Del Paraboles LAN tinklu saugumo
Posted: Tue Oct 18, 2005 8:15 am
2005-10-17 "Lietuvos ryte" yra straipsnis "Pro apsaugos skyles plūsta slapti duomenys ".
Straipsnį padėjau į ftp://ftp.parabole.lt/incoming/Temp/Steponas/
Siūlau visiems paskaityti jį ir šia tema padiskutuoti - kiek mums tai yra aktualu, nes aš vis gaunu skundų dėl portų skanavimo.
Kadangi Lietuvos rytas į archyvus kitą dieną jau neįleidžia priverstas straipsnį talpinti čia.
Straipsnį padėjau į ftp://ftp.parabole.lt/incoming/Temp/Steponas/
Siūlau visiems paskaityti jį ir šia tema padiskutuoti - kiek mums tai yra aktualu, nes aš vis gaunu skundų dėl portų skanavimo.
Kadangi Lietuvos rytas į archyvus kitą dieną jau neįleidžia priverstas straipsnį talpinti čia.
Lietuvos rytas wrote:Pro apsaugos skyles plūsta slapti duomenys (67)
„Lietuvos rytas“ įsitikino: į svetimus kompiuterių tinklus patekti nesunku
Paulius Jakutavičius
„Lietuvos ryto“ korespondentas
Bevielis ryšys – prieinamas
Vilniaus bendrovių ir organizacijų bevielio ryšio kompiuterių tinklai – pavojingai skylėti.
Paprastai šie tinklai veikia kelių šimtų metrų spinduliu, neretai prie jų galima prisijungti netgi būnant lauke ir imti pumpuoti slaptus duomenis.
Tai „Lietuvos ryto“ žurnalistui pademonstravo vienas informacijų technologijų (IT) saugumo specialistas.
Plinta įvairūs apgaulės būdai
Neseniai šalį sudrebino bankininkų ir teisėsaugininkų pareiškimai, jog sparčiai daugėja mėginimų apgaulės būdu išgauti slaptus kodus, kuriais pasinaudojus galima per internetą prisijungti prie svetimos banko sąskaitos.
Vienas tokių apgaulės būdų yra vadinamas „Phishing“. Apsimesdami banko atstovais nusikaltėliai klientus bando įkalbėti prisijungti prie suklastotos interneto svetainės ir įvesti savo internetinės bankininkystės kodus.
Taip pat daugėja slaptų programų, kurios fiksuoja, ką kompiuteriu daro jo savininkas, kokius klavišus spaudžia. Ši informacija perduodama tam tikrais interneto adresais.
Tačiau, kaip tvirtina patyrę IT saugumo specialistai, šie būdai, palyginti su tuo, ko gali imtis daugiau patirties turintys kompiuterių įsilaužėliai, kelia tik šypseną.
Prisijungti pavyko greitai
„Lietuvos ryto“ eksperimentas prasidėjo Vilniaus centre įsėdus į specialisto automobilį.
Įranga – nešiojamasis kompiuteris su specialia programine įranga ir bevielio ryšio antena. Ji nestandartinė – kiek galingesnė ir, kompiuterininkų žargonu kalbant, „mato“ tinklus, esančius net už kelių kilometrų.
Informacijų technologijų saugumo specialistui prijungus anteną, speciali programa vieną po kito eteryje aptiko keliolika bevielio ryšio tinklų.
„Nuvažiuosime ant Tauro kalno, tada pamatysi“, – pažadėjo jis. Iš tiesų atsivėrus sostinės centro panoramai kompiuterio ekrane sumirgėjo keliasdešimt tinklų sąrašas. Nemažai jų – be jokios apsaugos.
Išsirinkęs vieną atvirą tinklą, kurio ryšio signalas buvo stipriausias, specialistas prie jo prisijungė.
Mes – jau organizacijos tinklo viduje. Visa informacija, keliaujanti jos kompiuterių tinklu, kad ir kokia ji slapta būtų, tapo pasiekiama ranka.
Paleidus programą, skirtą stebėti ir išrinkti norimus duomenis iš viso jų srauto, ekrane pasipylė prisijungimo prie tarnybinių stočių slaptažodžiai, kuriuos naudojant galima perskaityti visų darbuotojų elektroninį paštą, prisijungti prie jų darbo kompiuterių.
Anot „Lietuvos ryto“ pašnekovo, kiek ilgiau stebint tinklą tikrai būtų galima gauti ir prisijungimo prie bankų internetinių sistemų slaptažodžius, duomenų bazių administratoriaus kodus.
Organizacija, prie kurios tinklo prisijungėme, kaip teigė pašnekovas, valdiška įstaiga, valdanti dideles duomenų bazes, kuriose sukaupta informacija apie įmones, gyventojus.
Randa spragų ir apsaugoje
Pirmasis bandymas buvo paprastas, nes tos organizacijos bevielis tinklas visai nebuvo apsaugotas.
Geriausiu atveju tokiais tinklais naudojasi žmonės, kurie tiesiog nori nemokamai naudotis internetu. Blogiausiu – vagiama informacija iš organizacijos arba jais pasinaudojant rengiamas įsilaužimas į kitus tinklus.
Vis dėlto jau nemažai vartotojų savo bevielio ryšio tinkluose įdiegia apsaugas. Norint prisijungti reikalingi slapti raktai. Bet ir šios spynos pasiduoda.
„Lietuvos ryto“ pašnekovo teigimu, prireikia valandos ar dviejų, kad tam tikros programos, naudodamos šifravimo algoritmuose esančias spragas, suskaičiuotų ir pateiktų prisijungimui reikalingus raktus.
Pasinaudoja žmonių neatidumu
Trečioji demonstracijos dalis – kaip renkami prisijungimo prie banko sistemos kodai.
Kadangi realiomis sąlygomis reikia tykoti, kol kas nors mėgins prisijungti, „Lietuvos ryto“ žurnalistui visa tai buvo pademonstruota kompiuterių laboratorijoje.
Bankai nuolat pabrėžia, kad jų internetinėse sistemose naudojami itin saugūs prisijungimo būdai. Tai yra tiesa.
Kaskart klientui prisijungus prie vadinamojo banko internete, tarp jo kompiuterio ir banko tarnybinių stočių sudaromas saugus duomenų perdavimo kanalas.
Juo siunčiama informacija yra šifruojama tokio ilgio raktu, kurį ir galingiausiems pasaulio kompiuteriams atspėti užtruktų ne vienerius ir ne dvejus, o tūkstančius metų.
Bet ir čia yra galimybė įveikti saugumo užkardas, nes žmonės anksčiau ar vėliau padaro klaidų.
Pasirodo, ir vėl – viskas paprasta. Svarbiausia – patekti į tinklą.
Po to speciali programa, pastebėjusi mėginimus prisijungti prie saugios banko svetainės, perima šį ryšio seansą.
Įsilaužėlio kompiuteris tampa tarpininku, IT saugumo specialistams gerai žinomu „man in the middle“ (žmogumi viduryje).
Klientas paprastai net neįtaria, kad kažkas gauna visus jo bankui siunčiamus duomenis, taip pat ir prisijungimo kodus, nes programa užmezga ryšį ir su banku, kuris perduoda visas komandas. Banko klientas gali dirbti su savo sąskaitomis, pervesti pinigus.
Tik vienas perspėjimas pasirodo tuo metu, kai įsilaužėlio programa mėgina perimti ryšį. Tačiau čia, IT specialisto teigimu, dažniausiai suveikia žmonių neatidumas: „Beveik visi, kuriems tai demonstravau, nekreipė dėmesio į šį įspėjimą“.
Įrankiai – visiems prieinami
Įsilaužimas pasinaudojant bevieliu ryšiu, pasirodo, tiktai vienas būdų.
Nepatikimas, piktų kėslų turintis darbuotojas gali į darbą atsinešti mažą bevielio ryšio įtaisą ir įjungti jį į nuošalų kompiuterinio tinklo kištukinį lizdą. Tokiu būdu visa laidais keliaujanti informacija tampa pasiekiama ir gatvėje esančiam įsilaužėliui.
Pasaulinė statistika rodo, kad bene daugiausia įsilaužimų, duomenų vagysčių arba informacijos sunaikinimo atvejų įvyksta ne iš išorinių tinklų, o iš organizacijų vidaus.
Be to, tokiems įsilaužimams, kokie buvo pademonstruoti „Lietuvos ryto“ žurnalistui, reikalinga įranga yra prieinama bet kam.
Didesnio galingumo, bet leistina naudoti Lietuvoje antena kainuoja kelis šimtus litų. Be abejo, reikia ir nešiojamojo kompiuterio.
Kodai – piktiems tikslams
Žinoma, vieną kartą pažiūrėjus, ką daro patyręs specialistas, iškart pakartoti to nepavyktų.
Tačiau po kelių bandymų save jau galėčiau vadinti turinčiu įgūdžių įsilaužėliu.
Anot „Lietuvos ryto“ pašnekovo, kol kas negirdėti, kad kas nors mėgintų užsiimti tokiu įsilaužimu rimtai.
Tačiau IT saugumo specialistas perspėjo, kad organizuotai grupei įsilaužėlių būtų vieni niekai per ilgesnį laikotarpį susirinkti daugybę informacijos, slaptų kodų, prisijungimo slaptažodžių, kuriuos galima panaudoti piktiems tikslams.
Specialistams trūksta žinių
Saugos bendrovės Ekskomisarų biuro viceprezidentas Alius Sadeckas labai nenustebo, išgirdęs apie tokio eksperimento rezultatus.
Esą užsienyje jau senokai buvo pastebėtas šis didelis bevielių kompiuterių tinklų apsaugos trūkumas – kiekvienas patekęs į jo veikimo zoną gali perimti ryšio signalą.
„Daugiau nei pusė bevielį ryšį naudojančių organizacijų blogai konfigūruoja įrangą – nenaudoja šifravimo arba neuždraudžia neautorizuotų prisijungimų“, – teigė A.Sadeckas.
Pasirodo, nemažai šalies kompiuterinių tinklų administratorių dar neturi pakankamai žinių, įgūdžių dirbti su bevieliais tinklais.
Be to, daug organizacijų nesuvokia, kad informaciją galima apsaugoti tiktai panaudojant kelių priemonių kompleksą.
„Teko matyti įmonių, prisipirkusių brangių kompiuterių tinklo apsaugos sistemų ar antivirusinių programų, bet neskiriančių dėmesio administravimui.
Kas nori gali patekti į patalpas, išsinešti kompiuterius, persikopijuoti duomenis į nešiojamas informacijos laikmenas, sekretorė telefonu pasakoja apie slaptažodžius“, – dėstė A.Sadeckas.
Vadovų dėmesys – per menkas
Ekskomisarų biuro viceprezidentas atkreipė dėmesį ir į tai, kad dažnai administratoriai, bijodami, kad bus aptiktas jų darbo brokas, neskatina auditų ir vadovus nuteikia prieš tokias priemones. Taip vadovui susidaro klaidingas gerovės įspūdis jo organizacijoje.
Tą patį sakė ir „Lietuvos rytui“ saugumo spragas pademonstravęs specialistas. Jis yra atlikęs kelis auditus didelėse įmonėse.
Jų administratoriai vadovams net nepranešė apie įsilaužimus, kurie buvo atlikti audito metu.
IT specialisto teigimu, per tris dienas jam pavyko gauti daugiau nei 500 vartotojų slaptažodžių, informacijos iš buhalterinių sistemų, duomenų apie prisijungimus prie banko sąskaitų.
Konsultacijų ir paslaugų bendrovės „Alna Intelligence“ atlikta kelių dešimčių didelių šalies bendrovių vadovų apklausa irgi parodė, kad informacinių sistemų apsauga jiems mažai rūpi.