Hlavní navigace

Nejslabším článkem je nepoučený či nezodpovědný uživatel, tvrdí bezpečáci

15. 11. 2022
Doba čtení: 11 minut

Sdílet

Na sedmém ročníku konference Open-source řešení v sítích v Karviné se hovořilo především o kybernetické bezpečnosti. Ukazuje se, že nejslabším článkem jsou uživatelé. Dokáží obejít jakékoliv technické opatření.

Letos v Karviné proběhl již sedmý ročník konference Open-source řešení v sítích. Před dvěma lety akce proběhla kvůli Covidu pouze online, ale kromě této výjimky se setkání koná každé dva roky. Akce je určena zejména pro ty, kteří se více kamarádi s IT technologiemi. Vždycky se program snažíme naskládat tak, aby v něm byly prezentovány příklady dobré praxe a probíhala vzájemná diskuse, řekl na úvod Petr Suchánek ze SU OPF v Karviné.

Filip Řezáč: Minikrabičky s OWRT

V roce 2010 přišel z organizace CESNET impuls pro využití OpenWrt (OWRT) k vývoji vlastních aplikací běžících na malých levných krabičkách. OWRT je linuxová distribuce, která původně vznikla pro malé domácí routery, ale postupně se její možnosti výrazně rozšířily.

Původní nápad byl nahradit drahé telefonní řešení levnými a stejně spolehlivými krabičkami s OWRT. Projekt BEESIP se podařilo úspěšně rozjet, navázaly další projekty jako UCIProv, penetrační nástroje Pentests, agentní systém pro měření kvality hovorů Callmon a další. Otestovali jsme mnoho hardware, čipsetů a architektur a nakonec se nám osvědčily krabičky od f. GL iNet. Jde o čínskou společnost, která má celé portfolio zařízení, u některých modelů podporují PoE a mají nativní podporu OWRT.

Autor: Petr Krčmář, Root.cz

Jedním z dalších projektů byla podpora pro stávající projekt Eduroam, který umožňuje autentizovat uživatele v mezinárodní federativní síti. Můžete vzít vlastní zařízení a odcestovat s ním do zahraničí a pomocí místního zařízení se autentizovat. Nejdál jsem eduroam našel v Chicagu na nádraží.

Projekt Eduroom implementuje podobné řešení právě do levných krabiček pomocí OWRT. Vybrali jsme si krabičku s názvem Brume, která je schopná utáhnout plnohodnotný server. Na ní nám běží FreeRadius, LDAP a RadSec. Server se pak umí na připojovaného uživatele dotázat do místní databáze nebo jiného serveru. Požadavek může cestovat sítí, až dorazí k databázi, kde se může ověřit.

Komunikace mezi jednotlivými prvky je zabezpečená pomocí TLS, využívá se řešení RadSec. Kromě serveru je možné síť rozšiřovat pomocí jednotlivých AP, která se konfigurují automaticky. Provisioning probíhá pomocí standardu TR-069 s využitím ACS serveru a protokolu CWMP. Tímto protokolem se baví server s jednotlivými AP a konfigurace se tak posílá z centrálního bodu. Jako AP může sloužit další krabička s OWRT s označením GL-AR750 a kódovým názvem Creta, která umí i PoE a stojí 49 dolarů.

Autor: Petr Krčmář, Root.cz

Jako server slouží zmíněné zařízení GL-MV1000 Brume, které má tři gigabitové ethernety, dvoujádrový procesor Marvell Armada 88F3720 na 1 GHz, 1 GB paměti a 8GB úložiště EMMC. Výhodou je, že je uvnitř už nainstalované OpenWrt. Je možné tam dát vlastní nebo jej můžeme přehrát pomocí Ubuntu 20.04.5 LTS pro architekturu ARM. Cena tohoto zařízení je 109 dolarů, připravuje se druhá vylepšená verze se čtyřjádrovým procesorem, ale jen dvěma ethernetovými porty.

Provisioning pak probíhá pomocí CWMP, přičemž klienti se o ACS serveru dozvědí pomocí TXT záznamu v DNS. Pomocí Eduroomu je tak možné jednak snadno rozšiřovat současný eduroam, ale také postavit vlastní nezávislou infrastrukturu se svou databází uživatelů. Všechny scénáře máme připravené jako dockerové kontejnery, které si můžete do krabičky stáhnout a s webovým rozhraním všechno snadno rozjet.

Patrik Burdiak: Kvantová distribuce klíčů

Dokáže kvantová kryptografie zabránit běžným ransomwarovým útokům? Odpověď je ne, ale nabízí nám ochranu před budoucími útoky. Při běžné komunikaci pomocí protokolu TLS nejprve proběhne autentizace a poté musíme přenést symetrický klíč pro budoucí komunikaci například pomocí AES. Nešifrujeme přímo asymetrickou šifrou, protože je to pomalé.

Největší problém může nastat právě při výměně klíčů. Na tento krok se zaměří útočníci využívající kvantové počítače. Při této fázi se využívá toho, že faktorizace velkých čísel je se současnými počítači velmi náročná, ale Shorův algoritmus ji dokáže zvládnout v rozumném čase. V současné době zatím není asymetrická kryptografie ohrožená. V budoucnu může být ale dešifrovaná starší komunikace, která byla v minulosti zaznamenána.

Autor: Petr Krčmář, Root.cz

Stále se hovoří o tom, zda je potřeba už teď tento problém řešit. Když si uvědomíme, jak rychle nastoupily mobilní telefony, může se stát, že za dvacet let tu budeme mít skutečné kvantové počítače. Velké firmy jako Google, IBM a Microsoft investují do vývoje obrovské peníze.

Kvantová distribuce klíčů slouží k tomu, abychom vyřešili původní problém přenosu symetrického klíče. Snažíme se přenést data přes zabezpečený kvantový kanál. Výsledek je pak používaný běžnými aplikacemi, které se přes REST API dotazují na současný platný klíč.

Jeden z algoritmů BB84 pracuje s polarizací přenášených fotonů. Obě protistrany se na začátku dohodnou, jaká polarizace bude odpovídat skutečnému bitu. První krok komunikace běží po kvantovém kanále, ostatní pak proběhnou přes běžný veřejný kanál. Tento proces využívá principy kvantové mechaniky, které zajišťují odolnosti proti útoku typu MitM.

QKDNetSm je rozšiřující modul pro simulátor NS-3, který umí simulovat kvantovou síť. Je možné simulovat QKD sítě či samotnou QKD linku. Vyzkoušet ho je možné ve webové verzi, kde je možné vytvářet různé linky a spravovat management klíčů.

Všechny tyto algoritmy vycházejí ze současných matematických modelů, které předpokládají jejich bezpečnost. V současnosti také není znám způsob, jak napadnout komunikaci zabezpečenou symetrickou kryptografií. Dnes vám tady říkám, že jsou bezpečné, ale za pět let se třeba ukáže, že jsou prolomitelné pomocí nějakého nového kvantového algoritmu.

Bob Mann: problém prvních 100 dnů

Mezi správci IT a bezpečnostními odborníky je vždy souboj. Síťaři by například chtěli postavit největší síť na světě, ale přijdou bezpečáci s pravidly na filtraci provozu. Prací bezpečnostních analytiků je zajistit, aby firma fungovala co nejbezpečnější.

CISO (Chef Infirmation Security Officer) musí mít mnoho schopností: musí být manažer, vést lidi a také umět vyjednávat s různými organizačními složkami. Je to komplex různých dovedností. Navíc si tou prací neuděláte příliš mnoho přátel, i když většinou nechcete nikoho naštvat.

Základem je chápat hrozby, ale nestačí nám jen vědět, co nám hrozí. Důležité jsou také důsledky jednotlivých bezpečnostních hrozeb. Když nám někdo shodí webový server, musíme vědět, jaké to bude mít dopady, jak to zasáhne naše zákazníky a kolik bude stát to napravit. Je potřeba například počítat také s četností takové hrozby.

Autor: Petr Krčmář, Root.cz

Bezpečnost není nic výjimečného a nestandardního, jde jen o další disciplínu, která vám má pomoci s provozem vašeho byznysu. Stejně jako provozujete autentizační řešení, monitoring, školení uživatelů, měla by být součástí skládačky i bezpečnost. Velkým problémem jsou samotní uživatelé, kteří se vás snaží obejít, zařídit si věci po svém a nerespektovat pravidla. Je s nimi těžká práce.

Když se CISO ujme svojí nové role ve firmě, nejprve musí vyřešit několik nejdůležitějších věcí. V prvních pomyslných sto dnech musí zjistit, jaká má od něj firma očekávání, zda má všechny důležité informace a zda má k dispozici všechny potřebné nástroje. Musí si také udělat celkový obrázek, poznat organizační strukturu, seznámit se s dodavateli a pochopit předchozí selhání. Stejně důležité je ale udělat si ve firmě přátele. To znamená hodně setkávání, spoustu kávy a dortíků.

Je také důležité pochopit, že všechny věci jsou propojené: lidé, technologie a proces. Když nedáte lidem dost peněz, nebudou mít jak dělat svou práci. Když nebudou rozumět IT prostředí, jak ho budou moci obsluhovat? Je potřeba se proto dívat na věci komplexně.

Následujícím krokem je posouzení situace, kdy je potřeba analyzovat současný stav a zvážit problémy, objevit potenciální vnější zdroje problémů a předchozí neřešení nebo ignorované problémy. Často se zapomíná také na rozpočet, což je problém celého IT. Potřebuju peníze, abych mohl dělat svou práci. Je velmi těžké získat peníze a obvykle to trvá velmi dlouho. Útočníci ale nečekají a jdou po vás.

Naprosto zásadní je, aby firma práci bezpečnostního odborníka podporovala. Je třeba se také shodnout na bezpečnostních kritériích a modelech, která budou ve firmě používána. Důležitá je podpora IT oddělení, které musí na celé věci spolupracovat. Nesmíte se nikdy nechat utopit v detailech, naopak musíte pochopit, co firma potřebuje a jaké jsou hrozby.

Doporučení tedy znějí: stavějte věci od začátku správně, aby byly od základu tvořeny bezpečně. Dejte si čas a udělejte to hned dobře. Důležité je věnovat se dostatečně zodpovědnosti za jednotlivé součásti. Útočníkům stačí najít jednu slabinu, vy musíte odhalit všechny.

Alena Minxová: Kybernetická (ne)bezpečnost v praxi

Počet trestných činů roste a miliardové škody následují. Je to úspěšný byznysový model, řada firem zaplatí za dešifrování svých dat. Existují platformy pro hodnocení útočníků, kde chtějí mít jednotliví aktéři vysoké skóre, aby jim další oběti zaplatily.

Nejčastějšími oběťmi jsou poddimenzované systémy státu, malé obce, příspěvkové organizace a nefunkční středně velké korporace. Důsledky jsou často likvidační: majetkové, obchodní, reputační. Stále stoupá také počet nahlášených vážných incidentů. Útoky jsou čím dál sofistikovanější a mnoho organizací je ignoruje.

Připravuje se nový mechanismus NIS2, který zpřísní pravidla pro vybrané regulované subjekty v ČR. Dnes se tahle regulace týká asi tří stovek subjektů, NIS2 se dotkne šesti tisíc dalších. Třeba včetně vodovodů a kanalizací. Podrobnosti lze nalézt na nis2.nukib.cz.

Autor: Petr Krčmář, Root.cz

Nejslabším článkem kybernetické bezpečnosti je nepoučený uživatel. Můžete se snažit, jak chcete a uživatel pak na něco klikne a způsobí průšvih. Asi 95 % bezpečnostních incidentů je způsobeno uživateli. Ředitel pak ale přijde a obviní z problému IT oddělení.

Kybernetická bezpečnost je jeden velký pevný řetěz okolo organizace. Každý řetěz je tak silný, jako jeho nejslabší článek. Musíte si to uvědomit a předat informace koncovým uživatelům. Uživatelé například nevědí nic o fyzické bezpečnosti a nevěnují se jí: nechávají monitory otočené k oknu, nezamykají počítače, nechá v kanceláři sedět cizí lidi a podobně.

Uživatelé neznají základní pravidla bezpečného chování, stahují neznámé aplikace, odsouhlasí jim přístupy ke všemu a podobně. Aby je počítač přestal obtěžovat, povolí všechno, na co se jich ptá. Uživatelé se obvykle vymlouvají na to, že nemají čas. Obvykle jim stačí, že si udělají online rychlokurz bezpečnosti, dostanou certifikát a dál to neřeší.

NÚKIB nedoporučuje v organizacích ke komunikaci používat WhatsApp, přesto jej uživatelé používají a posílají si přes něj citlivé dokumenty. Uživatele zajímá hlavně to, zda jsou v aplikaci barevné ikonky a zda je zadarmo. NÚKIB zveřejnil analýzu bezpečnosti komunikačních aplikací.

Nejslabším článkem kybernetické bezpečnosti je nepoučený uživatel. Pokud ho vy poučíte a ukážete mu základní bezpečnostní hrozby, už to není nepoučený uživatel, ale může to být jen nezodpovědný uživatel.

Lukáš Macura: Pohled do systémů pomocí Foresight Cyber Platform

Foresight Cyber se snaží firmám pomáhat objevovat bezpečnostní problémy a předcházet kybernetickým útokům. Používáme k tomu řadu komerčních nástrojů i vlastní platformu Foresight Cyber Platform. Ta je schopná importovat spoustu různých informací o celé síti.

Je možné použít řadu externích nástrojů, které poskytují mnoho dat o hardware. Je možné například provádět skeny pomocí Nmap, zjišťovat informace pomocí Qualys, importovat data z některé CMDB, sledovat údaje z monitoringu Zabbix a podobně.

Kromě přehledu o hardware, je potřeba mít také informace o software, ale také například o uživatelských účtech. Je možné to zjistit pomocí Qualys, vytáhnout to z Ansible, CMDB nebo použít například LDAP. Není ale důležité jen znát všechny účty, ale musíte zároveň vědět, kdo je vlastní. Naše platforma umí tyhle informace korelovat.

Neustále je potřeba mít také přehled o bezpečnostních hrozbách. Naše platforma umí tahle data stáhnout, projít a rozhodnout o prioritách. Víme totiž, jak je důležitý daný systém a rozhodnout o důležitosti záplaty. Bezpečnostních hrozeb je velká spousta a je potřeba rozhodnout, které jsou pro konkrétní síť relevantní.

Autor: Petr Krčmář, Root.cz

Základem celého systému je grafová databáze, nad kterou je možné dělat jednotlivé analýzy. Všechny prvky v síti by měly být někde dokumentované a měli byste o nich vědět. Zjistím tak nekonzistence ve vlastních procesech, protože pokud třeba daný účet neznám, je něco špatně. Samotné nasazení podobného nástroje není řešením všech problémů, ale pomůže odhalit kostlivce ve skříni.

Platforma obsahuje data, nad kterými je pak možné provádět konkrétní diagnostiku. Můžete pokládat dotazy typu: jaký dopad bude mít odchod tohoto uživatele? Nebo jaké systémy budou postiženy, když tento správce nebude záplatovat chyby? Je možné vytvářet vlastní pohledy na data, modelovat různé události a počítat dopad jednotlivých událostí.

Nástroj je možné stáhnout a nainstalovat, pokud ho nebudete monetizovat. Původně byla určena pro naše interní účely, ale pak jsme se ji rozhodli otevřít.

Přemysl Soldán: Poznatky vývoje v oblasti kybernetické bezpečnosti

Počet kybernetických útoků v Evropě letos dramaticky vzrostl, což ještě zdůraznilo potřebu potřebu organizací zabývat se bezpečnostními strategiemi. V důsledku války na Ukrajině došlo k zintenzivnění kybernetických útoků, což jsme očekávali.

Největším problémem kybernetické bezpečnosti zůstávají uživatelé, kteří jsou schopni obejít všechna zařízení a udělat neuvěřitelné věci. Setkáváme se s tím pravidelně a nevíme, co s tím. Online školení nepomáhá, osobní školení nepomáhá, vysvětlování nepomáhá.

Autor: Petr Krčmář, Root.cz

CISA má několik obecných doporučení bezpečného chování. V první řadě je potřeba neustále kontrolovat celé prostředí a hlídat vyřešení všech potenciálních problémů. Zároveň je potřeba co nejdříve problém objevit a reagovat na něj. Při velkém DDoS útoku je například nejlepší prostě fyzicky odpojit kabel.

Linux tip

Mezi další rady patří: vylepšit monitoring, zavést multifaktorovou autentizaci, zavést segmentaci sítě, aplikovat princip minimálních oprávnění, nasazovat aktualizace, důsledně zálohovat, vytvořit nouzové plány, rozumět rizikům v celém dodavatelském řetězci a starat se o účty a autentizaci.

Pro kyberbezpečnost je zásadní pravidelnost, nestačí jen nasadit nějaký nástroj a pak na něj zapomenout. Když nasadím nějaký analyzátor, musím se mu pak už věnovat pořád. Totéž platí o školeních uživatelů, sledování bezpečnostních incidentů a průběžných auditech. K tomu všemu potřebujete lidi, kteří zase stojí balík peněz.

Autor článku

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.