Hlavní navigace

Bezpečnost je problém celé firmy, ne jen IT, řekl na ORS Bob Mann

Petr Krčmář

Ve čtvrtek 15. listopadu proběhl další ročník konference Open source řešení v sítích, kterou hostuje OPF SLU v Karviné. Proč firmy přistupují k bezpečnosti špatně? Jak Moravskoslezský kraj proměnit v IT oblast?

Doba čtení: 10 minut

Přemysl Soldán: IT Cluster

IT Cluster je nezisková organizace, která vznikla v roce 2006 a chce být hybatelem IT v Severomoravském kraji. V současné době má organizace 23 členů včetně velkých společností jako Tieto, Vitkovice ITS, Autocont a několika vysokých škol. Organizace se zaměřuje na malé a střední firmy z regionu. Neformálně se potkávají, takže si mohou vyměňovat poznatky. Nevýhodou je, že si společnosti vzájemně konkurují, přesto dokázaly najít společná témata. Mění se struktura společnosti a my musíme změnit profil vzdělávání, v čemž hrají klíčovou roli vysoké školy. Se zvyšující se automatizací budou lidé přicházet postupně o práci, takže je žádoucí, aby tito lidé byli znovu uplatnitelní. Stalo se to už v minulosti, nastala chvíle, kdy už nebyly potřeba parní lokomotivy a byli tu strojvůdci, kteří s nimi uměli jezdit. Vždycky je to velká výzva.

Organizace se snaží v této oblasti také provádět výzkum, který zajímá mnoho subjektů v kraji. Chceme vytvářet platformu pro komunikaci mezi IT společnostmi a institucemi. V regionu je silná tradice spolupráce mezi vysokými školami a průmyslem. Chceme posouvat region v oblasti IT kupředu, dokážeme sjednotit komunikaci firem směrem k úřadům. IT firmy jsou poměrně významným zaměstnavatelem, takže se často objevují na různých konferencích, fórech a podobně.

IT Cluster dokáže projekty vymyslet, zorganizovat a dotáhnout do konce. Všechno je postaveno na důvěře, potřebujeme, aby se lidé znali a spolupracovali. Samotný IT Cluster nemá žádný produkt, ale na základě konkrétního projektu je schopen založit novou firmu a s využitím svých členů vše dotáhnout. Realizuje se například projekt optimalizace využití skladových prostor ve výrobních podnicích nebo svoz odpadů v obci. Organizace ale nemá žádného vlastního zaměstnance, vše dělají lidé, kteří pracují u jednotlivých členů.

Organizace spolupracuje s vysokými školami, jejichž studenti bakalářských oborů pracují v některé z firem a to je jim uznáno jako bakalářská práce. Už skoro sedmdesát studentů využilo této možnost a umožňuje to dlouhodobě s lidmi pracovat. Diplomové práce je pak také možné zpracovávat na základě požadavků jednotlivých IT společností.

Vizí celé organizace je udělat z Moravskoslezského kraje region IT. Chceme se zbavit nálepky hornického regionu, máme k tomu zdárně nakročeno.

Bob Mann: Pohádky ze zákopů

Francouzi říkají, že čím více se věci mění, tím více zůstávají stejné. Mění se spousta věcí, ale jedna věc zůstává: pořád se vám někdo snaží ukrást data. Bob Mann zažil velkou krádež identity a trvalo mu 18 měsíců, než přesvědčil úřady o tom, že je tím, kým je. Tvrdil jsem, to jsem já, narodil jsem se tady a tehdy. Oni reagovali jen tím, že počítač říká ne. Když to říká počítač, musí to být přeci pravda. Mann se celý život zabývá opravou problémů týkajících se bezpečnosti. Spousta společností drží data uživatelů a nestará se o ně dobře. Proto je tu GDPR, které říká, že pokud se o data nebudete starat dobře, přijde trest.

Problémem kybernetické bezpečnosti je, že spoustu věcí nemáme ve vlastních rukou. Vždycky je tu boj mezi lidmi z bezpečnosti a zbytkem IT. Pokud nemáte ve firmě správné vztahy, přijdou určitě problémy. Další potíží je, že IT nikdy nemá dost peněz na to, co chce dělat. Lidé z prodeje a marketingu chtějí obvykle věci okamžitě a jejich IT jim to nemůže dát. Skončí to obvykle tak, že si najmou vlastní externí IT oddělení a tím vzniká šedá zóna, ve které obvykle neplatí bezpečnostní standardy. Když pak dojde k úniku dat, firma má vážný problém.

Odpovědí na část problémů je open-source software, jehož kvalita postupně roste. Potřebujeme ale dobrou kontrolu kódu. Než se něco ve velkém nasadí, je potřeba to velmi dobře prověřit. Existují průzkumy, podle kterých 96 % společností používá ve své infrastruktuře open source. Průměrná aplikace má 147 různých komponent a v části z nich je určitě bezpečnostní chyba. Přesto je důvěryhodný software naprosto kritickou součástí bezpečnostní infrastruktury.

Velkou hrozbou jsou státy sponzorované kybernetické útoky, jejichž cílem je ukrást citlivá data. Jak si myslíte, že Číňané dosáhli tak rychlého technologického pokroku? Existují důkazy, že například zmíněná Čína má ve dvanáctipodlažní budově tisícovku serverů a armádu lidí, kteří vytvářejí podporu pro státem placené hackery. To je realita, když vytváříte firemní dokument, myslete na to, že existují lidé, kteří jej chtějí ukrást. Dobrou zprávou, že se zkracuje doba, po které společnost přijde na podobný útok. Medián mezi lety 2015 a 2016 klesl ze 146 na 99 dnů. Stále to ale ještě není dost málo.

Dlouhodobým problémem jsou ploché sítě, které ve firmách poskytují celou škálu služeb, ale nejsou nijak segmentované. Když se útočník dostane dovnitř, má plnou kontrolu. Často mu také hraje do karet, že lokální bezpečnost je velmi špatná, přihlašovací údaje jsou slabé a chybí pořádné logování. Nedokážeme pak už rekonstruovat, jaká data unikla, které soubory si útočník odnesl a co přesně dělal.

Konkrétní příklad úspěšného penetračního testu ukázal, že je to často velmi snadné. Během jednoho testu se kolegové vloupali do firmy, našli volnou ethernetovou zásuvku, dostali se do sítě a otevřeli si dveře. Poté se uvnitř dostali k zapnutému počítači a ovládli síť. IT oddělení bylo naprosto šokované: jak se něco takového mohlo stát? Kolegové pak odešli do kavárny naproti a odtamtud mohli libovolně manipulovat s firemní sítí. Bylo to překvapivě jednoduché a celé napadení trvalo jen tři a půl hodiny.

Velkým omylem firem je, že IT se musí postarat o všechna data. IT oddělení ale data nevlastní, jen dělá podporu byznysu. Ten s daty pracuje, je za ně zodpovědný a musí se o ně starat. Vedení tedy musí nastavit vše správně, zapojit všechna oddělení a nastavit pravidla pro práci s daty.

Bezpečnost podle Manna není žádná záhada, hlavní je používat selský rozum. Největším problém je v tomhle ohledu nedbalost. Často se ale problém jen odsune tím, že je to starost IT. Ale vždycky je to problém celé firmy! Co je tedy potřeba dělat? Udržovat věci jednoduché, monitorovat, nasazovat pouze bezpečné technologie a neustále se o ně starat.

Lukáš Zapletal: SELinux politika pro vaši aplikaci

SELinux umožňuje omezit to, co může aplikace v systému udělat. Bohužel má punc toho, že je to zdroj frustrace a uživatelé nejčastěji hledají způsob, jak SELinux vypnout. Mnohem lepší je vypnout SELinux jen selektivně pro jednu konkrétní aplikaci a zbytek systému nechat zabezpečený. I běžný uživatel ale umí napsat svou vlastní politiku, i když SELinuxu vůbec nerozumí.

SELinux je jaderný modul, který vynucuje chování aplikací podle politiky. Laicky řečeno se stará o to, aby se určité procesy chovaly podle námi daných pravidel. Vzniká sada pravidel, která se zapisují v textovém formátu a umožňují hlídat nastavenou politiku. Když jádro zjistí, že jsou pravidla porušována, zapíše to do audit logu a hlavně takové činnosti zabrání. Nepovolený přístup k souboru tak skutečně skončí chybou, což může v nejhorším případě skončit i havárií špatně napsané aplikace.

V případě útoku dokáže SELinux zabránit ve spouštění nechtěných příkazů nebo doinstalaci vlastního software. Neřeší ale například legitimní meziprocesovou komunikaci, jako je posílání příkazů SQL databázi. I když třeba nezabrání některým typům útoků, pomůže vám při vyšetřování toho, co se stalo. Vede si totiž podrobné záznamy o tom, co se v systému děje.

Politiky jsou uloženy v samostatných balíčcích. Abyste si mohli napsat vlastní, potřebujete balíček selnux-policy-devel. Budete potřebovat vytvořit tři soubory: mypolicy.te s jednotlivými pravidly, mypolicy.if s makry a dokumentací a mypolicy.fc s popisem kontextů souborů. Pokud soubory založíme, zavoláme na něj Makefile a poté už můžeme politiku zavést pomocí příkazu semodule. Poté o něm už SELinux ví a je na čase začít politiku doplňovat tak, abyste vše doladili.

Aby nebylo potřeba ručně vypisovat všechna pravidla, je k dispozici preprocesor m4, ve kterém se politiky zapisují. V souboru myapp.te je pak potřeba zapsat samotná pravidla, navázání domén na jednotlivé nálepky a poté již povolené akce. Můžeme říct, že proces běžící v dané doméně může se soubory s danou nálepkou provádět určité akce – například číst či připisovat. Můžete tak snadno zajistit, že proces dokáže logy rozšiřovat, ale nemá možnost je editovat nebo mazat. Útočník se obvykle po napadení systému snaží zahladit stopy, tohle mu v tom efektivně zabrání.

Maker existuje velké množství, jsou ve zmíněném balíčku -devel a jsou pojmenovány například: applicationm corenetwork, files, devices, terminal a podobně. Poté existují makra pro jednotlivé služby, démony, či například moduly pro Apache. Je dobré se tam podívat, abyste měli představu o tom, co můžete používat. Pojmenování je voleno velmi logicky, takže makra začínající na file_ naleznete přirozeně v souboru s makry  file.

Důležité je se v případě problémů dívat do souboru audit.log, do kterého SELinux loguje zablokované akce jednotlivých procesů. Existuje nástroj audit2allow, který podle logu dokáže vytvořit nové pravidlo. Vypadá to dobře, protože to je jednoduché. Nedoporučuji to ale dělat, protože to generuje příliš obecná pravidla. Vy ale naopak chcete, aby vaše politika byla co nejmenší možná.

Dobrým pomocníkem při práci se SELinuxem je kniha SELinux Cookbook, kterou v roce 2014 napsal Sven Vermeulen. Další dokumentaci naleznete v manuálových stránkách nebo na webu Red Hatu. Výstupem přípravy politiky nejsou jen samotná pravidla, ale i proces samotný, při kterém odhalíte spoustu chyb v aplikaci. Můžete snadno přijít na to, že se program chová divně a vy máte například chybnou konfiguraci.

Lukáš Macura: Lethean.io – jak spojit VPN a kryptoměnu

Lethean je VPN služba podpořená kryptoměnou. Za VPN jsou uživatelé zvyklí platit, obvykle pomocí platební karty. Za Lethean se platí kryptoměnou, kterou je potřeba si nejprve natěžit a poté za ni nakupovat služby. Stejně tak se můžete stát sami poskytovatelem služeb a nechat si platit. Všechno je postavené na open source: klient, backend, decentralizovaná P2P VPN.

V současné době běží betaverze, která zatím funguje na úrovni HTTP(S) proxy, připravuje se však plnohodnotné řešení na bázi OpenVPN. Všechno je otevřené, zdrojové kódy jsou dostupné na GitHubu. Není to klasická komerční služba, od které dostanete binárního klienta a tomu musíte věřit. Všechno co potřebujete k připojení je instalace software na stanici, kdokoliv může být klient, stejně jako kdokoliv může být poskytovatel.

Komunikace přenášená sítí je šifrována, ale zároveň máte možnost přistupovat k obsahu z jiného bodu na světě. Možná už jste to zažili: tento obsah je vidět jen ve čtvrtek, jen na podzim a ne z České republiky. Pomocí VPN se můžete na veřejný internet dostat z jiného státu. Síť také zajišťuje soukromí uživatelů a ochranu dat. Abyste mohli zajistit svou svobodu, musíte se dostat, kam potřebujete. Veřejné zdroje by měly být dostupné všem.

Proč Lethean používá pro VPN právě blockchain? Je to kvůli vyvážení situace mezi klientem a poskytovatelem VPN. Platba pomocí karty je vždy dohledatelná, navíc existuje mnoho lidí, kteří nemají bankovní účet ani platební kartu. Lethean je postaven na blockchainu Monero, který zajišťuje anonymitu. Existuje matematický důkaz, že transakce proběhla, ale nikdo bez privátního klíče neví, kdo ji poslal. Zároveň platí, že neexistuje žádný centrální bod, na kterém si uživatel vytváří účet. Stačí si u sebe vygenerovat dva páry klíčů. Existuje klient, který obsahuje jednak samotnou peněženku, 0ale i vlastního VPN klienta. Zatím je to beta, vše se velmi rychle vyvíjí. Připravuje se i enhanced privacy režim, ve kterém bude klient využívat více různých VPN serverů a princip se přiblíží Toru.

Lukáš Malý: integrace OpenVAS se Zabbix

Zabbix je monitorovací systém, který používá šablony pro konfiguraci hostů a má možnost agentského monitoringu. OpenVAS je systém pro vyhledávání zranitelností v sítích, který je nástupcem projektu Nessus. Stojí za ním německá společnost Greenbone Security Manager.

Proč takové systémy propojovat? Dejme tomu, že používáme k monitoringu Zabbix, ve kterém máme spoustu informací o jednotlivých strojích. Propojujícím mechanismem je pak API OMP (GMP), které je postavené na XML. OpenVAS se pak skládá z různých komponent, především manažeru a samotného skeneru. Manažer získává informace a spravuje připravované akce, které pak skener samotný provádí.

V Zabbixu jsou definovaní jednotliví klienti identifikovaní především jménem a IP adresou, kteří se pak pomocí API přenesou do OpenVAS. To mi ušetří spoustu času, nemusím definovat vše znovu, ale jen přidělením správné šablony přenesu záznamy z jednoho systému do druhého. Do Zabbixu se pak zpětně dostanou informace o tom, že na daném stroji byly nalezeny bezpečnostní chyby. Můžu na to navázat nějaké další akce a upozornit správce na to, že se objevila nová zranitelnost.

Našli jste v článku chybu?