Jako vůbec nejčastější důvod se uvádí, že společnost, která se rozhodne některé své činnosti, jež nesouvisí přímo s předmětem jejího podnikání, svěřit jiné, na danou činnost se specializující společnosti, se pak bude moci plně soustředit jen na svůj business a dosáhnout tak lepších hospodářských výsledků a obstát v boji s konkurencí. Je tomu ale opravdu tak?

Hlavním a ve většině případů často také jediným důvodem, který mnohé společnosti vede k rozhodnutí některé své činnosti outsourcovat (převést na externího dodavatele), jsou zpravidla nižší náklady na zajištění dané činnosti prostřednictvím outsourcingového partnera. Mezi činnosti, které lze outsourcovat patří samozřejmě i IT. Rozhodnutí zda danou činnost outsourcovat nebo nikoliv vychází nejčastěji z následujícího obrázku.

Obrázek se snaží zachytit skutečnost, že běžnou opakující se činnost můžeme snadno převést na jinou společnost, která se na ní specializuje (1). Naproti tomu opakující specifickou činnost je lepší si ponechat, protože na trhu pravděpodobně nenajdeme partnera, který by byl schopen ji pro nás v požadované kvalitě a ceně zajistit (2). Na činnost, která je sice běžná, ale provádíme ji jen výjimečně, si můžeme vždycky někoho najmout (3). A konečně na činnost, která se vykonává jen zřídka a je specifická, můžeme využít služeb nejrůznějších konzultačních firem (4).

Položme si nyní otázku, jakým způsobem může specializovaná firma dosáhnout nižších nákladů? Možností je vskutku celá řada, ostatně v příspěvku jak snížit náklady na IT jich je pár desítek uvedeno. Stejný přístup ke snížení nákladů by mohla samozřejmě volit přímo i společnost, která o outsourcingu uvažuje, nicméně ta obvykle není schopna příslušné změny, které by vedly ke snížení nákladů, realizovat. Je však outsourcing IT výhodný i v případě, že společnost již realizovala řadu kroků, které vedly ke snížení nákladů na IT? Může i v takovém případě outsourcingový partner dosáhnout ještě nižších nákladů? Jistěže může, ale je s tím spojeno několik ne zcela zanedbatelných rizik.

Zneužití informací
Jednou z možností jak mít nižší náklady jsou tzv. úspory z rozsahu. Těch však běžná společnost obvykle nemůže zcela využít. Ne však outsourcingový partner, který se obvykle nenachází v pozici monopsonu. To znamená, že odběratelem jeho služeb není jediná společnost, ale zpravidla své služby poskytuje minimálně několika dalším společnostem. To mu umožňuje využívat nejrůznějších množstevních slev na vybrané HW a SW produkty a jiných výhod. Právě skutečnost, že se outsourcingový partner nenachází v pozici monopsonu, ale své služby poskytuje více společnostem, představuje riziko, že např. SW produkt, který pro vás na zakázku vyvíjí a jehož vývoj vy platíte, může být nabídnut i vaší konkurenci, se kterou má též uzavřenou smlouvu o poskytování služeb. Posloužili jste tak v podstatě jako pokusný králík a konkurenční výhoda spojená s nasazením produktu je nejistá, protože u konkurence může být pro vás vyvinutý SW produkt nasazen s jiným designem jen o něco později a s nižšími náklady.

Horší kvalita poskytovaných služeb
Dalším často uváděným tvrzením je, že outsourcingový partner dokáže dodat požadovanou službu minimálně ve stejné kvalitě a za nižší cenu. Kromě již zmíněných úspor z rozsahu dosahuje poskytovatel služeb nižší ceny i díky nižším mzdovým nákladům. (Společnost může mít dokonce i vyšší mzdové náklady, které ale bývají kompenzovány výnosy.) Jak je to ale možné, když je obecně známo a nejrůznější průzkumy výše platů v IT to i potvrzují, že platy IT pracovníků ve firmách, kde IT není hlavním předmětem podnikání, jsou obvykle nižší než ve firmách, které IT služby poskytují? No, obvykle se to řeší tak, že outsourcingová společnost má několik expertů a pak velké množství externistů (rozuměj brigádníků – studentů). Má tedy k dispozici dostatečný počet osob pro plnění dodávky podle smlouvy. Ale zvýše uvedeného důvodu vám těžko může zaručit požadovanou úroveň kvality poskytovaných služeb, ač ve smlouvě, kterou s vámi uzavřela, se k tomu zavazuje. Je tomu tak prostě proto, že jinak by musela zaměstnávat stejný počet expertů jako jste zaměstnávali vy a pak by logicky nemohla být v této oblasti lacinější. Jinými slovy, dnes může váš server spravovat expert, zatímco zítra to může být student, který u dané společnosti nastoupil na brigádu, protože expert je na dovolené nebo řeší složitější problém u jiného zákazníka. Při výběru vhodného dodavatele je třeba se zajímat i o to, jaká je fluktuace jeho zaměstnanců. Pokud se fluktuace v dané společnosti pohybuje v řádu několika desítek procent, měl by to pro vás být jasný signál, že v dané společnosti není něco v pořádku a na kvalitu jejich služeb se nemůžete absolutně spolehnout.

Dražší služby
Časem se můžete stát pro společnost, která vám IT služby poskytuje, dojnou krávou, protože se na ní respektive na jejich produktech stanete zcela závislí. Vaše náklady pak budou naopak růst a vy si toho nebudete ani vědomi, protože vy bona fide koupíte všechno, co vám doporučí. Stejně tak vás outsourcer nebude přesvědčovat o tom, že to co chcete, vlastně vůbec nepotřebujete nebo že byste to mohli jinde pořídit laciněji. Naopak, danou službu vám velice rád poskytne nebo příslušný SW produkt ochotně vyvine, protože vy mu za to dobře zaplatíte. V době, kdy jste měli vlastní IT tomu tak docela nebylo, protože to bylo zainteresováno na vašem zisku, aspoň doufám. Také problémy a požadavky nebudete moci řešit s outsourcingovým partnerem tak, jak jste byli doposud zvyklí se svým IT, tj. ústně dohodou. Právě naopak, na všechno bude papír a byrokracie výrazně vzroste, neboť všechno bude muset být zdokumentováno a schváleno. V ekonomii se tomu říká transakční náklady a ty mohou být značné. Počítejte s tím, že za všechno zaplatíte, protože postupně budete zjišťovat, že to co potřebujete, není součástí smlouvy o outsourcingu. Problém je, že v okamžiku, kdy se uzavírá smlouva o outsourcingu, si spousta společností neuvědomuje, co všechno jejich IT dělá, resp. jaké služby poskytuje. To je mimo jiné dáno i tím, že téměř žádná společnost nemá zavedeny všechny procesy tak, jak je popisuje např. ITIL a též katalog služeb poskytovaných jejich ICT je neúplný. To je dáno např. tím, že zavedení některých procesů by pro ně bylo příliš nákladné a návratnost mizivá. Profesionální poskytovatel služeb však většinou procesů zavedených má, protože se mu to vyplatí.

Závěr: To, že outsourcing je vždy výhodný, je mýtus. Problém spočívá i v tom, že spousta manažerů rozhodujících o outsourcingu nemá dostatek znalostí v této oblasti a není schopna sepsat RFP a vybrat toho nejvhodnějšího dodavatele a uzavřít kvalitní SLA. V takovém případě mohou být některé služby dokonce dražší, neboť outsourcingový partner nikdy neudělá víc, než má uvedeno ve smlouvě a také transakční náklady mohou představovat nezanedbatelnou položku v cenové kalkulaci. Zapomínat byste neměli také na to, že outsourcingový partner může informace, ke kterým se dostal, prodat konkurenci stejně jako produkt, který pro vás vyvíjel.

No related posts.

Vybrat vhodnou autentizační metodu není vůbec jednoduché. Vždy je třeba znát účel a podmínky, v jakých má být autentizace nasazena. Kromě toho se musíte rozhodnout, zda nasadíte autentizaci jednofaktorovou, dvoufaktorovou nebo vícefaktorovou. Začít můžete třeba tím, že provedete kvalitativní AR, kdy stanovíte hodnotu aktiva, pro přístup k němuž se máte autentizovat, míru hrozby a zranitelnosti a spočtete výsledné riziko.

Jak provést analýzu rizik a spočítat výsledné riziko se dočtete např. v knize „Řízení informačních rizik v praxi“ Postupovat můžete např. tak, že v případě kdy vám vyjde riziko nízké, můžete volit jednofaktorovou autentizaci, v případě středního a vysokého rizika dvoufaktorovou a v případě kritického rizika vícefaktorovou. V případě vícefaktorové autentizace se musíte také zamyslet nad tím, jaké metody autentizace použijete. K řešení této otázky mnoho společností zaujímá zcela pragmatický přístup a vícefaktorovou autentizaci nasazuje např. jen v případě vzdáleného připojení do IS. Tento přístup má své opodstatnění, neboť vychází ze snahy minimalizovat známá rizika vzdáleného přístupu.

Při výběru vhodné autentizační metody byste si měli zodpovědět následující otázky:

• Jak často se bude běžný uživatel autentizovat?
• Kolik uživatelů bude danou autentizační metodu používat?
• Kde se budou uživatelé autentizovat? Doma, v práci nebo na veřejném místě?
• Kdo se bude autentizovat, jaký je věkový průměr a postavení těchto uživatelů?

Zodpovězení těchto otázek je pro volbu vhodné autentizační metody naprosto klíčové, protože ne všechny autentizační metody jsou vhodné pro každého, v každé situaci a v jakémkoliv prostředí. Až budete odpovídat na výše uvedené otázky, měli byste se vždy zamyslet také nad tím, jaký lze očekávat trend v nejbližších letech.

Dále byste si měli stanovit vhodná kritéria pro hodnocení jednotlivých metod:

• Bezpečnost – jak obtížné je danou autentizační metodu prolomit?
• Náklady na pořízení – kolik stojí zavedení dané autentizační metody, nákup HW, SW a instalace a konfigurace na straně poskytovatele této služby?
• Náklady na nasazení – kolik stojí zprovoznění dané autentizační metody u uživatele, který ji bude používat?
• Náklady na provoz – kolik stojí poskytovatele této služby správa a podpora dané autentizační metody?
• Náročnost – jak snadno dokáže uživatel danou autentizační metodu sám zprovoznit a začít používat?
• Použitelnost -  jak snadné je používání dané autentizační metody pro uživatele? Kolik kroků musí uživatel provést a kolik času mu to zabere?
• Mobilita – do jaké míry je zvolená autentizační metoda nezávislá na HW a SW vybavení? Může se uživatel autentizovat odkudkoliv?
• Přijatelnost – je daná autentizační metoda ze strany těch, co by ji měli používat akceptovatelná?
• Budoucnost – jaká je perspektiva dané metody, co se týká jejího používání v nejbližších letech?

V úvahu byste měli vzít také skutečnost, zda je cílem vaší společnosti řešit autentizaci jen pro jeden systém nebo pro více systémů, zda chcete maximálně využít svých stávajících technologií, zda uvažujete o zavedení SSO a dále zda chcete řešit i šifrování a podepisování. V takovém případě by bylo nutné vzít při volbě vhodných autentizačních metod v úvahu i další faktory.

Related posts:

1. Autentizace
2. Autentizace: zasuň token
3. Autentizace: přilož prst

Za bezpečné lze považovat takové heslo, které obsahuje velká a malá písmena, čísla, speciální znaky, je dostatečně dlouhé a nemá vztah k uživateli nebo prostředí ve kterém se používá, takže ho nelze v rozumném čase prolomit. Nikdy byste také neměli používat stejné heslo jako je vaše uživatelské jméno, opakující se znaky a posloupnosti ať už číselné, abecední nebo posloupnosti odpovídající rozložení kláves na klávesnici.

Ač některé systémy dokáží bezpečná hesla generovat nebo lze stáhnout programy (Password Generator), které umí bezpečné heslo vygenerovat, nedoporučuji je používat. Kromě toho, že je takové heslo zobrazeno na obrazovce a může tak být útočníkem snadno získáno, bývá obvykle i problém si ho zapamatovat. To uživatele svádí k tomu si takové heslo někam zapsat, aby ho nezapomněl. Bezpečné heslo by: 

1. mělo být dostatečně dlouhé, komplexní a přitom snadno zapamatovatelné,
2. mělo obsahovat velká a malá písmena, čísla a speciální znaky,
3. nemělo obsahovat slovo, které lze nalézt ve slovníku,
4. nemělo být stejné jako uživatelské jméno,
5. nemělo mít logický vztah k uživateli, který ho používá,
6. nemělo obsahovat opakující se znaky a posloupnosti.

Bezpečné heslo můžeme vytvořit tak, že si budeme v duchu např. říkat nějakou větu a pro tvorbu hesla použijeme jen první písmena z jednotlivých slov této věty. Abychom splnili podmínku použití malých a velkých písmen, můžeme psát třeba každé druhé písmeno jako velké a následně některá písmena ještě zaměnit za číslo a speciální znak. Pokud vás nenapadá, jak takovou záměnu provést, můžete vyjít třeba z psané podoby některých znaků a substituci provést takto A=4 nebo A=@, E=3, S=$, I=1, O=0, C=(, N=2. Možností je spousta, měli bychom volit takovou substituci, která nám bude vyhovovat. Inspirovat se můžete např. na stránkách pojednávajících o leet žargonu. Nyní si ale uveďme jednoduchý příklad. Pokud si budu v duchu říkat např. větu: „Můj nový počítač se širokoúhlým displejem stojí v rohu u okna.“, může mé heslo vypadat např. takto: mnPsšd$vru[+].

Tímto způsobem vytvořené heslo je bezpečné a přitom by pro nás neměl být problém si ho zapamatovat. Pro útočníka však bude prolomení takového hesla představovat obrovský problém. Uhádnout takové heslo je prakticky nemožné a slovníkový útok bude též neúspěšný, protože tímto způsobem vytvořené heslo nebude existovat v žádném jazyce a tedy ani slovníku. Pokud se útočník pokusí takovéto heslo prolomit hrubou silou, nebude to v rozumném čase možné. Opravdu? Přesvědčte se sami, pro výpočet doby potřebné k prolomení hesla použijeme následující vzorec:

Time=Length^Keyspace/Speed/2/N

Délka hesla (Length)
Je třeba si uvědomit, že pokud jde o prolomení hesla hrubou silou, může útočníkovi značně pomoci, když odpozoruje nebo zaslechne, kolik bylo při zadávání hesla stisknuto kláves. Stanovení délky hesla a množiny znaků totiž útočníkovi umožní výrazně zkrátit celkovou dobu potřebnou k jeho prolomení. Útočník též může mít v systému účet, potom ví, jaké systém klade na uživatele při vytvoření hesla požadavky, např. jaká je minimální délka hesla apod.

Množina znaků (Keyspace)
Pokud máme určit znaky, které mohou být v hesle použity, vyjdeme z ASCII tabulky a znaky si rozdělíme do těchto skupin: 

• 10 číslic: 0123456789
• 26 malých písmen: abcdefghijklmnopqrstuvwxyz
• 26 velkých písmen: ABCDEFGHIJKLMNOPQRSTUVWXYZ
• 33 speciálních symbolů: !“#$%&’()*+,-./:;<=>?@[\]^_`{|}~
• 33 netisknutelných kódů: pozice 0 až 31 a 127
• 128 znaků z rozšířené sady: pozice 128 až 255

Počet všech možných kombinací (Combination)
Počet všech možných kombinací, které musí útočník vyzkoušet je dán exponenciální funkcí C=Length^Keypsace, kde C je počet všech možných kombinací, Length je délka hesla a Keyspace počet různých znaků, které v hesle mohou být použity. To znamená, že v případě kdy je délka hesla 7 znaků a heslo obsahuje jen malá písmena, je počet všech možných kombinací, které musí útočník vyzkoušet jen 7^26. Pokud si teď říkáte, že se jedná jen o teoretický příklad a v praxi nikdo takhle slabé heslo nepoužívá, mohu vás ujistit, že ještě pořád existují systémy, které nejsou tzv. case sensitive a mají omezenou délku hesla.

Rychlost lámání hesel (Speed)
Pokud do proměnné Speed dosadíme kolik hesel za sekundu (password per second, dále jen pps) je systém schopen vyzkoušet, můžeme vypočíst přibližnou dobu, za kterou je možno heslo prolomit. Zaleží jen na tom, jakou výpočetní silou útočník disponuje. Výkon CPU s 10.000.000 pps  je možno v době psaní tohoto článku považovat za minimum, neboť stále častěji je možno k lámání hesel využít i výkonu grafických karet obsahujících výkonné a rychlé GPU (Graphic Processing Unit) s velkým počtem jader v ceně několika málo tisíc a dosáhnout tak rychlosti přes 200.000.000 pps. A tato rychlost se bude stále zvyšovat bez ohledu na to, zda bude nebo nebude platit Moorův zákon.

Doba potřebná pro nalezení hesla (Time)
S největší pravděpodobností však k prolomení hesla dojde za mnohem kratší dobu, protože nebude nutné vyzkoušet úplně všechny kombinace. Vzhledem k tomu, že máme 50% pravděpodobnost, že se heslo nachází buď v první nebo ve druhé polovině, neuděláme příliš velkou chybu, když budeme dělit 2.

Distribuované lámání hesla (Distributed computing)
Nesmíme také zapomenout, že útočník může k prolomení hesla použít výpočetní sílu i ostatních počítačů v síti, neboť tato úloha je velice dobře paralelizovatelná a tím dobu potřebnou k prolomení hesla dále výrazně zkrátit. Nebyl by to ostatně první případ, kdy byly počítače ostatních uživatelů internetu zneužity k podobným účelům.  V takovém případě se čas potřebný k prolomení hesla ještě zkrátí, a proto dělíme N, což je v tomto případě počet počítačů, které budou k lámání použity. Pro zjednodušení předpokládáme, že disponují stejným výpočetním výkonem a zanedbáváme též potřebnou režii na distribuovaný výpočet. Když bude heslo začínat znakem „z“ a algoritmus bude nastaven tak, aby od tohoto písmene začal zkoušet všechny možné kombinace, de facto lámeme heslo o jeden znak kratší. Už vás napadá jak lámání hesla distribuovat mezi více počítačů a dobu prolomení tak výrazně zkrátit? Nehledě na to existují i komerční, cenově velice přijatelná řešení, která je možné za tímto účelem použít.

Doba platnosti hesla (Maximum password age)
Pokud bude vypočtený čas nutný k prolomení hesla kratší, než je doba platnosti hesla, máme problém, neboť heslo bude prolomeno dříve, než skončí jeho platnost. To je ostatně důvod, proč by měla být nastavena doba platnosti hesla a proč by si měl uživatel heslo pravidelně měnit. Jinými slovy, uživatel by si měl heslo změnit dřív, než je možné ho teoreticky prolomit. Pokud by útočník délku hesla neznal, byla by délka trvání útoku dána součtem času potřebného k vyzkoušení všech možných kombinací pro 1, 2 až x-znakové heslo. V takovém případě se doba potřebná k prolomení hesla prodlužuje, protože je dána funkcí A^^XMax + … + A^^XMax-1. Měli bychom tedy heslo zadávat tak, abychom útočníkovi jeho situaci nezjednodušovali.

SMART brute force attack;-)
Ale to ještě není všechno, neboť dobu potřebnou k prolomení hesla lze podstatně zkrátit. Vyjde-li útočník ze znalosti daného jazyka, může algoritmus, který generuje všechny možné kombinace optimalizovat tak, že využije skutečnosti, že frekvence výskytu určitých písmen po některých znacích je vyšší než po jiných a tudíž určité kombinace znaků bude zkoušet dříve a jiné bude zkoušet teprve tehdy, až když bude neúspěšný. Tím, že snížíme počet kombinací, které musíme vyzkoušet, podstatně zkrátíme čas potřebný k prolomení hesla. Vyjdeme-li z přirozené skladby věty, není např. moc pravděpodobné, že by dvě po sobě jdoucí písmena v hesle byly samohlásky. Stejně tak se dá předpokládat, že běžný uživatel jen málokdy použije speciální znak hned na začátku hesla, ale daleko spíš se bude stejně jako číslice nacházet někde na konci a na začátku se bude spíš nacházet velké písmeno. Je to dáno tím, že uživatel ve většině případů je k takovému chování nucen firemní bezpečnostní politikou a tak hledá jen způsob jak tento požadavek splnit, aniž by o něm hlouběji přemýšlel. Stejně tak používání znaků národních abeced nebo netisknutelných znaků v hesle nebývá až tak běžné.

Lámání hesel offline
V okamžiku, kdy máme k dispozici hash hesla, můžeme provést tzv. off-line útok. Takový útok není možné odhalit, protože probíhá na jiném počítači nebo počítačích a nemůže tak ani dojít k uzamčení účtu, jednoduše proto, že nevyužíváme služeb autentizační autority daného systému, resp. s daným systémem vůbec nekomunikujeme. Měli bychom proto učinit taková opatření, aby se útočník k hashům hesel vůbec nedostal, což může být např. v prostředí Windows problém. Na internetu lze nalézt mnoho programů na lámání hesel, z komerčních jsou asi nejznámější produkty společnosti Elcomsoft nebo L0phtCrack. Z produktů, které jsou k dispozici zdarma, jmenujme např. John The Ripper, Cain&Abel, LCP nebo ophcrack. Nejprve se můžeme pokusit heslo uhádnout (password guessing) a pak zkusit slovníkový útok (dictionary attack), při kterém se zkouší všechna možná slova obsažná ve slovníku (mnohé slovníky obsahují i hesla vytvořená za použití leet žargonu, s gramatickými chybami apod.), pak obvykle následuje útok hrubou silou (brute force attack) nebo již výše zmíněný SMART brute force attack.

Lámání hesel online
Online útok probíhá v reálném čase proti autentizační autoritě a může být snadno odhalen, pokud se provádí monitoring, neboť může dojít k uzamčení hesla po x neúspěšných pokusech o přihlášení. V případě, že uzamykání účtu po x pokusech nedochází a bezpečnostní monitoring neprobíhá, je vhodné alespoň zpomalovat rychlost vyhodnocování hesla samotným systémem. Uživateli jistě nebude vadit, pokud se bude heslo vyhodnocovat např. 1 vteřinu, ale útočníka to značně zpomalí. Navíc doba ověření hesla se může s počtem pokusů prodlužovat. Stejně tak můžeme začít po určitém počtu neúspěšných pokusů zobrazovat Captchu.

Lámání hesel
Závislost mezi délkou hesla, množinou použitých znaků, rychlostí, počtem počítačů použitých k lámání hesla a dobou potřebnou k jeho prolomení je popsán v tabulce, kterou si můžete stáhnout ve formě excelovského sešitu a pokusit se zadat i jiné vstupní hodnoty.

Např. pokud vás zajímá, jak dlouho by trvalo prolomení vašeho hesla superpočítači, navštivte web top500 a podívejte se kolik instrukcí za sekundu je takový superpočítač schopen provést. Na tomto místě je vhodné upozornit na skutečnost, že počet instrukcí, které je schopen procesor vykonat za sekundu se zdaleka nerovná počtu vyzkoušených hesel. Zkoušení hesel se provádí pomocí programu, který se skládá typicky z mnoha instrukcí, které musí procesor zpracovat, aby mohl ověřit jedno jediné heslo. Počet vyzkoušených hesel za sekundu je tedy výrazně nižší než počet provedených instrukcí, neboť závisí na složitosti algoritmu, použitém programovacím jazyku resp. překladači, architektuře procesoru, uspořádání paměti a operačním systému. 

Rainbow tables
Útočník však mnohdy nemusí disponovat ani kdovíjak výkonným hardwarem. K tomu, aby heslo prolomil v rozumném čase, mu může posloužit i obyčejný počítač a tzv. rainbow tables, které obsahují předpočítané hashe (precomputed hashes). Např. na stránkách již zmíněného produktu ophcrack se nacházejí rainbow tables jak pro hesla systému Windows XP (14 znaků dlouhé, obsahující velká, malá písmena, čísla i speciální znaky o velikosti 7,5GB) tak i pro Windows Vista (7 znaků dlouhé, obsahující velká, malá písmena, čísla i speciální znaky o velikosti 36,4GB). Použitím rainbow tables se doba potřebná k vyzkoušení všech možných kombinací výrazně zkracuje, neboť není nutné hash hesla počítat, ale stačí jen postupně načítat předpočítané hashe z DB do paměti.

Čím delší, tím lepší?
Jak kde, v případě Windows platí známé úsloví, že méně je někdy více. Takové 12 znakové heslo může být ve výsledku méně bezpečné než 7 znakové. Jde totiž o to, jakým způsobem je heslo v systému MS Windows uloženo. Pokud útočník získá hash hesla ve formátu LM, ví, že je rozděleno na dvě části po sedmi znacích a každou část tak může lámat zvlášť. V praxi je tak možné vyluštěním jedné části, odvodit tu druhou.

Z tohoto důvodu se doporučuje používat ve Windows raději 14 znaková hesla nebo ještě lépe 15 znaková, kdy k ukládání hashů ve formátu LM nedochází vůbec. Systém Windows lze také nastavit tak, aby používal pouze NT hash, který je odolnější proti útokům hrubou silou. Pokud to neuděláme, může být velice rychle prolomeno i naše 14 znakové „superheslo“, které jsme si vytvořili na začátku příspěvku, neboť bude rozloženo na dvě části po 7 znacích a je jedno jakou metodu lámání útočník použije. V případě, že nevíme, zda systém Windows používá LM hash nebo NT hash, je rozumnější používat hesla, která jsou delší než 14 znaků.

Pamatovat si takto dlouhá hesla, však může být problém, proto se nabízí otázka, zda místo hesel nepoužívat tzv. passphrase, kterými může být jakákoliv věta. A vězte, že čím větší blbost, tím spíš si ji člověk zapamatuje. Např. větu „Bobr dojí z Milky čokoládu.“ je snadné si zapamatovat, ale obtížné ji uhodnout nebo prolomit. Běžné slogany a říkadla nelze obecně doporučit, protože nikdy nevíme, zda se neobjeví nějaká zranitelnost a nebude možné z části hesla odvodit zbývající část nebo část odpozorovat a zbytek uhádnout.

A jak dlouho vydrží vaše heslo odolávat útoku hrubou silou?

Related posts:

1. Autentizace: řekni mi své heslo
2. Autentizace: zapomenuté heslo a kontrolní otázka
3. Autentizace: zasuň token

Otestujte si svého potenciálního zaměstnavatele a zkuste se ho např. u přijímacího pohovoru zeptat, zda budete moci využívat k soukromým účelům přidělené auto, notebook, mobilní telefon a konektivitu do internetu.  Dle zákona č. 262/2006 Sb., zákoník práce, Část třináctá – Společná ustanovení, Hlava VIII: Ochrana majetkových zájmů zaměstnavatele a ochrana osobních práv zaměstnance a § 316 odstavce 1 totiž: „Zaměstnanci nesmějí bez souhlasu zaměstnavatele užívat pro svou osobní potřebu výrobní a pracovní prostředky zaměstnavatele včetně výpočetní techniky ani jeho telekomunikační zařízení.“ Ať je postoj zaměstnavatele jakýkoliv, je vhodné to vědět, můžete se tím vyhnout nepříjemnému překvapení v podobě výpovědi z důvodu porušení zákoníku práce.

Automobil
Nebývá to tak časté, ale na některých pozicích bývá zaměstnancům nabízen jako benefit služební automobil. Ve služebním automobilu však i přes možnost jeho využití k soukromým účelům spatřují někteří zaměstnanci ztrátu soukromí, neboť zaměstnavatel v případě, že vám dá automobil k dispozici, očekává, že budete připraveni se na pracoviště dostavit kdykoliv, kdy vám zavolá.

Mobilní telefon
Dalším, dnes již poměrně častým, benefitem bývá mobilní telefon s možností využít ho i k soukromým hovorům. Na prvním pohled to nemusí být špatné, ale setkal jsem se spoustou případů, že zaměstnanec o tento benefit prostě nestál. Mobilní telefon již měl, a měl i zaplacený tarif. Ve služebním mobilu viděl spíše ztrátu soukromí. Zaměstnavatelé totiž často zaměstnance nutí, aby ho měli zapnutý pořád a to i po skončení pracovní doby a o víkendu.

Notebook
Dalším často nabízeným benefitem je služební notebook, ale zkuste na něm pracovat 8 hodin. Bez docking station, externí klávesnice, myši a velkého LCD displeje je taková práce spíše utrpením. A to už vůbec nemluvím o vývojářích, kteří by měli mít k dispozici dokonce dva velké LCD displeje. Na jednom by měli vyvíjet a na druhém by měli mít zobrazenou specifikaci. Jen v takovém případě lze hovořit o efektivitě.

Internet
Brent Coker z katedry managementu a marketingu Melbournské univerzity tvrdí, že krátké přestávky včetně surfování na internetu vedou k celkové vyšší koncentraci během pracovního dne a výsledkem je až o 9% vyšší produktivita práce. Předpokladem pozitivního vlivu na zvýšení produktivity práce je ale omezená doba surfování, ta by neměla překročit 20% celkové pracovní doby. Je zvláštní, že ač kouření v pracovní době zaměstnavatelům evidentně nevadí, neboť zatímco účelem často zřizují a vyznačují prostory, kde je kouření povoleno, tak v okamžiku, kdy přijde řeč na surfování po internetu v pracovní době, jsou proti. A přitom kouření je pro zdraví člověka mnohem škodlivější.

Benefit nebo nutnost?
Automobil, služební telefon, notebook a přístup na internet není možné např. na pozici manažera, servisního technika nebo obchodního zástupce v dnešní době považovat za benefit. Je to prostě nutnost, aby tento pracovník mohl vůbec vykonávat svoji práci.

Použitelnost
Vraťme se však ještě jednou k notebookům, protože zde je patrný jasný trend v pořizování těchto zařízení i tam, kde donedávna vládly klasické desktopy. Ve svém minulém příspěvku jsem se zmínil o programu BYOC. Tato služba je založena na virtualizaci desktopů, takže je poměrně bezpečná. V první řadě jde samozřejmě o pohodlí a efektivitu. Vychází se z jednoduché úvahy, proč používat dva telefony, dvě auta a dva počítače, když by stačil jeden telefon, jedno auto a jeden počítač. Pro zaměstnavatele je jistě výhodnější, když platí náklady spojené s užitím dané věci pouze pro služební účely. Zaměstnanec si těchto věcí více váží a i je lépe opatruje, protože ví, že v případě jejich poškození nebo ztráty bude mít problémy i ve svém soukromém životě, neboť nedojede tam, kam potřebuje, nezatelefonuje si, kdy bude potřebovat a nebude si moci stáhnout poštu.

Náklady
Co se týká nákladů, nemyslím si, že by se to nevyplatilo. Životnost HW se běžně uvádí 3 roky. Každé 3 roky tak může zaměstnanec, který chce používat svůj vlastní počítač, obdržet určitou částku, řekněme třeba 1500 euro, na nákup nového zařízení. Samozřejmostí je, že nově kupovaný HW musí splňovat určité požadavky (např. musí být stanovena minimální HW konfigurace). Co se týká údržby, může útvar servisní podpory pracovat naprosto stejně jako dosud. Kromě toho může za úplatu poskytovat i služby pro soukromé užití. Co se týká SW, není problém připravit image pro virtuální desktop, který bude obsahovat veškerý pro práci potřebný SW včetně VPN pro sestavení připojení pro práci z domova.

Bezpečnost
Častým argumentem proti používání soukromých zařízení pro práci a tedy připojování do interní sítě zaměstnavatele je zvýšené riziko narušení důvěrnosti, dostupnosti a integrity dat v důsledku zavlečení škodlivého kódu a úniku důvěrných informací. To je jistě pravda, ale na druhou stranu si musíme přiznat, že cest jak škodlivý kód do společnosti zavléci nebo důvěrné informace odnést, je spousta, viz článek „Data loss protection: krádež dat“ a tohle je tedy jen jedna z nich. Navíc existují řešení, jak toto riziko eliminovat, spočívají např. v nasazení technologie 802.1x a NAC a filtrováním webu. S použitím těchto technologií je možné umožnit připojení jen těch zařízení, která splňují určité požadavky, je na nich např. certifikát, a aktuální verze antivirové ochrany, aktivován personální firewall, poslední verze OS včetně bezpečnostních záplat. Dalším řešením je též virtuální stroj, ve kterém bude spuštěn firemní OS včetně příslušných politik. V důsledku oddělení těchto prostředí nemůže dojít k šíření nežádoucího kódu do vnitřní sítě společnosti a mohou tak být na jednom počítači spouštěna 2 různá prostředí, využívána ke zcela rozdílným účelům.

A jaký je váš názor na program BYOC?

Related posts:

1. Lesk a bída HR v ČR: práce z domova

V příspěvku nazvaném identifikace hrozeb jsme si hrozby rozdělili podle zdroje na interní a externí a dále podle úmyslu na náhodné a úmyslné. Kombinací jsme získali matici, která zachycovala 4 základní typy hrozeb. Pozorný čtenář si jistě všiml, že jich ve skutečnosti bylo 5. (Je zajímavé, že na to nikdo v diskusi pod článkem neupozornil;-). Konkrétně se tedy jedná o hrozby: 

• přírodního původu (ENV)
• technické selhání (TFA)
• lidská chyba (HER)
• hacking (HCK)
• sabotáž (SBT)

 Pokud máme stanovit míru hrozby, musíme zohlednit následující faktory:

• četnost výskytu
• příležitost
• motiv
• schopnosti
• peníze
• vybavení
• čas
• atraktivitu aktiva
• počet osob
• stáří aktiva

Vytvoříme si proto matici, která bude zachycovat, které faktory je třeba vzít při hodnocení jednotlivých hrozeb v úvahu.

Na první pohled vidíme, že u úmyslných hrozeb, bez ohledu na to zda pochází ze vnitř nebo z vnějšku organizace, vstupují do hodnocení všechny faktory. Běžně se sice uvádí, že k realizaci úmyslných hrozeb stačí příležitost, motiv a schopnost, ale je třeba si uvědomit, že útočník si v mnoha případech svůj cíl vybírá. Proto je vhodné vzít v úvahu i další faktory jako je např. atraktivita aktiva a náročnost na zdroje (čas, peníze, vybavení). Níže si jednotlivé faktory stručně popíšeme. 

Četnost výskytu
U všech typů hrozeb můžeme pro stanovení míry hrozby vzít v úvahu četnost výskytu, ať už ze statistik, nejrůznějších průzkumů informační bezpečnosti nebo z ještě lépe z vlastní pečlivě vedené evidence bezpečnostních incidentů. Tímto způsobem můžeme poměrně spolehlivě určit pravděpodobnost výskytu dané hrozby.

Příležitost
Pravděpodobnost realizace hrozby je tím vyšší, čím vyšší je příležitost danou hrozbu realizovat. Pokud zaměstnanci denně přichází do styku s důvěrnými informace a ví, že jejich činnost v systému není monitorována, je větší pravděpodobnost, že některý z nich svého přístupu do systému zneužije a dojde tak např. k úniku informací.

Motiv
Motiv útočníka může být různý a někdy i těžko pochopitelný. Podstatné však je, že pravděpodobnost realizace hrozby je vyšší v době krize, fůzování, outsourcingu. To je dáno tím, že lidé v tomto období velice často přicházejí o místo a svůj příjem. Mohou se chtít pomstít nebo si „jen“ odnést něco, co se dá snadno zpeněžit nebo využít v novém zaměstnání.

Schopnosti
To, že jsou schopnosti uvedené jak u lidského selhání, tak i hackingu a sabotáže není náhoda. Vycházíme z toho, že méně chyb obvykle dělá člověk, který své práci rozumí. U hackingu a sabotáže zase předpokládáme, že pravděpodobnost dané hrozby bude vyšší v případě, kdy žádné speciální znalosti, schopnosti a dovednosti nejsou k realizaci hrozby potřeba.

Peníze
Pravděpodobnost hrozby je tím vyšší, čím nižší jsou náklady na její realizaci. Je to v celku logické, protože i útočník zvažuje, zdali se mu vyplatí do přípravy a realizace útoku investovat své prostředky.

Čas
Pravděpodobnost hrozby je tím vyšší, čím kratší je doba potřebná k přípravě a vlastní realizaci dané hrozby. To je dáno tím, že čím rychleji je možné daný útok provést, tím nižší je pravděpodobnost, že si někdo přípravy nebo vlastního provedení útoku všimne.

Vybavení
Pravděpodobnost hrozby je tím vyšší, čím jsou nižší nároky na HW a SW vybavení útočníka. Je rozdíl, zda nástroj k realizaci hrozby je možné stáhnout z internetu nebo je nutné ho vyvinout.

Atraktivita
Čím atraktivnější cíl, tím vyšší pravděpodobnost hrozby. Když chce hacker provést např. defacement vybere si spíš takový server, který je hodně navštěvován a znám, než web, na který nikdo nechodí. Je to podobné jako u zlodějů aut, jestliže se takový zloděj má rozhodnout, zda ukradne Jaguára nebo Trabanta, které auto to bude? Samozřejmě můžete namítnout, že Škodovka, protože těch je víc a nebude v ní budit takovou pozornost;-)

Počet osob
Čím větší počet osob přichází s hodnoceným aktivem do styku, tím větší je pravděpodobnost, že někdo z nich hrozbu realizuje. Podle jedné studie je v každé společnosti 10% lidí absolutně poctivých, 10% absolutně nepoctivých a ostatních 80% se nachází někde mezi. Do jaké skupiny patříte vy?

Stáří aktiva
To, že je stáří aktiva posuzováno i u lidí, není chyba. Možná to zní trochu cynicky, ale v obou případech je pro stanovení pravděpodobnosti selhání nebo chyby možno použít vanovou křivku, jen bude mít u různých aktiv trochu jiný průběh (např. nezkušený zaměstnanec – zkušený zaměstnanec – opotřebovaný zaměstnanec).

Jednotlivec vs. organizovaný zločin
Usoudíme-li, že danou hrozbu je velice náročné provést a jedinec toho není prakticky schopen, protože nejenže obvykle nemá současně motiv, příležitost a schopnosti, ale nedisponuje ani potřebnými zdroji (vybavení, čas, peníze), nabízí se označit danou hrozbu jako málo pravděpodobnou. To by však mohla být chyba, protože vysoká atraktivita aktiva může vést ve zformování virtuální organizované skupiny a pokud se podíváme na statistiky, zjistíme, že tomu tak skutečně je a dokonce ne jen v případě cenných aktiv. Nejsou to tedy osamocení hackeři, jako tomu bylo v počátku rozvoje internetu, ale organizované skupiny, které stojí za většinou útoků a operující celosvětově bez ohledu na hranice států.

Stanovení míry hrozby
Stanovení výsledné míry hrozby pro konkrétní dvojici hrozba – aktivum není triviální. V případě hrozby přírodního původu je určení míry hrozby poměrně snadné, neboť nám k jejímu stanovení stačí určit pravděpodobnost výskytu dané hrozby. V případě technického selhání můžeme kromě statistik vyjít i ze stáří aktiva a míru hrozby stanovit podle toho, v jakém bodě vanové křivky se právě nacházíme. V případě lidského selhání je možné též vyjít ze statistiky a vzít v úvahu aktuální náladu ve společnosti a kvalitu lidské obsluhy a určit trend. V případě hodnocení úmyslných hrozeb však narazíme na problém. I kdybychom vzali v úvahu jen 3 nejčastěji uváděné faktory jako je schopnost, příležitost a motiv, znamená to zkoumat 7 různých kombinací a posoudit, která z nich je závažnější. V případě, že bychom chtěli vzít v úvahu všech 9 výše uvedených faktorů, které při hodnocení pravděpodobnosti realizace úmyslné hrozby připadají v úvahu, dostali bychom se na 511 různých kombinací. (Z čistě matematického pohledu se jedná o kombinace bez opakování, jejichž počet lze snadno spočítat.) Z tohoto pohledu se jeví vyhodnocení trendu a náročnosti provedení útoku jako zcela dostačující k určení pravděpodobnosti realizace dané hrozby. Vycházíme z toho, že v době, kdy se členem organizované skupiny může stát v podstatě kdokoliv, vždy se najde někdo, kdo má motiv, příležitost, schopnosti a prostředky. Ostatní výše uvedené faktory je tedy třeba brát pouze jako doplňkové nebo se jimi vážně zabývat pouze v okamžiku, kdy statistické údaje nejsou k dispozici.

Závěr
Stanovení míry hrozby na základě četnosti výskytu dané hrozby je managementem obvykle akceptováno, neboť se tento způsob opírá o matematický aparát a míru hrozby je tak možné jednoduše vysvětlit a obhájit.

Poznámka: Co se týká kombinace jednotlivých faktorů, problém spočívá v tom, jak hodnotit např. takovou kombinaci, kdy bude pro jednu hrozbu splněna podmínka motivu a příležitosti, zatímco pro druhou naopak bude existovat příležitost a schopnost. Která hrozba bude v takovém případě závažnější? Jak spočítat míru hrozby? Je lepší vyhodnotit každý faktor a pak spočítat průměr? Nebo je vhodnější přidělit jednotlivým faktorům různé váhy?

Related posts:

1. Analýza rizik: identifikace hrozeb
2. Analýza rizik: kvantifikace aktiv z pohledu dostupnosti

U biometrických metod můžeme rozlišit tzv. fyziologické charakteristiky (otisk prstu, geometrie ruky atd.) a behaviorální charakteristiky (rozpoznávání hlasu, dynamika podpisu, psaní na klávesnici atd.). U behaviorálních charakteristik máme větší jistotu, že autentizaci provádí opravdu daná osoba, ale samozřejmě i zde je možné, že může být k autentizaci donucena nebo se může někdo jiný pokusit její charakteristiky napodobit.

Takovou situaci lze řešit fyzickou přítomností ostrahy a kontrolou co a jak je vlastně přikládáno ke snímači, zda nedochází k nežádoucí manipulaci s tímto zařízením. Mohlo by dojít k tomu, že by útočník biometrický senzor nahradil za svůj vlastní, který by biometrické charakteristiky ukládal do jeho DB.

Pořízení biometrických charakteristik
Aby se vůbec mohl uživatel začít autentizovat, musíme nejprve pořídit vzorek zvolené charakteristiky. Obvykle se snímá větší počet vzorků, zpravidla tři, ale v některých případech jich může být i více.

Rychlost biometrických metod
To, že některé z těchto metod jsou pomalé, není při autentizaci uživatele až takový problém, protože pokud se uživatel již nějak identifikoval, porovnává se předložená charakteristika s údaji uloženými v databázi. Problém by však mohla nastat v případě, že by se biometrická charakteristika použila pro samotnou identifikaci, neboť pak by se musel předložený vzorek porovnat se všemi, které jsou již uloženy v DB. Je zřejmé, že čím více vzorků by v DB bylo uloženo, tím déle by takové porovnání trvalo.

Spolehlivost biometrických metod
Obraťme však nyní naší pozornost ke spolehlivosti těchto metod. Netřeba snad zdůrazňovat, že žádná biometrická metoda není absolutně spolehlivá. V praxi tak může dojít ke kuriózní situaci, kdy oprávněnému uživateli je přístup do systému odepřen a naopak neoprávněnému uživateli je přístup povolen. Není tedy žádným překvapením, že čím je systém spolehlivější nebo rychlejší, tím je i dražší. Pro určení spolehlivost daného systému bychom se měli zaměřit na to, kolika neoprávněným uživatelům byl přístup do systému povolen, ač jim být povolen neměl – jedná se o tzv. False Acceptance Rate (FAR). A kolika oprávněným uživatelům byl přístup zamítnut, ač jim být zamítnut neměl – jedná se o tzv. False Rejection Rate (FRR). Rovnost FAR a FRR se označuje jako Equal Error Rate (EER) a je v celku logické, že čím nižší je tato hodnota, tím můžeme daný systém považovat za spolehlivější.

Výhody
Hlavní výhodou těchto metod je, že autentizační údaje není možné zapomenout nebo ztratit a v průběhu času se moc nemění nebo jen nepatrně. Na uživatele tak nejsou kladeny v podstatě žádné požadavky. Je třeba však vzít v úvahu, že je možné ztratit hlas, přijít o prst, o ruku apod.

Nevýhody
Hlavní nevýhodou těchto metod je, že je ve většině případů nutný speciální HW nebo minimálně SW, který musí být na počítači, kde se má uživatel autentizovat nainstalován a spuštěn. Další nevýhodou těchto metod je, že se na ně nedá stoprocentně spolehnout. 

V následujících odstavcích si jednotlivé biometrické metody blíže popíšeme.

Otisk prstu (fingerprint)
Obvykle se neukládá sejmutý prst jako obrázek, ale ukládají se jen určité charakteristiky, takže by nemělo být možné otisk přesně zrekonstruovat. Na druhou stranu se sejmutý otisk prstu musí programem zpracovat, to znamená, že se obrázek musí nejprve ze snímače nějakým způsobem přenést a uložit do paměti. Pokud jde o vlastní snímání otisku prstu, tak k tomu dochází v zásadě dvěma různými způsoby. Buď se prst přiloží na snímač nebo se s ním přes snímač přejede. První řešení je dražší, protože některé lepší snímače mohou navíc měřit i teplotu, tep, krevní řečiště, polohu kosti apod. Takže gelovou atrapou nebo uříznutým prstem je nelze tak snadno ošálit. Druhé řešení je samozřejmě lacinější a lze jej nejen poměrně jednoduše oklamat, ale můžeme mít i problémy se přihlásit a pokusy tak musíme opakovat. Příčinou může být zpocená nebo špinavá ruka. Pro případ poranění apod. se v praxi snímá více otisků a to z několika prstů obou rukou. Dále můžeme snímače ještě rozdělit na optické, které fungují jako skener a kapacitní, které měří odpor. Vzhledem k tomu, že mnozí výrobci HW již implementovaly jednoduché čtečky otisků prstů do notebooků, klávesnicí a myší, nemělo by dalšímu rozvoji této metody nic bránit. Je zajímavé, že pokud jde o použití této metody autentizace pro přístup do soukromých zařízení, bývá uživateli většinou hodnocena jako užitečná a docela rádi ji používají. Pokud se však rozhodne nasadit tuto metodu autentizace zaměstnavatel, narazí dost často na odpor zaměstnanců vyplývající z obavy možného zneužití otisku. To si lze vysvětlit tak, že způsob jak se sejmutý otisk přenáší a co přesně se sním děje a v jaké formě je pak uložen na disku, výrobce obvykle neuvádí. To ve spoustě lidí budí nedůvěru, neboť se obávají, že by jejich otisk mohl být nějakým způsobem zneužit. Kromě toho v některých zemích není možné pořizovat a zpracovávat otisky prstů pro jiné než policejní účely.

Geometrie ruky (hand geometry)
Obvykle se měří délka, šířka a tloušťka ruky i jednotlivých prstů. Takové zařízení je výrazně větší a dražší než běžný snímač otisku prstů, takže se nepředpokládá, že by si ho někdo pořizoval domů. Z výše uvedeného důvodu se tato metoda používá např. pro přístup zabezpečených prostor strategicky významných objektů apod.Výhoda oproti předchozí metodě však spočívá v tom, že získat geometrii ruky je pro útočníka velice obtížné ne-li zhola nemožné, zatímco v případě otisku prstů to pro něj není žádný problém, neboť otisky prstů běžně zanecháváme na spoustě předmětů. Zařízení sloužící ke snímání geometrie ruky bývají také dost často pod kamerovým dohledem a jsou hlídány pracovníky fyzické ostrahy.

Rozpoznávání obličeje (face recognition)
Rozlišujeme 2D a 3D systémy. Nevýhodou prvních 2D systémů bylo, že je šlo poměrně snadno oklamat např. vytištěnou fotografií. Je zřejmé, že v případě 3D systémů výše popsaný útok není možné použít, neboť se zde měří i hloubka. Metoda je obecně založena na měření vzdáleností mezi specifickými body. Měří se tak např. vzdálenost mezi očima, nosem, ústy a jejich velikost. Kromě toho se měří i celková velikost a tvar obličeje i jednotlivých jeho částí. Osvětlení a úhel snímání může značně ovlivnit spolehlivost této metody. Může dojít k neoprávněnému přihlášení uživatele, s podobnými rysy jako je např. člen rodiny, příbuzný atd. Dalším problémem mohou být morfologické změny obličeje způsobené stárnutím. Tuto metodu není možné nasadit v zemích, kde je zakázáno fotografování nebo kde musí být obličej zahalen.

Rozpoznávání duhovky (iris recognition)
U této metody se, co se týká spolehlivosti, dosahuje ještě vyšší přesnosti než v případě snímání otisků prstů. Aby se zabránilo použití fotografie oka, sleduje se i jeho pohyb, změna zornice, mrkání apod. Rozpoznávání oční duhovky se jeví jako nejspolehlivější biometrická metoda, avšak nemusí být přijatelná v zemích, kde je oko považováno za okno do duše. Uvádí se, že dokonce ani jednovaječná dvojčata nemají stejnou duhovku. Jeden čas se psalo o tom, že banky uvažují o využití tohoto autentizačního mechanismu v bankomatech.

Rozpoznávání sítnice (retina recognition)
U této metody se též, co se týká spolehlivosti, dosahuje ještě vyšší přesnosti než v případě snímání otisků prstů. Pomocí zdroje světla s nízkou intenzitou se snímá obraz struktury sítnice v okolí slepé skvrny. Je však nutné, aby se uživatel díval požadovaným směrem. Rozpoznávání sítnice patří též mezi nejspolehlivější biometrické metody, avšak tato metoda může být nepřijatelná v zemích, kde je oko považováno za okno do duše.

Analýza DNA (DNA analysis)
Tato metoda je velice drahá a značně časově náročná a pro autentizaci v podstatě nepoužitelná. I kdyby se v budoucnu podařilo nějakým způsobem náročnost zpracování snížit na akceptovatelnou a použitelnou úroveň, stále zde bude masivnímu nasazení bránit nevýhoda vycházející z toho, že je poměrně snadné získat biologický materiál, který obsahuje DNA a to bez vědomí dané osoby. Možnost zneužití by pak byla ještě větší, než je tomu u ostatních biometrických metod.

Rozpoznávání hlasu (voice recognition)
Nejprve se vytvoří otisk hlasu tzv. voiceprint a proti tomu se pak následně porovnává hlas osoby, která se autentizuje. Problém však spočívá v tom, že v případě, kdy se daná osoba bude nacházet v rušném prostředí, budou muset být příslušné zvuky odfiltrovány. Je zřejmé, že zajistit stejné podmínky, může být velice problematické. Úspěšnost prosazení se této metody se zhoršuje i použitím různých typů mikrofonů s různou citlivostí, frekvencí a kvalitou. Dalším problémem je, že např. členové rodiny mohou mít velice podobný hlas. Kromě toho spousta lidí umí hlas jiné osoby velice věrně napodobit. Dalším problémem může být nachlazení, ztráta hlasu apod. Další problém spočívá v tom, že odpověď na otázku, kterou si uživatel zadal, může být odposlechnuta, uložena a následně přehrána. 

Analýza psaní na klávesnici (keystroke pattern recognition)
Výhodou tohoto řešení je, že není potřeba instalovat žádný další HW, neboť klávesnice je přítomna na každém zařízení. Princip této metody je založen především na dynamice psaní, tedy na rychlosti s jakou jsou tisknuty jednotlivé klávesy a jaká je délka stisku daných kláves. (Nejednou byla tato metoda použita i ke zjištění a odhalení hackera, kde pomohlo i to, že dělal stejné překlepy.) Je otázka, jak bude algoritmus, který tato metoda používá reagovat na změnu techniky psaní uživatele, např. pokud uživatel absolvuje kurz psaní na počítači a začne psát všemi deseti. 

Analýza rukou psaného podpisu (handwriting recognition)
Tato metoda obvykle vyžaduje instalaci digitálního pera a podložky. Vlastní vyhodnocování ručního podpisu využívá statické charakteristiky (velikost písmen, poměr mezi nimi, křížení, obloučky, sklon písma, uzavřené oblasti) a dynamické vyhodnocování, které ověřuje vlastní proces vytváření podpisu tj. dynamika podpisu (zrychlení a přítlak v určité fázi podpisu, délka trvání, počet tahů) proti databázi referenčních podpisů. Je možné, že do budoucna se bude psát přímo na dotykové displeje. 

Poznámka: Pro úplnost je třeba také dodat, že tento poslední faktor, že uživatel „něco umí“ se někdy také řadí mezi faktory, že uživatel „něco je“ a používá se např. k odlišení člověka od stroje.

A jaké jsou vaše zkušenosti s praktickým nasazením biometrických metod?

Related posts:

1. Autentizace: Jak vybrat vhodnou autentizační metodu?
2. Autentizace
3. Autentizace: řekni mi své heslo

Informace uvedené v ITIL (Information Technology Infrustructure Library) vycházejí ze zkušeností „best practice“ mnoha společností na celém světě. Jedná se de-facto o mezinárodní standard pro řízení IT služeb (IT Service Management).ITIL byl publikován poprvé v letech 1989 – 1995 u Her Majesty’s Stationery Office (HMSO) v UK se jménem Central Communications and Telecommunications Agency (CCTA) – dnešní Office of Government Commerce (OGC) a měl podobu 31 knih. (Docela by mě zajímalo, jestli to někdo kromě autorů a recenzentů opravdu celé důkladně přečetl a pak podle toho ty procesy zaváděl;-) V letech 2000 – 2004 byla původní verze revidována a následně vyšel ITIL verze 2, který čítal již jen 7 knih. V roce 2007 se objevuje ITIL verze 3, sestávající z 5 knih, které kopírují životní cyklus služby:

• Service Strategy (Strategie služeb) – tato kniha se zabývá tím, čemu se říká IT Governance a je určena spíše pro osoby, které se nacházejí na pozici CIO a popisuje tyto procesy:
  • Financial Management (správa financí)
  • Service Portfolio Management (správa portfolia služeb)
  • Demand Management (správa požadavků)
• Service Design (Návrh služeb) – Cílem je navrhnout takové služby, které dokáží uspokojit současné i budoucí požadavky businessu.
  • Service Catalogue Management  (správa katalogu služeb)
  • Service Level Management (správa úrovně služeb
  • Capacity Management (správa kapacit)
  • Availability Management (správa dostupnosti)
  • IT Service Continuity Management (správa kontinuity služeb IT)
  • Information Security Management (správa bezpečnosti informací)
  • Supplier Management (správa dodavatelů)
• Service Transition (Přechod služeb) zavedení služby – cílem je dodat služby požadované businessem do produkčního prostředí. Kniha popisuje tyto procesy:
  • Change Management (správa změn)
  • Service Asset and Configuration Management (správa aktiv a konfigurace)
  • Knowledge Management (správa znalostí)
  • Transition Planning and Support (Plánování a podpora přechodu)
  • Release and Deployment Management (správa releasů a nasazení)
  • Service Validation and Testing (ověření a testování služby)
  • Evaluation (Vyhodnocení)
• Service Operation (Provoz služeb) – cílem je dodávat služby v požadované kvalitě. Kniha popisuje tyto procesy:
  • Event Management (správa událostí)
  • Incident Management (správa incidentů)
  • Problem Management (správa problémů)
  • Access Management (správa přístupů)
  • Request Fullfilment (provádění požadavků)
  • IT Operation Management (správa provozu IT)
  • Application Management (správa aplikací)
  • Technical Management (technická správa)
• Continual Service Improvement (Neustálé zlepšování služeb)
  • Service Measurement (měření služeb)
  • Service Reporting (vykazování služeb)

ITIL v jednotlivých knihách popisuje procesy, které IT většinou musí vykonávat, aby vůbec mohlo fungovat a nějaké služby businessu poskytovat. ITIL se snaží na poskytované služby dívat z pohledu zákazníka, který služby odebírá. Předpokládá se a výsledky mnohých studií to i potvrzují, že společnosti, které své procesy zavedly podle ITIL, dosahují vyšší efektivity a jejich zákazníci mají větší záruku, že služba, za kterou platí, bude splňovat parametry uvedené v SLA. Další výhoda zavedení procesů podle ITIL spočívá v tom, že společnosti v takovém případě používají stejnou terminologii a měly by se tak díky ní lépe dorozumět se svými partnery a zákazníky. Spousta nedorozumění totiž dost často vyplývá z toho, že mnohé společnosti jen používají rozdílné pojmy pro pojmenování stejných skutečností nebo naopak stejný termín pro různé skutečnosti. Myšlenka ITIL je celkem jednoduchá, proč navrhovat a vymýšlet celý proces znovu od začátku, když už ho spousta jiných firem má zavedený a průběžně ho i vylepšuje. Bohužel, některé společnosti ITIL nepochopily a moc dobrou reklamu mu neudělaly. Spousta manažerů tak k němu přistupuje s určitými předsudky. O nejhorších zkušenostech „worst practices“ se zaváděním ITIL koneckonců pojednává i kniha ABC of ICT.

ITIL popisuje vazby mezi jednotlivými procesy a definuje jaké by měly být vstupy, výstupy, role a metriky. Vzhledem k tomu, že nositeli každého procesu jsou lidé, musí být jasně určeno, kdo za co odpovídá. V ITIL se používá pojem role, ta je přiřazena člověku nebo týmu, který pak v rámci daného procesu vykonává jednu nebo více činností. Je zřejmé, že pokud má daná role vykonávat příslušnou činnost, musí mít nejen požadované schopnosti, ale potřebuje k tomu též nástroje tj. HW, SW a musí být vybavena i odpovídajícími pravomocemi a nést určitou odpovědnost. ITIL doporučuje pro každý proces vytvořit tzv. RACI tabulku, která v záhlaví bude obsahovat role a v řádcích jednotlivé činnosti, které se musí v rámci procesu vykonat. U každé činnosti by mělo být uvedeno, kdo ji vykonává (Responsible), kdo je odpovědný za výsledek (Accountable), s kým je nutno postup konzultovat (Consult) a koho je třeba informovat (Inform). Pro úplnost je třeba dodat, že ITIL používá ještě pojem funkce a myslí tím organizační jednotku nebo tým, který určitý proces nebo aktivity v rámci daného procesu vykonává. Ač je všech pět knih, které tvoří jádro ITIL poměrně rozsáhlých – každá čítá několik set stran, detailní popis procesů v nich přesto nenajdete, neboť ITIL popisuje jen hlavní aktivity v rámci daných procesů.

Procesy ITIL snadno a rychle
Pro snadné pochopení a seznámení se jednotlivými procesy, které ITIL popisuje, si uvedeme konkrétní příklad. 

Uživateli nefunguje aplikace a závadu hlásí na Service Desk (z pohledu ITIL je Service Desk funkce, jejíž pojem jsme si definovali výše). Service Desk zakládá ve svém systému tzv. incident, který řeší v rámci procesu Incident Management. Tento incident však byl IT již jednou řešen a způsob řešení byl příslušným pracovníkem popsán a díky výstupům z procesu Knowledge Management operátor Service Desku snadno dohledá, že existuje řešení v podobě workaroundu, takže služba (rozuměj funkčnost aplikace) může být obnovena velice rychle (ITIL o všem co IT poskytuje hovoří jako o službě) v souladu s uzavřeným SLA a incident může být uzavřen. Vše co souvisí SLA je řešeno v rámci procesu Service Level Management. Vzhledem k tomu, že stále více uživatelů hlásí na Service Desk stejnou závadu, rozhodne se Service Desk založit ke stávajícím incidentům tzv. „problem“, který by měl odhalit skutečnou příčinu závady. Tím se startuje proces Problem Management. Ještě téhož dne je příčina závady odhalena. Bude nutné přepsat kód jedné knihovny, kterou aplikace používá. Tím se rozjíždí proces Change Management. Úprava knihovny vývojářům netrvala dlouho. Po důkladném otestování je k dispozici nová verze, která může být nasazena nejen na stanice postižených uživatelů, ale všem, kteří aplikaci používají. Uvolnění a nasazení nové verze popisuje proces Release and Deployment Management. IT musí vědět, na jakých stanicích je daná aplikace nainstalována, aby mohlo provést její upgrade na novou verzi. Vzhledem k tomu, že naše IT má zaveden proces Service Asset and Configuration management, má přehled nejen o veškerém majetku, ale i o vazbách mezí jednotlivými komponentami, takže to pro něj nebude problém. V okamžiku, kdy je na všech stanicích nainstalována nová verze aplikace, objeví se tato informace i v databázi Asset and Configuration Management nástroje a Service Desk „problem“ uzavírá. Ve stejnou dobu však do firmy nastupuje nový zaměstnanec a jeho manažer žádá o instalaci aplikace, kterou našel v katalogu služeb, které IT nabízí. Netřeba asi dodávat, že katalog je udržován v rámci procesu Service Catalogue Management.  Tento požadavek již nemusí nikdo další schvalovat a tak je tento požadavek řešen v rámci procesu Request Fullfilment. Prostřednictvím aplikace však uživatel přistupuje k datům o zákaznicích firmy a proto musí být jeho přístup k datům řízen. Manažer proto o příslušné přístupy požádá v rámci procesu Access Management. V aplikaci pracuje velké množství uživatelů a databáze, kterou aplikace využívá, obsahuje čím dál tím více dat. Je zřejmé, že stávající HW nebude v brzké době stačit a bude nutné provést upgrade dříve, než systém spadne. Je zřejmé, že se není možné soustředit jen na zajištění aktuální dostupnosti IT služeb v rámci procesu Availability Management, ale je nutné myslet i na budoucnost a včas alokovat potřebné zdroje, čemuž by se měli věnovat odpovědní pracovníci v rámci procesu Capacity Management. Toto IT však nechce spoléhat jen na to, že incident někdo nahlásí, ale raději by incidentům předešlo a proto používá monitorovací nástroje, které odpovědným pracovníkům zasílají hlášení o nestandardních událostech v systému, toto se řeší v rámci procesu Event Management. Firma si je vědoma, že v jejich systémech jsou obsažena cenná data, která ohodnotila v rámci Business Impact Analysis a proto věnuje dostatek pozornosti vypracování plánů kontinuity pro případ útoku, havárie nebo přírodní katastrofy v rámci procesu IT Service Continuity Management. Mnohým bezpečnostním incidentům však může společnost předejít implementací základní sady opatření v rámci procesu Information Security Management, jehož cílem je zajistit bezpečnost informací během celého jejich životního cyklu. Ne všechny služby si je však firma schopna zajistit sama a proto využívá služeb mnoha různých dodavatelů, které řídí v rámci procesu Supplier management. Aby IT mohlo dodávat službu, kterou si zákazník objednal musí se věnovat běžné správě a o tom pojednává proces IT Operations Management. Návrhu infrastruktury se věnuje proces Technical Management, samotných aplikacím se pak logicky věnuje proces Application Management. Je zřejmé, že všechno něco stojí a někdo musí finance spravovat a na to máme proces Financial Management. Pokud jde o proklamované soustavné zlepšování, nejedná se v podstatě o nic jiného než o klasický Demingův PDCA cyklus uplatňovaný na všechny procesy a služby, jejichž vyzrálost můžeme měřit např. za použití CMM (Capability Maturity Model) v rámci procesu Service Measurement a výsledky těchto měření poté analyzovat a prezentovat v rámci procesu Service Reporting.

A jaké jsou vaše zkušenosti se zaváděním procesů podle ITIL?

No related posts.

Tento typ autentizace je založen na vlastnictví nějakého předmětu. V běžném životě se člověk s touto formou autentizace nejčastěji setkává při výběru peněz z bankomatu nebo při platbě kartou v obchodě.

Výhody

Hlavní výhoda autentizačních předmětů spočívá v tom, že je lze velice obtížně zkopírovat. Dražší předměty dokonce i samy sebe chrání před násilným vniknutím a šifrovací klíč, který je v nich uložen, je tak při snaze o násilné vniknutí do předmětu zničen. Přístup ke klíči, který bývá obvykle na předmětu uložen, je chráněn PINem. Pokud dojde k opakovanému chybnému zadání PINu, předmět se zablokuje. Předmět, pokud má např. podobu karty, může být použit i pro identifikaci.

Nevýhody

V okamžiku, kdy uživatel předmět ztratí nebo se mu rozbije, tak se už nepřihlásí. K selhání předmětu může dojít prakticky kdykoliv. Uživatel v takovém případě musí požádat o vydání předmětu nového, což je dost často spojeno s fyzickou návštěvou místa, kde se předměty po ověření totožnosti vydávají. Zařízení, pomocí kterého se autentizace provádí, musí uživatel v některých případech nosit sebou. Podpora těchto předmětů je nákladnější a náročnější než správa hesel.

Výhodou i nevýhodou těchto autentizačních předmětů je, že jsou přenosné, stejně jako hesla. To ale znamená, že nikdy nevíme, kdo opravdu autentizaci provádí. V podstatě kdokoliv se může vydávat za někoho jiného. V následujících odstavcích si nejčastěji používané autentizační předměty stručně popíšeme.

TAN, scratch card, grid cards

Jedná se o papírovou nebo plastovou kartu, na které jsou uvedena jednorázová hesla. Uživatel je na vyzvání sdělí nebo zadá do aplikace. Tyto karty dávají některé banky svým klientům a na základě sdělení jednorázového hesla, které je na kartě uvedeno, po telefonu bankovnímu úředníkovi, je možné provést např. bezhotovostní převod. Tyto karty mohou být různého druhu. Může se jednat o prostý očíslovaný seznam, kdy je u každého čísla uvedeno jednorázové heslo nebo o tabulku, kde jsou v buňkách uvedeny buď jednotlivé znaky nebo skupiny znaků a uživatel je vyzýván, aby zadal znaky, které se nachází na dané souřadnici. Na adrese http://www.elca.ch/elcard/en si můžete vyzkoušet, jak tato metoda funguje. U tohoto systému si uživatel musí navíc pamatovat tzv. tajnou cestu, což je umístění jednotlivých znaků od počáteční souřadnice. Tyto znaky tvoří jednorázové heslo. Útočník neví, jak daleko a jakým směrem od počáteční souřadnice se nachází první znak nebo skupina znaků a jaký tvar a délku má tzv. tajná cesta. Samozřejmě jen v případě, že si to uživatel nenapíše nebo nenakreslí na druhou stranu karty.

SMART card

Může obsahovat jak magnetický proužek, tak i chip, který může být proveden jako kontaktní nebo bezkontaktní. Kromě karty je uživatele nutné ještě vybavit čtečkou. Na kartu je možné umístit fotografii a použít ji i k identifikaci. Přístup k autentizačním údajům bývá chráněn PINem.

USB token

Je založen na stejné technologii jako čipová karta, výhoda spočívá v tom, že USB port je dnes již prakticky v každém počítači a není tak potřeba si pořizovat drahou čtečku. Také životnost USB tokenů se uvádí vyšší. Na druhou stranu ho nelze použít k fyzické identifikaci osoby, neboť na jeho malou plochu není možné umístit fotografii v takové kvalitě, v jaké může být na kartě. Přístup k autentizačním údajům bývá též chráněn PINem.

Autentizační kalkulátor

Tento prostředek může mít nejrůznější podobu. Obvykle ale vypadá jako karta nebo token a je vybaven displejem. Může mít i klávesnici, v takovém případě bývá chráněn PINem. Nejčastěji je založen na synchronizaci času se serverem, který je umístěn v prostorách společnosti, do jejichž systému se autentizujeme. Na displeji tohoto kalkulátoru se objevuje číslo, které je nutné do určité doby někam zadat. Hlavní výhodou těchto zařízení je, že uživatel nemusí na zařízení, ze kterých se chce autentizovat, instalovat žádný HW a SW. Autentizovat se tak může prakticky z jakéhokoliv zařízení, které umožňuje vygenerované jednorázové heslo zadat.

Mobilní telefon

Tento prostředek má obrovský potenciál, neboť může fungovat nejen jako SMART card nebo USB token, ale i jako synchronní nebo asynchronní generátor jednorázových hesel. (SMS zprávy, které zasílají některé banky pro autorizaci platby jsou v podstatě jednorázová hesla.) Další výhodou těchto zařízení je, že naprostá většina lidí je již má a nemusí být připojeny k počítači. Pro úplnost je třeba dodat, že drtivá většina autentizačních SMS se posílá nešifrovaně, takže zde existuje určité riziko, že se k nim dostane minimálně mobilní operátor.

Důležité pojmy

PIN

Aby bylo možné některá autentizační zařízení použít, je nutné zadat PIN (Personal Identification Number). Jak již tato zkratka napovídá, obvykle se jedná skutečně jen o číslo, mající obvykle 4 až 8 cifer. Nové tokeny umožňují zadat i písmena a speciální znaky. Nicméně to nic nemění na tom, že tento PIN nebo spíš heslo pro přístup k předmětu uživatel příliš často nemění a tak může být pro útočníka poměrně snadné ho odpozorovat a poté autentizační předmět oprávněnému uživateli ukrást nebo si ho prostě jen na malou chvíli vypůjčit.

OTP

Jak již bylo řečeno, OTP (One Time Password) může být použito jen jednou, takže případná kompromitace hesla v okamžiku jeho zadávání nepředstavuje riziko. OTP může být zařízením generováno v podstatě neustále v pravidelných krátkých intervalech (tzv. synchronní mód) nebo je OTP generováno až po zadání serverem poskytnutých dat (tzv. asynchronní mód).

Certifikát

Pro účely tohoto příspěvku předpokládáme, že na SMART card nebo USB tokenu je uložen uživatelský certifikát a privátní klíč, pak se jedná o tzv. HW token. Pokud by byl certifikát a soukromý klíč uložen přímo na počítači, ze kterého se autentizace provádí, jednalo by se o tzv. SW token. Ten však není možné považovat za bezpečný, protože může být snadno zkopírován. Nicméně tento způsob autentizace se používá pro autentizaci stroje.

Related posts:

1. Autentizace
2. Autentizace: Jak vybrat vhodnou autentizační metodu?
3. Autentizace: přilož prst

V okamžiku, kdy v rámci analýzy rizik provádíme kvantifikaci aktiv, klademe si obvykle otázku, jaký by byl finanční a nefinanční dopad v případě, že by došlo k narušení důvěrnosti, integrity a dostupnosti těchto aktiv.V případě dostupnosti datových aktiv bychom měli sledovat dvě hodnoty a to RPO (Recovery Point Objective) a RTO (Recovery Time Objective). Běžně se však hodnota dopadu stanovuje jen na základě RTO. Takovýto přístup však nemusí být zrovna ten nejvhodnější. Vždy bychom si měli položit tyto dvě otázky:

RTO
Jaké by byly finanční a nefinanční dopady, kdyby data, která jsou předmětem hodnocení, nebyla dostupná po dobu několika: 

• sekund
• minut
• hodin
• dní

RPO
Jaké by byly finanční a nefinanční dopady, kdyby došlo ke ztrátě dat za posledních několik: 

• sekund
• minut
• hodin
• dní

Všimněte si, že se jedná o dvě naprosto rozdílné otázky. Zatímco v prvním případě uvažujeme, že data nebudou dostupná jen po danou dobu, ve druhém případě o data za dané období přijdeme. Vidíme, že hodnota dopadu, co se týká dostupnosti datových aktiv, může teoreticky nabývat až 8 různých hodnot (4 x RPO + 4 x RTO).

Na základě znalosti vztahu mezi hodnotami RTO a RPO můžeme ve fázi zvládání rizik volit vhodná opatření pro zajištění požadované dostupnosti dat.

Z obrázku je zřejmé, že v okamžiku, kdy se požadovaná dostupnost (RPO nebo RTO) pohybuje řádově v sekundách, musíme volit clusterové řešení. Pro dostupnost v řádově minutách se můžeme spokojit s replikací a v případě dostupnosti v hodinách je možno provádět zálohu na disky, a v případě dnů můžeme provádět tradiční zálohu na pásky.

Pro stanovení hodnoty dopadu v případě orientační analýzy rizik můžeme volit i zcela pragmatický přístup a hodnotu aktiva stanovit čistě podle požadavků na dostupnost a to takto: sekunda – kritická hodnota aktiva, minuta – vysoká hodnota aktiva, hodina – střední hodnota aktiva, dny – nízká hodnota aktiva.

Poznámka: Replikaci je možno řešit kopírováním dat do vzdálené lokality a na jiná disková úložiště. Jsou systémy, které umí kopírovat jen data, která se změnila, to znamená, že se nepřenáší celý soubor, ale jen změněná část. Některé systémy navíc umí detekovat data, která se již někde na diskovém úložišti vyskytují a na ty se pak pouze odkazují. Tímto způsobem lze výrazně snížit dobu potřebnou k vytvoření identické kopie dat produkčního prostředí a nároky na diskový prostor. V případě obnovy jsou zase tato řešení schopna obnovit data tak, že jednotlivé datové bloky jsou obnovovány postupně.

Related posts:

1. Analýza rizik: kvantifikace hrozeb
2. Analýza rizik: identifikace hrozeb
3. Řízení informačních rizik v praxi

Tato nejpoužívanější autentizační metoda je nejčastěji založena na znalosti uživatelského jména a hesla, které se často také označuje jako sdílené tajemství mezi uživatelem a systémem. Identifikace a autentizace v takovém případě probíhá tak, že uživatel je systémem vyzván k zadání svého uživatelského jména a hesla a systém porovná zadané údaje s údaji, které má uložené ve své databázi. Služba, která tento proces zajištuje se nazývá authentication service a předává zadané údaje (credentials) autentizační autoritě (authentization authority). K přenosu autentizačních údajů se používá, resp. měl by se používat bezpečný autentizační protokol. Ten obvykle využívá principů symetrické a asymetrické kryptografie.

Výhody

Hlavní výhodou této nejpoužívanější metody je, že nevyžaduje, aby na počítači, ze kterého se bude uživatel do systému přihlašovat, byla instalována nějaká speciální HW nebo SW komponenta. Uživatel se tak v podstatě může přihlašovat odkudkoliv a nic k tomu nepotřebuje.

Nevýhody

Hlavní nevýhodou této metody je, že uživatel si musí heslo pamatovat a v okamžiku, kdy se hlásí do více systémů, jsou na jeho paměť kladeny značné nároky. To uživatele často vede k tomu, že si hesla začne zapisovat nebo používá do všech systému hesla stejná nebo jen mírně odlišná. V okamžiku, kdy je jeden systém kompromitován, útočník se může pokusit odvodit hesla v dalších systémech.

Možnosti útoků

Heslo může být poměrně snadno odpozorováno, odchyceno, zcizeno, uhádnuto nebo prolomeno a uživatel se o tom nemusí ani dozvědět. V okamžiku, kdy útočník zná uživatelské jméno a heslo, může se za oprávněného uživatele vydávat. (Říkáme, že došlo ke krádeži identity.) Jednotlivé možností útoků si dále popíšeme včetně způsobů, jak se jim bránit.

Sociální inženýrství

Jedná se pravděpodobně o vůbec nejstarší a nejjednodušší metodu, kdy se útočník pokusí získat vaše heslo za použití technik sociálního inženýrství. Své heslo nikomu nesdělujte, nikdo kromě vás ho nepotřebuje vědět. Dejte si také pozor, abyste se nestali obětí phishingu nebo pharmingu a nezadali tak své heslo do aplikace, které se pouze tváří, jako přihlašovací formulář do systému (fake logon screen) a ve skutečnosti přihlašovací údaje odesílá útočníkovi. Neklikejte na odkazy v mailu, byť by se zdálo, že vám mail zaslala třeba vaše banka. Adresu webu raději napište ručně.

Zcizení hesla

Hesla si nikam nezapisujte a rozhodně je nenechávejte napsaná na lístečku pod klávesnicí, přilepená na monitoru, na stole, zapsaná v kalendáři, který máte na stole apod. Když však si svá hesla přesto nemůžete zapamatovat nebo je sdílíte s kolegy, např. heslo k účtu root nebo administrator, těžko se asi jejich zapsání vyhnete. V takovém případě by zapsané heslo mělo být uloženo na bezpečném místě, nejlépe v trezoru, který není možné snadno otevřít nebo odnést. (Nechávat klíč od trezoru viset v kanceláři na zdi za dveřmi není dobrý nápad;-) Vzhledem k tomu, že s hesly často pracuje i systém, měli bychom se podívat také na to, jak jsou hesla v systému uložena, protože útočník by je mohl získat přímo ze systému. Hesla by proto v systému rozhodně neměla být uložena v otevřeném tvaru. Měla by být použita nějaká bezpečná jednocestná funkce a v systému by měl být uložen jen jejich hash. Přístup k takovému souboru by měl být na úrovni systému dostatečně chráněn.

Odpozorování hesla

Heslo by mělo být zadáváno tak, aby bylo sníženo riziko, že ho jiná osoba odpozoruje. Měli bychom zajistit, že nikdo jiný neuvidí, jaké heslo při přihlašování oprávněná osoba zadává. Je proto žádoucí, aby se při zadávání místo hesla na obrazovce zobrazovaly hvězdičky nebo jiné zástupné znaky. Nejbezpečnější však je, když se na obrazovce neobjevují při zadávání hesla znaky žádné. To je pro uživatele na jednu stranu trochu nepohodlné, protože nemá od systému zpětnou vazbu o tom, kolik znaků z hesla již zadal, ale na stranu druhou útočníkovi, který na obrazovku vidí, neposkytuje informaci o délce svého hesla. Útočník bude v takovém případě nejspíš sledovat, které klávesy byly stisknuty. V běžném životě může být problém v tom útočníkovi zabránit, rozložení kláves je totiž pevně dáno a za určitých podmínek lze podle umístění prstů nad klávesnicí usuzovat na to, co bylo asi tak stisknuto. Útočníkovi může pomoci i to, zda se prsty nacházely nad numerickou klávesnicí nebo zda byl stisknut přeřaďovač. Poslechem též může zjistit, kolik kláves bylo stisknuto. Navíc existuje riziko, že heslo bude odpozorováno i v okamžiku, kdy se v těsné blízkosti uživatele nikdo nenachází. Informaci o tom, které klávesy byly stisknuty, může útočník získat např. pomocí kamery, která bude namířena na klávesnici. Taková kamera může být umístěna v podstatě kdekoliv. Některé společnosti pro snížení tohoto rizika požadují po uživateli při každém přihlášení zadání jen některých znaků z hesla. V takovém případě systém uživatele vyzve, aby zadal znak, který se v jeho hesle nachází např. 2, 5 a 7 pozici. Při příštím přihlášení uživatele se samozřejmě jedná o jiné pozice. Je zřejmé, že pokud by se útočník chtěl dozvědět všechny znaky, které heslo obsahuje, musel by uživatele pozorovat déle, resp. musel by zachytit jak výzvu systému, tak i uživatelovu odpověď. Pokud by jen sledoval, jaké znaky uživatel zadává, věděl by sice, které znaky heslo obsahuje, ale ne na jaké pozici. V případě, že by uživatel obdržel výzvu např. přes telefon, byl by takový útok značně ztížen. Mimochodem zajímavý článek i diskuse ohledně hvězdičkování hesel je např. na synopsi.

Odposlechnutí hesla

Dle studie Keyboard Acoustic Emanations je možné za použití mikrofonu nahrávat zvuk, který vydává stisk jednotlivých kláves a následně tyto zvuky analyzovat a s určitou přesností zjistit, které klávesy byly stisknuty.

Odchycení hesla na SW úrovni

Pokud se jedná o odchycení hesla na SW úrovni, může k tomu dojít např. tak, že na počítači, na kterém se uživatel přihlašuje, je nainstalován keylogger. Ten se nejspíš bude maskovat, takže ve správci úloh ho v seznamu běžících procesů pravděpodobně nenaleznete. Z těchto důvodů se používá např. virtuální klávesnice, kdy se heslo zadává klikáním myši na klávesnici, která je vykreslena na obrazovce. Ale v okamžiku, kdy se na počítači nachází speciální verze keyloggeru, může být kliknutí na virtuální klávesnici spojeno se sejmutím obrazovky včetně pozice kurzoru. V takovém případě nepomůže ani to, že se rozmístění kláves na virtuální klávesnici pomocí nějakého algoritmu mění. Kromě toho může být kliknutí na danou klávesu potvrzeno změnou barvy nebo zamáčknutím tlačítka a tak je možné zadávané heslo i odpozorovat. Opatření proti keyloggeru není až tak snadné, jak by se mohlo na první pohled zdát. Jako obrana před jednoduchým keylogerem by mělo stačit před vlastním přihlášením zkontrolovat integritu systému. Jedině tak máme šanci zjistit, že SW konfigurace počítače nebyla změněna. To znamená, že po instalaci systému z důvěryhodného zdroje vytvoříme pro všechny kritické soubory kontrolní součet např. za použití hashovaní funkce SHA 256. To ale na počítači, který není pod naší správou, uděláme asi dost těžko. Pro ještě vyšší pocit bezpečí je možno systém zavádět z nepřepisovatelného média. CD nebo DVD s live distribucí Linuxu se jeví pro takový účel jako ideální. Integritu systému na CD nebo DVD asi těžko někdo naruší. Avšak pozor, i zde hrozí riziko, že takový systém bude napaden. Daná verze systému a aplikací na CD nebo DVD se totiž časem stane zranitelná, pokud ji nebudete aktualizovat. V tomto případě to znamená, že je nutné si vypálit na CD nebo DVD vždy aktuální verzi. Stejný problém budete muset samozřejmě řešit i v případě, že použijete virtuální stroj a systém budete provozovat v něm. Kromě toho keylogger nemusí být vůbec nainstalován v operačním systému, ale může se nacházet i jinde např. v MBR, BIOS, PCI EEPROM. Jde o to, zda váš systém, podporuje to, čemu se říká trusted boot process (TBP). Pokud ne, může proběhnout útok např. podle scénáře, který popsala na svém blogu Joana Rutkowska.

Odchycení hesla na HW úrovni

V případě, že má útočník k zařízení fyzický přístup, může se pokusit heslo odchytit za použití speciálního HW. Předpokládejme, že uživatel používá systém, který podporuje TBP a svůj systém zabezpečil tak, že k odchycení hesla na SW úrovni již nemůže dojít. Může k němu však stále dojít na HW úrovni. Keylogger může mít podobu malého zařízení, které bude umístěno přímo v klávesnici nebo na konci kabelu vedoucího do počítače. Ochrana proti změně HW konfigurace a začlenění nežádoucího HW je na první pohled velice snadná. Dokonce mnohem snadnější než v předchozím případě. Na druhý pohled však natolik otravná, že nelze předpokládat, že by ji někdo opravdu nasadil. Mělo by stačit zakoupit a použít kvalitní zámek, který by vniknutí do počítače zabránil. Před každým použitím počítače by uživatel musel nejprve zkontrolovat, zda se zámek nachází na svém místě, zda nejeví známky mechanického poškození. Dále by ho musel zkusit odemknout a zamknout. To pro případ, že by útočník vyměnil celý zámek. Stejně tak by musel zkontrolovat celý počítač, včetně periférií, zda nejeví známky mechanického poškození. To by znamenalo, že by musely být zapečetěny všechny šrouby a konektory a celistvost těchto pečetí by musela být před každým použitím počítače zkontrolována. Běžně se to proto řeší tak, že se celý počítač umístí do uzamykatelného boxu a pro uživatele je dostupná jen klávesnice, myš a obrazovka (tzv. kiosk mode). Takto zabezpečený počítač se nachází pod nepřetržitým kamerovým dohledem nebo je fyzicky hlídán pracovníkem ostrahy.

Odchycení hesla při přenosu po síti

V okamžiku, kdy máme počítač zabezpečen po HW i SW stránce, nesmíme zapomenout na to, že heslo může být též odchyceno při přenosu po síti, která již není pod naší správou. To znamená, že bychom neměli používat aplikace, které hesla přenášejí v otevřeném tvaru. Tedy žádné SMTP, POP, FTP, HTTP nebo TELNET. Opatření je jednoduché, heslo nebo rovnou celou komunikaci raději šifrovat.

Odchycení hesla při použití bezdrátové klávesnice

V poslední době se v zásadě používají dvě technologie. Ta momentálně používanější a také méně bezpečná pracuje na rádiovém frekvenčním pásmu 27MHz a má dosah až 2 metry. Tato vzdálenost se však jeví v případě použití této technologie v kanceláři, kdy jsou jednotlivé počítače umístěny zpravidla vedle sebe nebo proti sobě jako zcela postačující pro získání hesla, které se přenáší mezi klávesnicí a přijímačem umístěným v počítači. Podobná situace může nastat i v případě dvou sousedících bytů nebo kanceláří, kdy jsou počítače umístěny proti sobě a odděluje je jen stěna. Druhé, podstatně dražší a bezpečnější řešení je postaveno na technologii Bluetooth, které má sice oproti předchozí technologii větší dosah, ale komunikace mezi klávesnicí a počítačem je šifrována.

Uhádnutí nebo prolomení hesla

Nepoužívejte jednoduchá hesla, která mají nějaký vztah k vaší osobě nebo práci. Za bezpečné nelze považovat ani takové heslo, které je napsané pozpátku nebo obsahuje slova s jednoduchou příponou a předponou. Takové heslo může útočník snadno uhádnout nebo prolomit. Pokus o prolomení hesla může probíhat on-line, v takovém případě útočník hádá hesla proti autentizační autoritě nebo off-line, za předpokladu, že máme k dispozici hash hesla. Útok může být veden tzv. hrubou silou (brute-force attack), kdy zkoušíme postupně všechny možnosti nebo se může jednat o tzv. slovníkový útok (dictionary attack) , který spočívá ve vyzkoušení nejčastěji používaných hesel, až po všechna v daném jazyce běžně používaná slova (kvalitní slovník jich může obsahovat až několik set tisíc). Kromě toho se v těchto slovnících vyskytují i slova, která v běžných jazykových slovnících nejsou, např. názvy společností, výrobků, slova s gramatickými chybami apod. Posledním typem útoku je tzv. rainbow-attack, který je založen na kombinaci dvou předchozích způsobů, kdy se za použití slovníku vytvoří databázi hashů a ta je následně k útoku použita.

V některém z příštích dílů našeho seriálu o autentizaci si povíme, jak vytvořit bezpečné a přitom snadno zapamatovatelné heslo.

Related posts:

1. Autentizace: zapomenuté heslo a kontrolní otázka
2. Autentizace: Jak vytvořit bezpečné heslo?
3. Autentizace: zasuň token