždne pred útokom. Kľúčom ku prieniku bol účet používateľa nbusr s prideleným heslom nbusr123, ktorý umožňoval podľa hackerov prístup k viacerým počítačom a sieťovým prvkom. Hackeri informácie o svojom prieniku a jeho rozsahu dokumentovali zverejnením viacerých konfiguračných súborov. [14] V deň, keď bola v denníku SME s celoštátnou pôsobnosťou zverejnená informácia o prieniku do systémov NBÚ, bolo možné ešte aj v poobedňajších hodinách pristúpiť na server NBÚ a získať na diaľku údaje o menách užívateľov, ich adresári /home, a id v systéme. To je veľmi nezvyčajný a netypický spôsob reakcie na bezpečnostný incident. Klasickou reakciou býva skôr vypnutie a/alebo izolácia postihnutého systému. Podľa vyjadrenie NBÚ boli napadnuté počítače v zóne public a DMZ a utajované informácie neunikli [1]. Vzhľadom na predpokladaný rozsah úniku údajov až 20 gigabajtov je málo pravdepodobné, že sa v rozumnom časovom horizonte podarí presne zistiť, aké informácie unikli. Pritom už len získané správy elektronickej pošty môžu obsahovať zaujímavé informácie. Hackeri však tvrdia, že získali pri prieniku aj interné dokumenty, smernice, nariadenia a databázu. [14] 816

Peter KOVÁČ 1 V danom prípade ide o neospravedlniteľné zreťazenie ľudských pochybení. Neošetrenie známej chyby by samo o sebe ešte nemuselo nevyhnutne viesť ku bezpečnostnému incidentu. Nepochopiteľné je však, prečo bolo používateľovi nbusr pridelené heslo nbusr123. Takéto jednoduché heslo je iba minimálne odolné a je v rozpore s všetkými bezpečnostnými pravidlami. Na počítač, ktorý hackeri napadli ako prvý, sa bolo možné vzdialene prihlásiť z internetu, čo v prípade dobre zabezpečených systémov nebýva možné. Ďalším pochybením bola možnosť získať oprávnenie správcu systému iba zadaním príkazu su bez vyžiadania akéhokoľvek hesla. Kombinácia mena používateľa nbusr a hesla nbusr123 umožňovala prístup aj na ďalšie počítače, čo je ďalší klasický prípad porušenia bezpečnostných pravidiel. Vzhľadom na to, že podľa dostupných informácií systémy pre NBÚ zabezpečuje externá spoločnosť [22], možno špekulatívne uvažovať dokonca aj o tom, že kombinácie mena používateľa a jeho hesla by mohli byť ešte pôvodným nastavením od dodávateľa systému. Prístup ku napadnutému systému niekoľko hodín po zverejnení incidentu v tlači svedčí aj o určitej nerozhodnosti NBÚ a pravdepodobne aj o neexistencii vopred plánovanej reakcie na bezpečnostný incident takéhoto typu (incident response). Tento incident prinajmenšom poškodil autoritu NBU v oblasti bezpečnosti, nakoľko hackeri demonštrovali, že boli porušené základné pravidlá bezpečnosti, ktoré by inštitúcia ako NBÚ mala rešpektovať. Následky tohto incidentu smerom do budúcnosti nie je možné na základe dostupných informácií odhadnúť. Únik databáz mobilných operátorov Pomerne širokej publicity sa dostalo aj úniku databáz oboch slovenských mobilných operátorov. V uniknutých databázach sa nachádzali údaje o telefónnych číslach zákazníkov paušálnych aj predplatených služieb spoločností Eurotel (dnes T-mobile) a Orange. Podľa vyjadrenia riaditeľa úseku informačných systémov Orange Ivana Goliana posledné údaje v databáze sú z 9. mája 2002 a tento dátum sa takmer presne zhoduje s termínom, v ktorom jeho firma povinne odovzdávala svoje údaje polícii a tajnej službe. Nelegálne zverejnené zoznamy obsahujú aj telefónne čísla, adresy a niektoré ďalšie citlivé údaje ústavných činiteľov, politikov, členov manažmentu významných firiem a celebrít. Informácie však môžu ohroziť aj sudcov, členov zásahových jednotiek, vojakov alebo prísluš- 817

1 III. KAPITOLA Informačná bezpečnosť z hľadiska počítačových infiltrácií níkov polície, ktorí pracujú na utajených oddeleniach. Okrem telefónneho čísla obsahujú i súkromné adresy mnohých z nich. Popri menách a osobných údajoch sa zo zoznamov dá jednoducho zistiť aj presun telefónneho čísla medzi zákazníkmi, zmena ich bydliska, alebo to, aká firma ich telefón platí [2]. Z databázy, ktorá unikla, možno zistiť aj mobilné telefónne čísla, ktoré používa Slovenská informačná služba [4, 12]. Na základe uniknutých databáz vznikli programy umožňujúce pohodlné vyhľadávanie v databázach na základe rozličných kritérií. Vzhľadom na to, že došlo ku úniku databáz oboch mobilných operátorov, zdroj úniku treba hľadať tam, kde sú obe tieto databázy k dispozícii súčasne. Jedným z možných zdrojov úniku databáz sú bohužiaľ aj bezpečnostné zložky štátu. Implikácie pre Slovensko Základný problém v oblasti informačnej bezpečnosti v oblasti verejnej a štátnej správy na Slovensku predstavujú ľudské zdroje. Existujúca legislatíva nedovoľuje kvalitným uchádzačom ponúknuť také materiálne podmienky, ktoré by čo i len okrajovo mohli konkurovať možnostiam privátneho sektora. To neumožňuje vo väčšine prípadov získať dostatok kvalitných expertov okrem prípadu, že motivácia uchádzača je iná ako finančná. Bez podstatnej zmeny legislatívy bude trend úniku perspektívnych kádrov pretrvávať. Určité riešenie pre oblasť bezpečnosti informačných technológií predstavuje outsourcing, nie je ale univerzálne použiteľným riešením. Pri únikoch informácií zvnútra je dôležitá minimalizácia možností vedúcich ku neautorizovanému prístupu a súčasne maximalizácia pravdepodobnosti jeho odhalenia. V rámci organizácie musí byť definovaná bezpečnostná politika. Jej integrálnou a veľmi dôležitou súčasťou je stratégia správy hesiel. V tejto súvislosti treba upozorniť, že autorizáciu menom a heslom zadávaným z klávesnice nemožno v súčasnosti pokladať za dostatočne bezpečnú. Vhodnou náhradou alebo doplnkom sú napríklad biometrické spôsoby autorizácie. Informácie by mali byť prístupné iba pre oprávnenú osobu a v čase, kedy s nimi táto osoba neopracuje, by mali byť vo forme, ktorá ich aj v prípade úniku robí nečitateľnou (napríklad šifrované). V tejto súvislosti je tiež vhodné monitorovanie aktivít na koncových staniciach. 818

Peter KOVÁČ 1 V pri ochrane pred útokmi zvonku zohráva dôležitú úlohu pravidelná aktualizácia operačného systému spojená s aplikovaním opráv riešiacich známe bezpečnostné chyby. Táto starostlivosť je dôležitá aj v prípade aplikačného programového vybavenia. Pred útokmi zvonka treba systémy chrániť v maximálnej možnej miere nasadením a správnym prevádzkovaním kombinovaného hardvérového a softvérového riešenia bezpečnosti. Tu treba pritom klásť dôraz na používanie takých riešení, ktoré umožňujú proaktívny prístup. Jedine pri takomto spôsobe ochrany je možné počítať s určitým stupňom obmedzenia následkov útokov typu Warhol worm. Napriek všetkým vyššie uvedeným aktivitám nie je možné úplne vylúčiť narušenie bezpečnosti. V takom prípade musí byť vopred definovaný postup, akým sa incident bude riešiť, vrátene prípadného styku s médiami a verejnosťou. ZDROJE [1] Anonym: Úrad tvrdí, že ak sa útok zopakuje, zasiahnu, SME, 26. apríla 2006. [2] Anonym: Došlo k úniku dát mobilných operátorov, Korzár, 8. marca 2004, http://www.cassovia.sk/korzar/archiv/clanok.php3?sub=8.3.2004/43204o, 29. 5. 2006. [3] Anonym: Female virus-writer, Gigabyte, arrested in Belgium, Sophos comments, http://www.sophos.com/pressoffice/news/articles/2004/02/va_gigabyte.html, 29. 5. 2006. [4] Anonym: Hackeri: Zamestnanci majú prístup k informáciám a nízku morálku, SME, 8. marca 2004, http://www.info211.sk/media.php?p=773&more- =1, 29. 5. 2006. [5] Anonym: Lenovo Says US Measures Are Unfair, China Daily, 24. 5. 2006, http://en.chinabroadcast.cn/2946/2006/05/24/48@93891.htm, 29. 5. 2006. [6] Anonym: Secret data on reactor inspections leaked to Internet, The Japan Times, 24. jún 2005, http://search.japantimes.co.jp/member/member.html?- nn20050624a5.htm, 29. 5. 2006. [7] Anonym: The SASSER Event: History and Implications, Trend Micro, June 2004, http://www.virtual.com/whitepapers/trendmicro_the_sasser_event- _wp.pdf, 29. 5. 2006. [8] Biever, Celeste: How zombie networks fuel cybercrime, http://www.newscientist.com/article.ns?id=dn6616, 29. 5. 2006. [9] Clementi, Andreas: Anti-Virus Comparative No. 8. Proactive/retrospective test, http://www.av-comparatives.org/seiten/ergebnisse/report08.pdf, 29. 5. 2006. [10] Colleen, Shannon Moore, David: The Spread of the Witty Worm, IEEE Security & Privacy, vol. 2, no. 4, July/August 2004, s. 46 50. [11] Gordon, Sarah: The Generic Virus Writer. Proceedings, Fourth International Virus Bulletin Conference. Jersey, U.K. September 1994, http://www.- research.ibm.com/antivirus/scipapers/gordon/genericviruswriter.html, 29. 5. 2005. 819

1 III. KAPITOLA Informačná bezpečnosť z hľadiska počítačových infiltrácií [12] Hysteria crew: Databazy telefonnych cisiel, Prielom č. 22, http://www.- hysteria.sk/prielom/22/#5, 29. 5. 2006. [13] Chubu Electric Power Co., Inc.: Leakage of technical information concerning thermal power plant, Tlačová správa z 31. januára 2006, http://www.chuden.co.jp/english/corporate/press2005/0131_2.html, 29. 5. 2006. [14] judash: Narodny Bezpecnostny Urad pwn3d, http://blackhole.sk/node/442, 29. 5. 2006. [15] King, Samuel T. Chen, Peter M. Wang, Yi-Min Verbowski, Chad Wang, Helen J. Lorch, Jacob R.: SubVirt: Implementing malware with virtual machines, http://vx.netlux.org/lib/pdf/subvirt%3a%20implementing%20malware%20with%20virtual%20machines.pdf., 29. 5. 2006. [16] Kováč, Peter: História počítačových vírusov a červov, PC Revue, č. 9 (2004), s. 16 18. [17] Lapell, Jennifer: Can Viruses Be Detected? http://www.securityfocus.com/- infocus/1267, 29. 5. 2006. [18] Lemoss, Robert: Researcher: Sony BMG rootkit still widespread, http://- www.securityfocus.com/news/11369, 29. 5. 2006. [19] Lemoss, Robert: Witty worm flaws reveal source, initial targets, http://www.- securityfocus.com/news/11185, 29. 5. 2006. [20] Messmer, Ellen: Navy Marine Corps Intranet hit by Welchia worm, NewtworkWorld.com, 19. marca 2003. http://www.networkworld.com/- news/2003/0819navy.html, 29. 5. 2006. [21] Naraine, Ryan: Massive DDoS Attack Hit DNS Root Servers, http://www.- internetnews.com/dev-news/article.php/1486981, 29. 5. 2006. [22] Pavel, Marián Žemlová, Monika: Hackeri prenikli do počítačov NBÚ, SME, 26. apríla 2004, http://www.sme.sk/c/2691298/hackeri-prenikli-dopocitacov-nbu.html, 29. 5. 2006. [23] Poulsen, Kevin: Slammer worm crashed Ohio nuke plant network, SecurityFocus.com, 2003, http://www.securityfocus.com/news/6767, 29. 5. 2006. [24] Rossinovich, Mark: Sony, Rootkits and Digital Rights Management Gone Too Far, http://www.sysinternals.com/blog/2005/10/sony-rootkits-and-digitalrights.html, 29. 5. 2006. [25] Sanders, Tom: Botnet operation controlled 1.5m PCs, http://www.vnunet.- com/vnunet/news/2144375/botnet-operation-ruled-million, 29. 5. 2006. [26] Weawer, Nicholas C: Warhol Worms: The Potential for Very Fast Internet Plagues, http://www.iwar.org.uk/comsec/resources/worms/warhol-worm.- htm, 29. 5. 2006. [27] Weaver, Nicholas Paxson, Vern: A Worst Case Worm, http://www.icir.org/- vern/papers/worst-case-worm.weis04.pdf, 29. 5. 2006. 820