Hlavní navigace

Postřehy z bezpečnosti: jak ověřujete zaměstnance pracujícího z domova?

15. 2. 2021
Doba čtení: 4 minuty

Sdílet

 Autor: Depositphotos
Minulý týden proběhl u příležitosti dne bezpečnějšího internetu tradiční seminář o bezpečnosti sítí a služeb. Pojďme si dnes v trochu netradičním vydání Postřehů z bezpečnosti připomenout, co zaznělo.

Na stránce semináře je k dispozici videozáznam i prezentace ke stažení.

Jak na IT bezpečnost s virem za zády

Pandemie a jí vynucená práce z domova představuje nové výzvy počítačové bezpečnosti. Pokud jsou uživatelé zvyklí docházet do kanceláře, kde mají svůj počítač, najednou okolnostmi donuceni pracovat z domova, hned první problém zní, jaké zařízení budou uživatelé k práci používat. Odnesou si firemní počítač z kanceláře? Pak bude po připojení k domácí síti zcela mimo kontrolu organizace. Budou se na počítač v kanceláři připojovat ze svého soukromého zařízení? Pak nemáte pod kontrolou jeho obsah a může tím být ohrožena bezpečnost chráněného firemního prostředí. Většinou to bude kombinace těchto možností, uvádí Aleš Padrta ve své přednášce.

Zdá se, že pro IT oddělení je práce z domova jednoduchá, vždyť to jsou ti lidé, co pracují s počítači. Tak přímočaré to ovšem není, úlohou ajťáka je i provádět fyzické zásahy na uživatelských zařízeních. Problém může být i se zajištěním fyzické bezpečnosti: při práci z domova je mnohem těžší zaměstnancům zabránit ve sdílení firemního zařízení s třetími osobami, například dětmi pro online výuku.

I když společnost používá pro citlivá data VPN síť, často se uplatňuje tzv. split-tunneling, kdy většina uživatelského provozu prochází do internetu přímo, hlavně z kapacitních důvodů. To ale znamená, že firemní síť nemá plnou kontrolu nad provozem dané stanice.

Velký problém představuje autentizace uživatele na dálku, například když zapomene heslo. Je dobré si předem s každým zaměstnancem domluvit telefonní číslo, na které podpora zavolá v případě, že uživatel potřebuje změnit heslo. Uživatel by pak podpoře měl nadiktovat nějaký důvěrný údaj, který není snadné zjistit, například číslo zaměstnanecké karty.

Videokonference jsou bezpečné, když se správně používají

Historicky videokonference nebyly zabezpečeny prakticky vůbec. K připojení do nich bylo potřeba vybavení v hodnotě osobního automobilu a neprobíhala přes ně  žádná zajímavá jednání. I dnes je stále snaha dělat videokonference nízkoprahové, aby se k nim mohl připojit kdokoli s co nejmenším úsilím, řekl na úvod Miloš Liška, který se na CESNETu videokonferencím věnuje.

Tím, že teď videokonference používá každý, je možné je použít jako návnadu pro instalaci nevyžádaného softwaru. Stačí poslat správný e-mail s odkazem na stažení nové verze videokonferenčního softwaru. Takový útok ale vlastně s videokonferencí jako takovou vůbec nesouvisí.

U každé videokonference je dobré mít přehled, jaká data jsou jak zpracována a zda je takové zpracování v souladu s příslušnými předpisy i firemní politikou. Třeba Zoomu jakožto americké společnosti trvalo splnění požadavků GDPR poměrně dlouho. Koncové šifrování je pro videokonference velmi problematická záležitost, protože většina videokonferenčních softwarů potřebuje na straně serveru provádět míchání audio a video streamů jednotlivých účastníků.

Vlastní kategorií je zoombombing, který se zdaleka netýká jen Zoomu. Existují komunity, které se zabývají sdílením přístupových údajů k videokonferenčním místnostem. Obrana spočívá v řádném použití bezpečnostních funkcí, které videokonferenční platformy nabízí. Především je ale potřeba nesdílet veřejně na internetu adresy konferencí včetně hesel. Stává se ale, že přístupové údaje sdílí i přímo legitimní účastníci konferencí, třeba studenti při online výuce. Užitečným nástrojem tu je zamykání konference a používání čekací místnosti. 

Speciálně pro Zoom je důležité nepoužívat Personal Meeting ID pro veřejné schůzky. Jakmile tohle ID unikne, je navždy nepoužitelné. Je také potřeba povolit sdílení obrazovky jen hostitelům, vypnout privátní chat a anotace. Novou funkcí v poslední verzi je Suspend participant activities, která schůzi na chvíli pozastaví, aby bylo možné zbavit se záškodníků. Je také možné použít geografické omezení pro připojující se účastníky.

Certifikáty včera, dnes, zítra a pozítří

Ke včerejšku patří například EV certifikáty, tedy certifikáty s rozšířenou validací. Ty už nevydáváme a asi ani vydávat nebudeme, uvedl svou přednášku Jan Chvojka. Kromě toho, že prohlížeče už EV certifikáty nijak nezvýrazňují, došlo v posledním roce k několika nepříjemným revokačním vlnám. Příkladem je třeba web nemocnice v Opavě, sloužící k registraci na testování koronaviru. Revokace byla oznámena čtyři dny předem, z čehož byly tři dny pracovní. Důvodem bylo, že v předmětu certifikátu bylo napsáno: Moravskoslezký kraj (vidíte tu chybu/překlep?)

V budoucnu je možné čekat zlepšení práce s revokovanými certifikáty. Chrome používá CRLSets, Firefox OneCRL, ostatní buď nic nebo prostředky operačního systému. Existuje také OCSP Stapling, kdy informaci o revokaci přikládá rovnou webový server. Například implementace v NGINX ale trpí chybou, pokud se s OCSP serverem nedokáže spojit, posílá certifikát bez přiložené informace. Na tomhle je potřeba zapracovat.

Čeká nás také zřejmě další tlak na zkracování životnosti certifikátů. Ačkoli zatím v CA/B fóru neprošlo další zkrácení pod jeden rok, je možné, že se některý výrobce prohlížečů utrhne a rozhodne ve svém prohlížeči takto dlouhé certifikáty neuznávat. Je to problém zejména pro ty, co nemohou jejich výměnu automatizovat.

Ve vzdálenější budoucnosti je pak přechod na post-kvantové algoritmy, které na rozdíl od těch současných odolají i kvantovým počítačům. Většinou jde o oprášené algoritmy ze sedmdesátých a osmdesátých let, které byly tehdy zavrhnuty ve prospěch RSA z důvodu nedostatečného výkonu tehdejších počítačů, uzavírá Jan Chvojka.

Stalo se

Pro pobavení

Schopnosti dětí není radno podceňovat. Správné odpovědi k online kvízu do zdrojového kódu HTML stránky nepatří.

ICTZ2021

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.