Biztonság szempontjából mindegy, melyik operációs rendszert választjuk

[HWSW] Alapvetően nem azon múlik a biztonság, hogy milyen hardvereket vagy szoftvereket használunk, az üzemeltetés mikéntje a döntő -- véli Dolánszky György, a Kürt információbiztonsági szakértője. Bár nem jellemző, előfordul, hogy egy biztonsági auditot követően olyan mulasztásokra derül fény, hogy személycserékre kerül sor az IT-részlegnél.

A jelszó a legnagyobb baj

A Kürt tapasztalatai szerint a biztonsági kockázatok legnagyobb csoportját a jelszavak kezelése jelenti a cégek többségénél, itt találhatóak meg a legdurvább hibák -- mondta el a HWSW-nek Dolánszky. "A főnökök egy külön kategória", akik sokszor mentességet kérnek a jelszókezelési politikák alól, így például egyszerű és lejárt jelszavakkal használják gépüket, és azt is megosztják az asszisztensekkel.

A jelszókezelés másik problémás területe a gépi, szoftveres felhasználók belépési neve és jelszava, melyek nincsenek szem előtt. Ezek sokszor triviálisak vagy gyári alapértelmezett állapotban felejtik őket, ráadásul gyakran a kódba ágyazottak, így megváltoztatni is nehéz azokat. A rendszergazdák további általános és döntő hibájának bizonyul, hogy több eszközön, vagy akár a teljes infrastruktúrán ugyanazt a jelszót alkalmazzák, így ha valaki egyetlen ponton képes betörni és megszerezni az adminisztrátori adatokat, megszerezte az irányítást a teljes rendszer felett.

Windows és jelszavak

A támadhatóságot az LM hash már évtizedes implementációs gyengeségei okozzák. A korszerűbb Windowsok biztonságosabb jelszótárolásra is képesek, a kompatibilitás megőrzése érdekében azonban alapértelmezetten továbbra is használják az LM-et. A megoldás felé vezető út első lépése az elavult Windowsok lecserélése a hálózatban, majd az összes rendszernél a sokkal erősebb titkosítást alkalmazó (a Longhorn-generációnál már alapértelmezett) NTLMv2 hitelesítésre való átállás, és az LM kikapcsolása. Végül a szótár-alapú és valószínűséggel dolgozó rainbow támadások esélyeinek drasztikus lecsökkentésére alkalmazzunk úgynevezett saltingot (besózás), mely felhasználónként adott, de véletlenszerű karakterekkel dúsítja fel a felhasználó jelszavát, és úgy készít belőle hasht.

Windowsos hálózatokban problémát jelenthet az is, hogy a Windows 2000-nél régebbi operációs rendszert futtató gépekkel való kompatibilitás érdekében sok helyen továbbra is a régóta gyorsan törhető Lan Manager hash-sel tárolják a jelszavakat. "A windowsos jelszavak 80-90 százaléka feltörhető néhány nap alatt", a sebesség nagyban függ a felhasználók és biztonsági politika hanyagságától.

A hackerek először szótáralapú, majd a jelszó hasheket táblázatban előre legenerált úgynevezett rainbow fájlokkal, végül az igen valószínűtlen sikertelenség esetén a maradék kombinációkra brute force technikákkal lehet rátámadni -- a mai rendkívül olcsó számítási teljesítmény és akár néhány hét folyamatos törés is bőséggel megtérül, ha elég értékes a célpont, napjaink betöréseit pedig már nem az intellektuális kihívás, hanem közvetlenül a pénz vagy üzleti előny szerzése vezérli.

[+] A felhasználói nevem root, a jelszavam 123. Ismerős?

A patcheléssel is gondok vannak

Természetesen ha a támadó már hozzájutott egy hashfájlhoz, már megtörtént a baj, csak elszántság és idő, valamint esetleg némi pénz kérdése, mire feltöri a tárolt jelszavakat. Ezzel eljutottunk a biztonsági kockázatok második legnagyobb csoportjához, a szoftverek sebezhetőségeihez, ahol különösen kritikusak az infrastrukturális szoftverek, mint az operációs rendszerek, middleware-ek, adatbáziskezelők, de a számítógépek mellett nem szabad megfeledkezni a hálózati eszközökről sem.

"Nem azon múlik, milyen platformot használsz, egy UNIX-ot is meg lehet fektetni" -- fejtette ki Dolánszky. A lényeg, hogyan üzemeltetjük, ami az előbb tárgyalt jelszókezelésen és a jogosultságok mellett leginkább a szoftverek karbantartásán, frissítésén múlik. A patchelés ugyanakkor "nem egyszerű, egy külön műfaj", kommentálta a vezető, különösen a szerverek esetében, ahol sokszor nincs tartalékrendszer a változtatások kitesztelésére. Dolánszky úgy véli, a szakmát eluraló averziókkal ellentétben egy hozzáértően üzemeltetett Windows-hálózat megfelelően biztonságos.

Figyeljünk másra is

Miközben a figyelem nagy része a szerverekre és kliensekre irányul, addig sok helyen elhanyagolják vagy teljesen megfeledkeznek a hálózati eszközökről, mint például a menedzselhető switchek, vagy a routerek. Dolánszky elmondta, ha például egy Cisco-berendezésben nem elég friss az IOS, egy dokumentált biztonsági résen keresztül akár a teljes konfigurációs fájl is letölthető, és Type7 titkosítás esetén percek alatt kiszedhető -- itt most emlékezzünk vissza annak kockázatára, hogy a teljes hálózatban ugyanaz a jelszó minden eszközre.

[+] Figyelnek-e nyomtatóik biztonságára a vállalatok?

A vállalati biztonság egy másik elhanyagolt területe a hálózati nyomtatóké, főleg a multifunkcionális készülékek hordozhatnak kockázatot. Ezeket sokszor jelszó nélkül vagy gyári alapbeállításokkal használják, így a hálózatra bejutott támadó tetszőlegesen módosíthatja a beállításokat, és a készülék firmware-ének módosításával akár magának is elküldheti a kinyomtatott, beszkennelt vagy faxon érkezett dokumentumokat. Nemcsak a dokumentumok megszerzése lehet valaki célja, figyelmeztetett Dolánszky, nagyobb, kiterjedt irodákkal bíró vállalatoknál a hálózati nyomtatók megtámadásával a cég működésében is jelentős zavarokat, és súlyos károkat lehet okozni.