MASARYKOVA UNIVERZITA
FAKULTA INFORMATIKY
IT bezpečnosť vo firme
Diplomová práca
Bc. Ľubomír Guniš
Brno, 2015
ii
Prehlásenie
Prehlasujem, ţe táto diplomová práca je mojím pôvodným autorským dielom, ktoré som
vypracoval samostatne. Všetky zdroje, pramene a literatúru, ktoré som pri vypracovaní
pouţíval alebo z nich čerpal, v práci riadne citujem s uvedením úplného odkazu na príslušný
zdroj.
Bc. Ľubomír Guniš
Vedúci práce: Ing. Leonard Walletzký, PhD.
iii
Poďakovanie
Rád by som poďakoval vedúcemu práce Ing. Leonardovi Walletzkému, PhD. za umoţnenie
vzniku, podnety a odbornú pomoc pri návrhu, tvorbe a realizácií. Ďalej správcovi siete
Súkromného liečebno – výchovného sanatória Igorovi Hulovi za ochotu a spoluprácu, svojej
rodine a všetkým, ktorí ma podporovali počas štúdia a písaní tejto práce.
iv
Zhrnutie
Práca sa zameriava na sformulovanie odporúčaní pre Súkromné liečebno – výchovné
sanatórium v Senci, ktoré jej pomôţu zvýšiť úroveň IT bezpečnosti. Práca vysvetľuje pojmy
a princípy, zaoberá sa politikou hesiel a moţnosťou prelomenia a testovania bezpečnosti.
V praktickej častí práce sme vypracovali sieťovú analýzu firmy a podieľali sa na vykonaní
penetračných testov, na základe ktorých sme navrhli odporúčania , preukázali ich platnosť
a zhodnotili ich výsledky a prínosy.
.
v
Kľúčové slová
Bezpečnosť, DoS a DDoS útoky, analýza rizík, penetračné testy, Súkromné liečebno –
výchovné sanatórium, sieťová analýza , bezpečnosť siete
1
Obsah
1 Úvod ........................................................................................................................................ 4
2 Informačná bezpečnosť ........................................................................................................ 5
2.1 Princípy IT bezpečnosti.................................................................................................. 5
2.2 Aktíva .............................................................................................................................. 6 2.2.1 Zraniteľnosť aktíva ................................................................................................................. 6
2.3 Útočník ............................................................................................................................ 6
2.4 Hrozby ............................................................................................................................. 7
2.5 Bezpečnostné poţiadavky ............................................................................................... 7
2.6 Bezpečnostná politika ..................................................................................................... 8
2.7 Ľudský faktor .................................................................................................................. 9 2.7.1 Techniky klamania uţívateľov .............................................................................................. 11 2.7.2 Vzdelávanie ........................................................................................................................... 12 2.7.3 Politika hesiel ........................................................................................................................ 13
2.8 Prelomenie hesiel .......................................................................................................... 14 2.8.1 Lámanie hesiel online ........................................................................................................... 15 2.8.2 Lámanie hesiel offline ........................................................................................................... 15 2.8.3 Dĺţka hesla ............................................................................................................................ 15 2.8.4 Mnoţina znakov (Keyspace) ................................................................................................. 15 2.8.5 Počet moţných variácií (Variation) ...................................................................................... 15 2.8.6 Rýchlosť lámania hesla (Speed)............................................................................................ 16 2.8.7 Pravidlo fifty – fifty (Probality) ............................................................................................ 16 2.8.8 Distribuované lámanie hesla (Distributed computing) ......................................................... 16 2.8.9 Smart bruce force attack ....................................................................................................... 16 2.8.10 Doba platnosti hesla (Time) .............................................................................................. 17 2.8.11 Vzorec pre dobu prelomenia hesla ................................................................................... 17
2.9 Zabezpečenie siete pomocou WEP a WPA/WPA2 ...................................................... 17 2.9.1 Wired Equipment Privacy ..................................................................................................... 17 2.9.2 WPA a WPA2 ....................................................................................................................... 19
2.10 DoS a DDoS útoky ........................................................................................................ 21 2.10.1 Metódy .............................................................................................................................. 22 2.10.2 Motivácia k útokom .......................................................................................................... 22 2.10.3 Prevencia pred DoS a DDoS............................................................................................. 23
3 Analýza rizík ........................................................................................................................ 25
3.1 Hodnotenie rizík metódou IPR...................................................................................... 26 3.1.1 Identifikácia rizík .................................................................................................................. 26 3.1.2 Klasifikácia rizík ................................................................................................................... 26 3.1.3 Potrebné zdroje ..................................................................................................................... 27
4 Penetračné testy ................................................................................................................... 28
2
4.1 Ciele penetračných testov ............................................................................................. 28
4.2 Oblasti pôsobenia .......................................................................................................... 29
4.3 Externé penetračné testy ............................................................................................... 30
4.4 Interné penetračné testy................................................................................................. 31
4.5 OWASP TOP 10 ........................................................................................................... 31
4.6 Voľba opatrení pre zachovanie a navýšenie úrovne bezpečnosti ................................. 33
5 Predstavenie firmy .............................................................................................................. 38
5.1 Sieťová analýza ............................................................................................................. 39 5.1.1 Backup server ........................................................................................................................ 44 5.1.2 Pobočka Chrastince ............................................................................................................... 45
6 Bezpečnosť siete v SLVS .................................................................................................... 46
6.1 Test bezpečnosti prístupových bodov ........................................................................... 47 6.1.1 Potrebné vybavenie ............................................................................................................... 47 6.1.2 Priebeh .................................................................................................................................. 49 6.1.3 Záver a odporúčania .............................................................................................................. 51
6.2 Účty v Active Directory ................................................................................................ 51 6.2.1 Potrebné vybavenie ............................................................................................................... 51 6.2.2 Priebeh .................................................................................................................................. 52 6.2.3 Záver a odporúčania .............................................................................................................. 53
6.3 Slabá politika hesiel ...................................................................................................... 54 6.3.1 Potrebné vybavenie ............................................................................................................... 54 6.3.2 Priebeh .................................................................................................................................. 54 6.3.3 Záver a odporúčanie .............................................................................................................. 55
6.4 Sieť a porty z vonku ...................................................................................................... 55 6.4.1 Potrebné vybavenie ............................................................................................................... 55 6.4.2 Priebeh .................................................................................................................................. 55 6.4.3 Záver a odporúčania .............................................................................................................. 56
6.5 Hľadanie exploitov ........................................................................................................ 57 6.5.1 Potrebné vybavenie ............................................................................................................... 57 6.5.2 Priebeh .................................................................................................................................. 57 6.5.3 Záver a odporúčania .............................................................................................................. 58
7 Záver .................................................................................................................................... 60
Bibliografia: ................................................................................................................................. 61
A Obsah archívu ..................................................................................................................... 64
B Prílohy .................................................................................................................................. 65
3
Zoznam obrázkov
Obr. 2.1 Strategic Security Survey (Prevzaté z [17]) 10
Obr. 2.2 Ukážka podvodného e-mailu z 26.11. 2013 (Prevzaté z [23]) 12
Obr. 2.3 Pravdepodobnosť nájdenia kľúča podľa počtu paketov (Prevzaté z [14]) 14
Obr. 4.1: Prehľad vlastností a rozdielov vykonávaných penetračných testov a auditov
(Prevzaté z [10]) 33
Obr. 4.2 Proces výberu vhodných opatrení 34
Obr. 4.3 Prehľad vlastností a rozdielov vykonávaných penetračných testov a auditov
(Prevzaté z [10]) 34
Obr. 4.4 Náklady pre navýšenie bezpečnosti na danú úroveň 35
Obr. 4.5 Proces výberu vhodných opatrení 37
Obr. 5.1 Sieťová mapa SLVS 40
Obr. 6.1 Zobrazenie širokej škály nástrojov v špeciálnom nástroji Kali Linux. 48
Obr. 6.2 Príklad monitorovacej obrazovky (z bezpečnostných dôvodov je použité
monitorovanie z kaviarne a nie zo skúmanej firmy) 50
Obr. 6.3 Skript zisťujúci účty s expirovanými heslami 52
Obr. 6.4 Skript zisťujúci posledné prihlásenie jednotlivých účtov 53
Obr. 6.5 Nastavená politika hesiel 54
Obr. 6.6 Príklad skenovania portov pomocou nástroja nmap 56
Obr. 6.7 Aktivované prostredie pre exploit, čaká na pokyn testovania 58
4
1 Úvod
V dnešnom svete, v ktorom sme svedkami neustále sa rozvíjajúcich informačných a
komunikačných technológií má IT bezpečnosť stále dôleţitejšie postavenie. Pre firmy je dôleţité
sledovať tento vývoj, čím podporujú svoje vlastné aktivity a procesy. Stretávame sa však
s úplným nepochopením tohto trendu a s tým je spojené zanedbanie bezpečnosti, ktoré môţe
viesť k váţnym následkom cez naplnené hrozby.
Rôzne firmy si neuvedomujú túto skutočnosť a stále volia pasívny prístup k tejto
skutočnosti a často riešia bezpečnosť, aţ keď je narušená. Existujú aj iné dôvody, prečo sa firmy
bezpečnosti nevenujú, napr. malé firmy nemusia svoje údaje pokladať za potenciálny cieľ
útokov.
Predmetom tejto diplomovej práce je sformulovanie odporúčaní pre Súkromné liečebno –
výchovné sanatórium v Senci, pre ktoré je dôleţité dbať na bezpečnosť z dôvodu práce
s osobnými a lekárskymi údajmi a dodrţania zákona o ochrane osobných údajov.
Vrátane úvodu a záveru je diplomová práca rozdelená na sedem kapitol a ďalšie
podkapitoly. Prvá zo zvyšných kapitol sa venuje opisu základných pojmov a princípom IT
bezpečnosti pre lepšie pochopenie tejto témy. Jej podkapitoly vysvetľujú spôsoby prelomenia
hesiel a zabezpečenie siete. Ďalšia kapitola sa venuje opisu moţnosti vykonania analýzy rizík
a posledná kapitola teoretickej časti vysvetľuje moţnosti vykonania penetračných testov, kde
okrem teoretického opisu nájdeme grafy, ktoré znázorňujú ceny pre navýšenie bezpečnosti, ktoré
boli konzultované s firmou Webiky a tieţ diagram výberu vhodných opatrení.
Nasledujúce dve kapitoly sa venujú praktickej časti práce. Piata kapitola je venovaná
predstaveniu Súkromno liečebno – výchovného sanatória, vrátane jeho pobočky v Chrastinciach
a vypracovaniu sieťovej analýzy firmy. V poslednej kapitole praktickej časti je opísané
vykonanie penetračných testov v sanatóriu, na základe ktorých sú vypracované závery
a odporúčania pre navýšenie bezpečnosti.
Záver opisuje priebeh práce a hodnotí jej výsledky a prínosy pre Súkromné liečebno –
výchovné sanatórium v Senci.
5
2 Informačná bezpečnosť
Informačná bezpečnosť sa v zmysle informatizácie definuje ako „schopnosť siete alebo
informačného systému ako celku odolať s určitou úrovňou spoľahlivosti náhodným udalostiam,
alebo nezákonnému, alebo zákernému konaniu, ktoré ohrozuje dostupnosť, pravosť, integritu a
dôvernosť uchovávaných alebo prenášaných údajov a súvisiacich služieb poskytovaných alebo
prístupných prostredníctvom týchto sietí a systémov.“[1]
Podľa [16] IT bezpečnosťou sa rozumie proces dosahujeme integritu, dostupnosť, evidenciu,
autenticitu, nepopierateľnosť, spoľahlivosti informácií a sluţieb na úrovni splnujúcej
poţiadavky.
Jednoducho povedané – informačná bezpečnosť sa zaoberá ochranou informačno-
komunikačných technológií.
2.1 Princípy IT bezpečnosti
Podľa [2] informačné technológie spracúvajú stále viac informácií s veľkými hodnotami.
Spracovaním informácií v rámci informačných technológií rozumieme zachovanie, prenos,
vyhodnotenie a prezentovanie informácií.
Typy informácií s nezanedbateľnou hodnotou:
• zdravotné záznamy
• daňové priznania
• bankové účty
• elektronické platobné nástroje
• výsledky výskumov a vývojov
• obchodné zámery
Ochrana pri vyššie spomenutých typoch musí spĺňať:
• prístup smú mať iba oprávnené osoby
• spracúvať sa musia skutočné informácie
• moţnosť sledovať históriu – kto ich vytvoril, upravil a odstránil
• nesmú sa nekontrolovaným spôsobom vyradiť
6
• musia byť dostupné vţdy, keď je to treba
2.2 Aktíva
„Aktívum je všetko, čo má pre jednotlivca alebo organizáciu hodnotu, ktorá môže byť zmenšená
pôsobením určitej hrozby.“[3] Týmto rozumieme, že charakteristikou aktíva je jeho vlastná
hodnota. Hodnota je založená na objektívnom vyjadrení obecne vnímanej ceny a tiež na
subjektívnom ocenení dôležitosti aktíva, alebo tiež na kombinácii oboch prístupov. Hodnota
aktíva záleží aj na na uhle pohľadu hodnotenia.
Pri hodnotení aktíva berieme na vedomie napr. nákupné a vývojové náklady, dôleţitosť
aktíva pre chod informačného systému, cenu informácií, náklady v prípade škôd na aktívum a
ďalšie špecifické hľadiská.
2.2.1 Zraniteľnosť aktíva
Podľa [3] zraniteľnosťou chápeme citlivosť na pôsobenie hrozby. Kaţdé aktívum má zraniteľné
miesto alebo môţe byť vyuţitá slabina aktíva na páchanie škôd. Zraniteľné miesta môţu byť:
• fyzické – prvok je fyzicky umiestnený v prostredí, kde môţe vzniknúť poškodenie,
zničenie alebo strata
• prírodné – prvok sa nemôţe vyrovnať s niektorými faktormi, napr. prírodné katastrofy
• technologické – prvok konštrukčnou charakteristikou napr. nezaistí plynulú prevádzku
• fyzikálny – fyzikálne princípy prvku môţu byť zneuţité, napr. elektromagnetické
vyţarovanie komponentov ako monitory apod.
• ľudské – prvok ohrozujú omyly a nevedomostí ľudí
• Úroveň zraniteľnosti sa hodnotí podľa citlivosti aktíva – jeho náchylnosť k poškodeniu.
2.3 Útočník
„Security attack is any action that compromises the security of information owned by an
organization.“1 [15]
1 „Bezpečnostný útok je kaţdá akcia, ktorá ohrozuje bezpečnosť informácií vo vlastníctve organizácie“
Stallings, W.: Cryptography and Network Security: Pearson Education, Inc.,2006, s.12, ISBN 0-13-187316-4
7
Ďalej podľa [3] útočník je osoba vo vnútri organizácie, poprípade osoba mimo
organizáciu. Útok má jasný úmysel, ale tieţ sa môţe jednať o neúmyselný útok.
Pouţívame niekoľko označení pre označenie osôb, ktoré páchajú úmyselné útoky:
• hacker – útokom získava prestíţ
• vyzvedač – útokom získava informácie na politické účely
• terorista – útokmi chce vyvolať strach a paniku
• kriminálnik – útokmi sleduje finančný zisk
• vandal – útokmi chce poškodiť systémy
• cracker – často programátor, snaţí sa preniknúť do systémov za účelom krádeţe, orientuje
sa na krádeţ duševného vlastníctva – systémov s autorskými právami
• phracker – útokom získava bezplatný prístup k telefónnym sluţbám
• phreaker – útokmi získava telekomunikačné informácie a nimi získava prístup k ďalším
informáciám
Zdroj: [3]
2.4 Hrozby
„Hrozby a zraniteľné miesta teda zvyšujú riziko („risk“) bezpečnostného incidentu. Riziko
vyjadruje mieru ohrozenia aktíva, mieru nebezpečia, že sa uplatní hrozba a dôjde k nežiadúcemu
výsledku, vedúcemu ku vzniku škody. Veľkosť rizika je vyjadrená jeho úrovňou, pričom úroveň
rizika je určená hodnotou aktíva, zraniteľnosti aktíva a úroveň hrozby.“[3]
Podľa [3] u hrozieb vyberáme také protiopatrenia, ktorých náklady sa musia primerane
rovnať hodnote chránených aktív alebo hodnote škôd zavinených hrozbou. V tomto prípade si
stanovíme referenčnú úroveň rizika, pod ktorou je riziko zvyškové a pre systém prijateľné, lebo
nie je nutné podnikať ďalšie protiopatrenia k zníţeniu.
2.5 Bezpečnostné požiadavky
Pri stanovení bezpečnostných poţiadaviek vychádzame z celej rady štandardov, noriem, zákonov
a nadriadení. Formulujeme ich nasledovne:
8
• zachovanie dôvernosti – prístup k aktívam majú autorizované subjekty – osoba, proces
alebo zariadenie s oprávnením k činnosti v informačnom systéme
• zachovanie dostupnosti – autorizované subjekty môţu na vyţiadanie vykonať činnosť a
prístup k činnostiam im nie je odobratý
• zachovanie integrity – aktívum nemôţe meniť neautorizovaný subjekt, nepovolená
činnosť ani nekompletné prevedenie zmien
Ďalšie vlastnosti systému ovplyvňujúce bezpečnosť:
• Zaistenie preukázateľnosti – je moţné vysledovať akciu, ktorá prebehla v systéme aj s
pôvodcom akcie
• Zaistenie nepopierateľnosti – subjekt sa podieľa svojou účasťou na prebehnutí akcie
• Zachovanie spoľahlivosti – chovanie systému je konzistentné s dokumentáciou systému
Zdroj: [3]
2.6 Bezpečnostná politika
„Bezpečnostná politika je súbor opatrení zahrňujúci formálny a normatívny rámec
bezpečnostných informácií vo firme či inštitúcii. Súčasne je popisom postupu implementácie
technicko-organizačných opatrení do dennej praxe firmy či inštitúcie.“[4]
Štúdium informačnej bezpečnosti je prvý krok k budovaniu bezpečnostnej politiky. Zistíme
ním skutočný stav informačnej bezpečnosti v danej organizácii. Riadenie bezpečnosti
rozdeľujeme na dve časti:
• Podľa [4] chápeme aj ako “povedomie všetkých zamestnancov o bezpečnosti
informačných systémov.“ Pre fungovanie bezpečnostných opatrení dodrţujeme
pravidlá pri práci so systémami:
o Uţívatelia si navzájom nezadeľujú prístupové mená, heslá ani kódy. Tieto
informácie sa nezapisujú ani na voľné prístupné miesta.
9
o Pri voľbe hesla a kódu postupujeme tak, aby si ich nikto nemohol odvodiť.
Nevhodné sú vlastné mená a priezviská, mená detí, manţela, manţelky,
dátumy narodenia, sviatky a rodné čísla.
o Treba dodrţiavať pravidlá týkajúce sa zakázaných typov príloh, sledovania
zakázaných aplikácií a samospasiteľných súborov, zakázaných a rizikových
stránok.
o Firewall zabezpečuje kontrolný bod, ktorý definuje pravidlá pre komunikáciu
medzi sieťami, ktoré medzi sebou oddeľuje. Proxyserver je prostredník medzi
klientom a cieľovým serverom, oddeľuje lokálnu počítačovú sieť od internetu.
Správne nastavenie firewallu a pravidiel proxyserveru môţe obmedziť
rizikové chovanie uţívateľov, ale nevylúči ich nikdy. Preto je dôleţité
dodrţiavanie pravidiel uţívateľmi.
• Výber a implementácia vhodných technických opatrení:
o Napr. zavedenie prístupových kariet, obmedzenie prístupu uţívateľov k dátam
podľa ich potreby a podľa dôleţitosti dát, nastavenie práv uţívateľov, ktorí
komunikujú na internete, posilnenie protivírovej kontroly pre komunikáciu
von aj dovnútra z vnútornej siete a pod.
• Zdroj: [4]
2.7 Ľudský faktor
„Pri posudzovaní bezpečnosti je treba si uvedomiť, že každý systém je len taký silný, ako silný je
jeho najslabší článok. V prípade zabezpečenia informačných systémov je najslabším článkom
jednoznačne užívateľ.“[4]
Ľudský faktor je najslabší článok bezpečnostných systémov, hlavne pre neuvedomelé
správanie. Zamestnanci sú ohrozovaní napr. infikovanými e-mailom a USB kľúčmi, pripájajú sa
na podnikový server cez verejné WIFI, pouţívajú rovnaké heslá, ako na svojich účtoch na
sociálnych sieťach. Firmám nepomôţu ani najmodernejšie technológie a aplikácie proti útokom
na ich dáta. Vzhľadom na to, ţe hackeri sú stále o krok vpred, je pre firmy dôleţité, aby mal
uţívateľ prezieravé správanie. Prehľad ďalších opatrení vidíme na obrázku niţšie:
10
Obr. 2.1 Strategic Security Survey (Prevzaté z [17])
Dark Reading povaţuje za najväčšiu hrozbu infikované e-maily, ktoré je náročné odlíšiť
od skutočných. Napr. konverzačný phising môţe vyzerať, ţe odosielateľ potenciálnu obeť pozná.
Zamestnanci vyuţívajúci sociálne siete čelia o 50% vyššej šanci, ţe budú obeťami tohto útoku –
útočníci cez tieto siete zistia o obeti súkromné informácie, podľa ktorých vytvoria e-maily, ktoré
vyzerajú ako od ich známych. E-maily často obsahujú infikované prílohy s formátmi RTF, XLS,
ZIP, RAR alebo PDF.
Zdroj: [17]
11
2.7.1 Techniky klamania užívateľov
• Phishing:
Podvrhnuté weby a správy. Útočník sa snaţí získať citlivé osobné údaje – heslá, číslo
platobnej karty a pod. Jeden z trikov napr. je, keď sa webová stránka tvári ako pravá.
• Pharming
Prepracovanejší ako Phishing. Jedná sa o podvrh prekladu mena na IP adresu.
• Útoky cez sociálne inžinierstvo
Presvedčiť človeka, ţe sme niekto iný, aby nám vyzradil informácie.
Podľa obrázka môţeme vidieť úkaţku podvodného mailu z dňa 26.11. 2013, ktorého
obeťou sa stali klienti Českej sporiteľne:
12
Obr. 2.2 Ukážka podvodného e-mailu z 26.11. 2013 (Prevzaté z [23])
2.7.2 Vzdelávanie
Podľa [17 ] interné vzdelávanie zamestnancov napomáha zniţovať bezpečnostné riziko. Softvér
neochráni firmu, ak ho neovládajú dostatočne kvalifikovaný zamestnanci. Existujú spôsoby, keď
sa zamestnancom rozpošlú fingované e-maily, aby videli, aké útoky existujú a tieţ pomáha
13
interná komunikácia zamestnancov, kde vedú diskusie o podozrivých správach. Efektívne je
vykonávať tieto praktiky postupne, dlhodobo a v malých krokoch. Firma by tieţ nemala zabúdať
na politiku hesiel – zmena kaţdé 3 mesiace, obmedzenie často pouţívaných fráz...
2.7.3 Politika hesiel
Podľa [21] heslá predstavujú prvú líniu ochrany účtov uţívateľov a ich práv. Pri ich vytváraní je
nutné ošetriť ich bezpečnostnou politikou pre ich prehľadné a jasné pravidlá. Zároveň vytvára
štandard pre vytváranie silných hesiel, vrátane ochrany a čitateľnosti. Organizácia SANS
Institute 2 vydáva odporučenia pre vypracovanie bezpečnostnej politiky vo vzťahom k heslám.
Medzi základné odporúčania patria:
Meniť heslo aspoň raz za 3 mesiace
Zálohované heslá v globálnej databáze pre prístup do systému aj počas
neprítomnosti majiteľov účtov – práceneschopnosť, ukončenie pracovného pomeru
atď.
Slabé heslá predstavujú menej ako 15 znakov. Neodporúčajú sa slovníkové slová a ani
logická postupnosť čísiel a znakov. Silné heslá musia obsahovať veľké a zároveň aj malé
písmená a je odporúčané, aby ich súčasťou boli aj čísla s punkčnými znamienkami. Predstavujú
viac ako 15 znakov. Aby sme zabránili prenášaniu hesiel, musíme mať viac hesiel pre rôzne
prostredia. Tieţ je dôleţité aby sme ich nikomu neprezrádzali, ci uţ ústne, telefonicky,
elektronicky a ani vo forme ţartu. To platí aj pre utajenie formátu hesla. Zakázané sú rôzne
aplikácie pre pamätanie hesiel, vracanie sa k starému heslu (z dôvodu striedania dvoch hesiel)
a ukladanie si ich do elektronických zariadení. Pri kompromitácii hesiel musí mať uţívateľ
moţnosť informovať zodpovednú autoritu, aby vykonala potrebné úkony. Táto autorita musí
mať moţnosť kontrolovať heslá, či spĺňajú poţiadavky. Kontrola hesla môţe prebiehať:
Automaticky – odmietnutie hesla systémom ak nespĺňa pravidlá bezpečnostnej
politiky
Penetračne – cielené útoky na aby sa skvalitnil systém
V bezpečnostnej politike netreba zabúdať na moţné sankcie v prípade jej porušenia.
2 SysAdmin, Audit, Network, Security Institute
14
10 najpouţívanejších hesiel podľa [24]:
1. Password
2. 123456
3 12345678
4 1234
5 Qwerty
6 12345
7 dragon
8 *****3
9 Baseball
10 Football
2.8 Prelomenie hesiel
Prelomenie hesiel prebieha:
• online proti autorizačnej autorite
• offline – ak je k dispozícii hash hesla
Útočník pri lámaní hesiel nepredpokladá aké dlhé a komplexné heslo je a to ani v prípade,
ţe sa v danom systéme zaregistruje – čiţe okrem svojho hesla ovláda hash aj algoritmu a soli.
Útočník vychádza z poţiadaviek systému:
• minimálna a maximálna dĺţka hesla
• mnoţina povolených znakov
Heslo je moţné uhádnuť cez password guessig4 , dictionary attack
5 a pouţiť brute force attack
6 .
Zdroj: [6]
3 Cenzurované z dôvodu vulgárneho vyjadrenia 4 Uhádnutie hesla 5 Slovníkový útok – slová, ktoré obsahuje slovník 6 Útok hrubou silou
15
2.8.1 Lámanie hesiel online
Útok proti autentizačnej autorite, môţe byť ľahko odhalený, ak prebieha monitoring alebo môţe
dôjsť k uzamknutiu hesla po niekoľkých neúspešných pokusoch. Účinné je aj dlhšie
vyhodnocovanie hesla po viacerých pokusoch a zobrazovane Captchu. [6]
2.8.2 Lámanie hesiel offline
Prebieha ak máme k dispozícii hash hesla. Nie je moţné ho odhaliť, lebo prebieha na inom
počítači a nemôţe dôjsť k uzamknutiu účtu, lebo sa nevyuţívajú sluţby autentizačnej autority
systému. Na internete sú rôzne programy, ktoré slúţia na prelomenie hesiel, napr.: John The
Ripper, Cain&Abel, LCP alebo ophcrack. [6]
2.8.3 Dĺžka hesla
Útočníkovi môţe pomôcť, keď počuje koľkokrát boli stlačené klávesy pri zadávaní hesla. Tieţ
môţe mať účet v systéme a tak vie, aké poţiadavky mal systém pri stanovení hesla. [6]
2.8.4 Množina znakov (Keyspace)
Medzi mnoţiny znakov, ktoré môţeme vyuţiť pri zadávaní hesla patrí:
• 10 číslic - 0123456789
• 26 malých písmen - abcdefghijklmnopqrstuvwxyz
• 26 veľkých písmen - ABCDEFGHIJKLMNOPQRSTUVWXYZ
• 33 špeciálnych symbolov - !”#$%&’()*+,-./:;<=>?@[\]^_`{|}~
• 33 netlačitelných kódov - pozície 0 aţ 31 a 127
• 128 znakov z rozšírené sady - pozície 128 aţ 255“
Zdroj: [6]
2.8.5 Počet možných variácií (Variation)
Počet variácií, ktoré útočník môţe vyskúšať je dané exponenciálnou funkciou V = Keyspace
Length, kde:
• V = počet moţných variácií
16
• Length = dĺţka hesla
• Keyspace = počet znakov, ktoré môţe byť pouţité
Zdroj: [6]
2.8.6 Rýchlosť lámania hesla (Speed)
Touto premennou chápeme počet hesiel za sekundu, ktoré systém vyskúša, čiţe vypočítanie
pribliţnej doby, za ktorú sa dá prelomiť heslo. V offline útokoch je dôleţité, akou výpočtovou
silou útočník disponuje. V online útokoch záleţí počet hesiel vyskúšaných za jednotku času od
architektúry systému.
Zdroj: [6]
2.8.7 Pravidlo fifty – fifty (Probality)
Podľa [6] nie je potrebné skúšať všetky moţné variácie, pretoţe heslo býva prelomené za kratšiu
dobu ako sa očakáva. Je výhodné pri výpočte prelomenia hesla deliť 2, pretoţe existuje 50%
pravdepodobnosť, ţe heslo bude v prvej alebo v druhej polovici moţných variácií.
2.8.8 Distribuované lámanie hesla (Distributed computing)
Útočník môţe vyuţiť silu ostatných počítačov v sieti a tým skrátiť dobu prelomenia hesla.
Delíme teda N = počet počítačov, ktoré budú pouţité.
Zdroj: [6]
2.8.9 Smart bruce force attack
Podľa [6] útočník vychádza zo znalosti daného jazyka. „Algoritmus, ktorý generuje všetky možné
variácie optimalizovať tak, že využije skutočnosti, že frekvencie výskytu určitých písmen po
niektorých znakoch je vyšší než po iných a teda určité variácie znakov bude skúšať skôr a iné
bude skúšať najprv vtedy, až keď bude neúspešný.“[6]
Týmto zníţime počet variácií, ktoré treba na prelomenie hesla. Nie je pravdepodobné, ţe
by napr. 2 písmená po sebe boli samohlásky alebo ţeby prvé písmeno bol špeciálny znak alebo
číslo. [6]
17
2.8.10 Doba platnosti hesla (Time)
Čas k prelomeniu hesla musí byť dlhší ako je doba platnosti hesla, preto by si mal užívateľ
zmeniť heslo skôr ako bude prelomené. „Ak by útočník dĺžku hesla nepoznal, bola by dĺžka
trvania útoku daná súčtom času potrebného k vyskúšaniu všetkých možných variácií pre 1, 2 až
x-znakové heslo.“[6] Týmto predĺţime dobu prelomenia hesla.
2.8.11 Vzorec pre dobu prelomenia hesla
Podľa[6] pre dĺţku hesla, mnoţinu pouţitých znakov, rýchlosť, počet počítačov pouţitých k
lámaniu hesla a výpočet doby potrebnej k jeho prelomeniu môţme pouţiť vzorec:
Time=Keyspace^Length/Speed/N/2
Ak nepoznáme dĺţku hesla:
Time = Keyspace^Lengthmin/Speed/N + Keyspace^Lengthmin+1/Speed/N + … +
Keyspace^Lengthmax-1/Speed/N + Keyspace^Lengthmax/Speed/N/2“[6]
2.9 Zabezpečenie siete pomocou WEP a WPA/WPA2
2.9.1 Wired Equipment Privacy7
„WEP, je pôvodné zabezpečenie siete WiFi. Súčasťou IEEE 802.11 sa stal v roku 1992. WEP
používa symetrickú streamovanú šifru RC4 pre utajenie informácií a pre overenie ich správnosti
používa metódu CRC-32 kontrolného súčtu.“[5]
64bitový WEP vyuţíva 40bitový kľúč. K nemu je pripojený 24bitový inicializačný vektor-
čiţe dohromady 64bitový RC48 kľúč. 128 bitový WEP zas vytvára 104 bitový kľúč so 24bitový
inicializačný vektor . Prevaţne sa vyuţíva 128bitový - 256bitový WEP( čím dlhší -tým
bezpečnejší). Z dôvodu zastarania WEP sa neodporúča mať ho nastavené ako hlavné. [5]
7 Ďalej len WEP 8 Šifruje odoslanú správu podľa kľúča – kľúč potom správu v cieli dešifruje
18
V roku 1999 sa prvý krát začal pouţívať WEP. V roku 2001 Scott Fluhrer, Itsik Mantin, a
Adi Shamir dali do pozornosti útok proti RC4, ktorý získal 104-bitového kľúča z WEP po
zachytení 4 aţ 6 milíonov paketov.
V roku 2004 bol rovnaký útok zlepšený na potrebných 500 000 aţ 2 milióny paketov.
Útok bol síce voči WEP účinný, ukázal sa ako neefektívny pre siete s nízkou prevádzkou kvôli
časovej náročnosti.
Zdroj: [14]
„V roku 2005 Andreas Klein zverejnil novú zraniteľnosť RC4, ktorú efektívne použili Erik
Tews, Andrei Pychkine a Ralf-Philipp Weinmann na útok vyžadujúci typicky len 40 000 až 85
000 paketov.“[14]
V apríli 2007 autori zverejneného útoku na WEP zverejnili informácie, podľa ktorých je
104 bitové WEP moţné prelomiť uţ za niekoľko minút pri ľubovoľnom kľúči.
Obr. 2.3 Pravdepodobnosť nájdenia kľúča podľa počtu paketov (Prevzaté z [14])
19
2.9.2 WPA a WPA2
Kvôli prelomeniu WEP vzniklo IEEE 802.11i , prijaté v roku 2004. „Definuje Robust Security
Network (RSN) s odporúčaným TKIP (Temporary Key Integrity Protocol, protokol s integritou
dočasných kľúčov) a CCMP (CCM, Counter-Mode/Cipher Block Chaining-Message
Authentication Code, počítadlový mód s autentifikáciou správy reťazením blokov šifier,
publikovaný ako NIST SP800-38C“.[13]
WPA autentifikuje a mení kľúče cez IEEE 802.1x, šifruje a zabezpečuje integritu správy
cez TKIP a CCMP.
Hierarchia kľúčov:
• Pairwise Master Key (PMK) – hlavný párový kľúč, jeho poznanie sa dokazuje pri
autentifikácii pomocou 4-cestného EAPOL (802.1x)9
• Pairwise Transient Key (PTK) – prechodný párový kľúč, kľúč derivovaný z PMK a hodnôt
Nonce pouţitých pri autentifikácii, slúţi na generovanie kľúčov pre šifrovanie a autentifikáciu
• Group Transient Key (GTK) – prechodný skupinový kľúč, slúţi pre stanice na dešifrovanie
broadcast komunikácie
• EAPOL-Key Encryption Key (KEK) a EAPOL-Key Confirmation Key (KCK) – kľúč na
šifrovanie kľúča a kľúč na potvrdzovanie kľúča
• Temporal Key (TK) – dočasný kľúč pre šifrovanie a zabezpečenie integrity jedného dátového
rámca
Ak je to moţné, odporúča sa pouţívanie WPA2 – CCMP.[13]
9 Protokol, ktorý zabezpečuje prístup do počítačovej siete
20
Nasledujúce tabuľky nám demonštrujú, za aký čas môţu byť prelomené 8 – 20 znakové
heslá pri 300 hesiel za sekundu, ktoré systém vyskúša pri online útokoch:
Passwords per one second:
300
Keyspace
D L CI+D
Password length
10 26 36
8 4 days 22 years 298 years
9 42 days 596 years 11033 years
10 1 years 15517 years 397486 years
11 12 years 403470 years 14309809 years
12 117 years 10490245 years 515153431 years
13 1174 years 272746383 years 18545523821 years
14 11744 years 7091405979 years 667638857837 years
15 117444 years 184376555468 years 24034998882437 years
16 1174437 years 4793790442182 years 865259959768028 years
17 11744367 years 124638551496760 years 31149358551649300 years
18 117443674 years 3240602338915790 years
1121376907859380000 years
19 1174436740
years 84255660811810400 years
40369568682937500000 years
20 11744367401
years 2190647181107070000
years 1,45330447258575E+21
years
Keyspace
LC+UC LC+UC+D LC+UC+D+SCH
Password length
52 62 95
8 5651 years 23078 years 701231 years
9 299485 years 1453939 years 67318156 years
10 15578859 years 90167300 years 6395926088 years
11 810106331 years 5590395683 years 607613679636 years
12 42125534888 years 346604555415 years 57723300266673 years
13 2190527819820 years 21489482458835 years 5483713526035160 years
14 113907446636286 years 1332347912470830 years 520952784974042000 years
21
15 5923187225092510
years 82605570573214800 years
49490514572534600000 years
16 308005735704816000
years 5121545375539340000
years 4,70159888439079E+21
years
17 16016298256650500000
years 3,17535813283439E+20
years 4,46651894017125E+23
years
18 8,32847509345823E+20
years 1,96872204235732E+22
years 4,24319299316269E+25
years
19 4,33080704859828E+22
years 1,22060766626154E+24
years 4,03103334350456E+27
years
20 2,25201966527111E+24
years 7,56776753082155E+25
years 3,82948167632933E+29
years
Legenda
D 10 číslic: 0123456789
LC 26 malých písmen: abcdefghijklmnopqrstuvwxyz
UC 26 velkých písmen: ABCDEFGHIJKLMNOPQRSTUVWXYZ
SCH 33 speciálních symbolů: !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~
Veľa podobných kalkulátorov delí výsledný čas dvoma, lebo je pravdepodobné, ţe heslo sa nájde
do polovice pokusov. Tabuľky vyššie poukazujú na presný potrebný čas, kedy sa heslo
pozostávajúce z danej znakovej sady prelomí so 100%-nou pravdepodobnosťou.
2.10 DoS a DDoS útoky
DoS patria k najpríjemnejším veciam, ktoré poznáme v rámci IT bezpečnosti. Ich podstatou je
spraviť oprávneným uţívateľom nedostupné zdroje.
Útok máva dve formy:
• agresor prinúti počítač k resetu alebo k spotrebovaniu zdrojov tak, aby nemohol
poskytovať svoje sluţby
• obsadí komunikačné médium medzi uţívateľom a obeťou aby medzi nimi nebola
odpovedajúca väzba
Podľa [7] príkladom môţe byť, keď útočník chce obeti vyradiť e-mailovú schránku poslaním
väčšieho objemu mailov ako je schopná prijať. Keď sa takýto útok nepodarí zastaviť, obeť je
odsúdená na zaloţenie novej schránky. Na tomto príklade môţeme vidieť, aké sú tieto útoky
nebezpečné napriek tomu, aké sú jednoduché a útočník sa schránky ani nedotkol.
22
2.10.1 Metódy
Poznáme štyri spôsoby útokov:
• obsadenie prenosovej kapacity – účinná a jednoduchá metóda ako zamedziť prístup k
sluţbe. Útočník vytvorí také zaťaţenie stránky, ktoré zamedzí prístup ostatným uţívateľom
– môţe to vykonať, ak má k dispozícii silnejšiu linku, alebo môţe vyuţiť viac slabších
liniek, čo je náročnejšie na znalosť a koordináciu.
• privlastnenie systémových zdrojov – spotreba limitovaných zdrojov obete – procesorový
čas, pamäť serveru či voľné miesto na disku. Takto útočník získa podstatnú časť
systémových zdrojov, takţe uţívateľovi zostane zanedbateľná kapacita
• zneuţitie chýb v programe – známe alebo novoobjavené. Kvôli chybe program nedokáţe
reagovať na netradičnú situáciu a dochádza k zrúteniu
• napadnutie DNS a smerovanie paketov – na DNS serveroch dôjde k zmene záznamu IP
adries v prospech útočníka tak, ţe prevádzka serveru smeruje do „slepej ulice“. Útočník nič
nezíska, ale obeť utrpí škodu.
Niekedy sa uvádza ako DoS útok na DNS servery, ktorého výsledkom má byť strata
internetovej a e-mailovej prevádzky.
Špeciálnym typom DoS útoku sú distributed DoS – DDoS, ktorý je vedený z rôznych
smerov, preto je potrebná veľká znalosť a schopnosť koordinovať potrebné nástroje. [7]
2.10.2 Motivácia k útokom
• Zisk – poškodenie konkurenčnej spoločnosti
• Spoločenský kredit – súťaţ v určitej komunite alebo dokázanie si, ţe útočník je toho
schopný
• Odplata
23
• Demonštrácia – napr. útoky na vládne a stranícke systémy
• Kyber terorizmus – útok na kritické systémy štátu
• Obchod s anti-DoS produktmi – útočník napadne systém spoločnosti a potom sa im
sám ozve s riešeniami
• Skrytý sekundárny útok – zamaskovanie iného útoku
Zdroj: [8]
2.10.3 Prevencia pred DoS a DDoS
Na obmedzenie týchto útokov musíme implementovať komplexný súbor opatrení:
• kontrola inštalácie dostupných bezpečnostných prvkov
• pouţívanie najnovších programov a systémov, ktoré majú ochranu proti určitým
typom útokov
• nastavenie routeru, aby 1. prichádzajúci paket z IP adresy nebol vpustený ďalej –
pomáha hlavne u DDoS
• filtrovať na firewalle UDP poţiadavky – neodporúča sa zakázať všetky UDP z
dôvodu odmietnutia legálnych aplikácií, stačí zakázať prístup UDP sluţieb z internetu
• vypnúť nepotrebné sluţby
• znemoţniť zápis na disk
• investovať do záloţných zdrojov
• pravidelné zálohovanie dát
• pripraviť krízový plán pre prípadný útok, kde nebude chýbať kontakt na
poskytovateľa pripojenia
Zdroj: [8]
Vzhľadom na to, ţe sa štúdie k týmto útokom časom menia, je dôleţité sledovať aktuálne
hrozby, ktoré firmám hrozia. Firmy sú však neochotné investovať do vlastnej bezpečnosti z
dôvodu vynakladania finančných prostriedkov a často ju riešia, aţ keď ich niekto napadne.
V prípade, ţe firma nemá vlastných interných zamestnancov, ktorí by sa venovali tejto
problematike, stojí za zváţenie spolupráca s externými poradcami. Takýto poradcovia jej
pomôţu:
24
orientovať sa v problematike DoS a DDoS útokov
majú informácie o nových útokoch, ktoré sa objavujú
vedia odporučiť základné opatrenia
zrátajú, koľko stojí výdavok na ochranu – firma môţe zaznamenať malý útok
a neoplatí sa jej aplikovať ochranu, ak by bola drahšia ako samotný útok
vyhodnotiť, koľko stojí naplnenie hrozby
odporučiť opatrenia, ktoré sa dajú hneď aplikovať
nájsť kompromis medzi lacnou a drahou ochranou – v priebehu roka, moţe
firma zaznamenať váţny a menej váţny útok, ale nasledujúce roky útokom čeliť
nemusí.
Tieţ sa orientujú v novinkách IT bezpečnosti a vedia ju upozorniť na váţny fakt, ţe
zaplatenie útokov na ich sluţby konkurenčnou spoločnosťou je lačnejšie ako samotná ochrana.
Dôleţitý je aj výber providera – spoľahlivý provider dokáţe uniesť väčšie útoky a vypnúť
sluţby podľa potreby, napr. vypne napadnuté sluţby v zahraničí, ale na Slovensku ich nechá
zapnuté.
25
3 Analýza rizík
„K hodnoteniu rizikového potenciálu procesov a faktorov slúži kontrolný zoznam a klasifikačné
škály. Kontrolný zoznam poskytuje návod pre systematické prechádzanie podnikovými procesmi
s cieľom nachádzať potencionálne príčiny rôznych problémov – nedostatky, slabiny, skryté
riziká. Klasifikačné škály slúžia k hodnoteniu závažnosti rizík a urgentnosti potrebných
nápravných a preventívnych opatrení.“[12] Rizikovosť chápeme ako pravdepodobnosť straty –
finančnej, materiálnej, časovej. Všeobecný vzorec pre kvantifikáciu rizík:
Problémom je, ţe tieto dáta nebývajú k dispozícii.
Pri spustení porúch a nehôd rozhodujú aj iné faktory:
• Organizačné
• Technické
• Sociálne
• Informačné
• Psychologické
Väčšinu z nich nemôţeme kvantifikovať.
Zdroj: [12]
26
3.1 Hodnotenie rizík metódou IPR
Metóda IPR (Identifikácia procesov a rizík) je preto zaloţená na klasifikačných škálach. Podľa
nich sa riziká zaraďujú do kvalitatívnych skupín podľa toho, v akej miere môţu o sebe vo
vzájomných interakciách zvýšiť nebezpečie neţiadúcich udalostí. Ako osnova klasifikačného
postupu slúţi kontrolný zoznam – obsahuje platné riziká, ktoré sa môţu vyskytnúť.
Zdroj: [12]
3.1.1 Identifikácia rizík
Identifikácia a klasifikácia rizík sa prebieha vo dvoch fázach. Tieto fázy často neprebiehajú po
sebe, ale sa podľa potrieb prelínajú:
1. fáza - zber potrebných informácií
2. fáza - identifikovanie procesov a faktorov, hľadanie nedostatkov a slabých miest,
určovanie spočívajúcich potencionálnych príčin zlyhaní a klasifikovanie ich
rizikovosti
Cieľom analýz môţe byť iba orientačné zmapovanie rizikových oblastí (audity, formulácie
projektových úloh). V týchto prípadoch nie je chyba, ak identifikácia rizík prebieha jedných či
dvomi zamestnancami, ktorí sú riadne oboznámení s fungovaním organizácie.
Zdroj: [12]
3.1.2 Klasifikácia rizík
Klasifikácia rizík môţe byť podľa IPR výsledkom:
• individuálne expertné posúdenie odborníka
• spoločný tímový záver
Klasifikácia rizík:
• Potencionálna rizikovosť – charakterizuje všeobecnú dôleţitosť rizikového
potenciálu. V tabuľkách zoznamu sú pre rizikovosť klasifikačné stupne, ktoré sú
27
modifikované podľa konkrétneho objektu hodnotenia – typ organizácie, prevádzky,
procesov, špecifických okolností.
• Aktuálna rizikovosť - posúdenie procesov a faktorov (ako sú v organizácii nastavené,
riadené, kontrolované a zlepšované procesy).
Index závaţnosti rizík sú na základe pridelených klasifikačných stupňov automaticky
vypočítané. Ide o sprehľadnenie rizikovej siete, kde sú zaradené jednotlivé procesy a faktory
podľa ich rizikovej závaţnosti. Výstup tvoria sú tabuľky a grafy, ktoré sa zostavia podľa tém,
alebo podľa výslednej závaţnosti, ktoré sa môţu vyuţívať ako podklady pre rozhodovanie a
riadenie.
Zdroj: [12]
3.1.3 Potrebné zdroje
Podľa [12] je ku kvalitnej analýze potrebné zhromaţdiť radu informácií o organizácii - štruktúra
procesov a podmienky, za ktorých prebiehajú. Zdroj týchto informácií tvorí momentálna
(pozorovateľná) prax, ale aj skúsenosti a záznamy z minulosti. Podľa veľkosti a typu organizácie
a od cieľov analýzy je moţné vyuţiť aj niektoré zo zdrojov a postupov opatrovaných informácií:
• sledovanie aktivít v práci
• rozhovory s manaţérmi a radovými pracovníkmi (smie sa doplniť dotazníkmi)
• tímové diskusie – smú sa vyuţiť interaktívne postupy (brainstorming...)
• podnikové dokumenty (podnikové, bezpečnostné, organizačné...)
• podnikový controlling, audity, štatistiky
• výsledky šetrenia udalostí (hlavne mimoriadnych – poruchy, nehody...)
• asistencia expertov a špecialistov
Pri aplikácii metódy IPR je moţné vyuţiť analytické postupy, napr. stromy porúch a
udalostí a analýzy procesných vývojových diagramov.
28
4 Penetračné testy
Penetračné testy poukazujú na moţnosti útočníka v sieti, čiţe princípy a postupy útokov.
Analyzujeme nimi:
• celkovú a čiastkovú bezpečnosť siete a iných sieťových zariadení,
• operačných systémov
• kvalita útočníka
• moţnosti z pohľadu technológií nákladov
Zdroj: [9]
Ďalej podľa [9] „informácie sú to najcennejšie, čo môže spoločnosť mať. Musíme preto
spraviť všetko pre ich ochranu.“ Aby sa podporila ochrana, hlavne identifikovanie slabých
miest v ochrane, sa vykonávajú penetračné testy. Cieľom penetračných testov je kontrolovane
verifikovať bezpečnostné chyby, ktoré ovplyvňujú funkcie systému, kritické aplikácie a mnohé
ďalšie technológie.
Tieţ podľa [9] testy nie sú komprehenzívne audity bezpečnosti celej siete – neanalyzujú
kaţdú moţnú slabinu systému. Pribliţujú a určujú body slabín bezpečnostnej infraštruktúry
spoločnosti. Hľadajú chyby a ukazujú plán implementácie prostriedkov ochrany na základe
priorít spoločnosti. Tieto priority rozhodujú o bezpečnostnej politike a razantnosti slabín
bezpečnostného charakteru operačných systémov a softvérov.
4.1 Ciele penetračných testov[9]
• Zistiť či útočník je schopný preniknúť do systému
• Stanovenie pravdepodobnosti, či systém môţe byť otvorený pre útočníka s určitými
právami počítača pripojeného do siete spoločnosti
• Stanovenie bezpečnosti systému v rámci schopnosti prekročenia práva beţného
uţívateľa
• Evidencia moţnosti nájdenia zraniteľného miesta a typu exploitu
• Stanovenie organizačného stupňa odhalenia útočníka na bezpečnosť spoločnosti
29
4.2 Oblasti pôsobenia
Podľa [9] penetračné testy majú širokú oblasť vyuţitia. Poskytovatelia sluţieb zabezpečujú
nepretrţitú konektivitu a sluţby súvisiace priamo s IT infraštruktúrou. Na verejných serveroch
pripojených do internetu a aj u sieťových zariadení, napr. routre, switche alebo wireless
zariadenia, zabezpečujú analýzy stavu bezpečnosti, konfigurácií a mnoţstvo ďalších analýz.
Penetračné testy analyzujú:
• firewally
• proxy
• autentizačné a autorizačné zariadenia
• klientske počítače
• servery
• zdieľané pracovné stanice
Podľa [22] najbeţnejšie penetračné testy sú dnes testy webových aplikácií. Sú rôzne typy tes-
tov, ktoré zoraďujeme podľa hĺbky do ktorej sa testuje, vrátane kvalitného výstupu.Automatizo-
vaný test je najjednoduchší. Vykonáva sa špecializovaným bezpečnostným nástrojom, ktorý
testuje zraniteľnosti webovej stránky. Tento limitovaný test je základný. Jeho obsahom môţu byť
chybné informácie o zraniteľnosti. Jeho cena nie je vysoká, preto býva voľbou menších
podnikov, ktoré nemajú veľké rozpočty na bezpečnosť. To však nie je dôvod, aby bol
podceňovaný. Veľké mnoţstvo útokov sa vykonáva práve cez tento typ nástroja. Predstavuje
spodnú hranicu, pod ktorú sa nemá ísť.
Manuálne testy sa vykonávajú do väčšej hĺbky. Ich súčasťou si aj automatické nástroje, ma-
nuálna práca testera však tvorí ich podstatu. Základom je test, zameraný na najviac zneuţívané
zraniteľnosti, ktoré zverejňuje OWASP Top 1010
najväčších zraniteľností.
Ďalej [22] hovorí o testoch sociálneho inţinierstva, kde sa namiesto technických chýb útočí
na ľudské chyby. Častý úkaz býva, keď tieto testy vykonáva konkurencia v rámci priemyselnej
špionáţe. Test sa vykonáva podľa dohoy s klientom. Prvotná fáza tvorí analyzovanie informácií
o spoločnosti a jej zákazníkoch. Ďalej sa tvoria scenáre moţných útokov. Prebiehajú cez rôzne
10 Owasp (The Open Web Application Security Project) je nezisková organizácia, ktorá sa zaoberá zlepšením
bezpečnosti softvéru. Jej poslaním je robiť softvérovú bezpečnosť viditeľnou
30
kanály – e-mail, telefonáty, sociálne siete a pod. . Zameriava san a ľudské slabosti a po
úspešnom teste nasleduje školenie zamestnancov, aby si uvedomily reálne hrozby.
Podľa [9] záverečný report penetračných testov „nehovorí len o chybách, ale chce
čo najviac vypovedať, ako sa brániť pred crackermi, hackermi z nájdených bezpečnostných dier,
označuje úroveň každého nájdeného problému. Export môže byť poskytnutý v rozličných
formátoch – HTML, XML, text, atď. Pre lepšiu prehľadnosť je report doplnený o grafické
znázornenie.“[9]
Penetračné testy majú ţivotný cyklus, ktorý ak dodrţíme v určitých časových obdobiach,
ktoré na mieru navrhujú špecialisti, dosiahneme vysokú bezpečnostnú úroveň systémov,
serverov, kritických aplikácií a iných technológií. [9]
4.3 Externé penetračné testy
Podľa [9] sa zameriavajú sa na bezpečnosť pripojenia na internet a konfiguráciu online sluţieb.
Cieľom je overiť nastavenia a slabiny prevádzkovaných sluţieb alebo upozorniť na
aktualizovania pouţívania softwarového vybavenia. Zero knowledge predstavuje testovania
bezpečnosti bez znalosti štruktúry a parametrov informačných systémov. Ďalej sa zameriavajú na
dohodnuté prvky testovania a analyzovanie objektov testovania. Testovanie je vykonávané z
prostredia Internetu.
Rozdelenie externých penetračných testov:
• testovanie routerov
• testovanie firewallow
• testovanie a kontrola operačných systémov
• identifikácia funkčných systémov
• kontrola DNS
• invertizácia systémov
Zdroj:[9]
31
4.4 Interné penetračné testy
Skladajú sa z viacerých bezpečnostných testov a kontrol. Preverujú zabezpečenie informácií a
dát uloţených na diskoch a diskových poliach. Tieţ preverujú nastavenia:
• routerov
• firewallov
• switchov
• bezpečnosti internetových aplikácií
• operačných systémov
Testy sa môţu uskutočňovať u zákazníka, ale aj na mieste s internetovou sieťou. Tieţ
odhaľujú slabé miesta, ktoré môţu slúţiť útočníkom na napadnutie informačného systému
spoločnosti. [9]
V zásade rozdeľujeme interné penetračné testy na :
• identifikácia funkčných systémov
• invertizácia systémov
• kontrola operačných systémov
• kontrola siete a sieťových prvkov [9]
4.5 OWASP TOP 10
Dokument TOP 10 poukazuje na najkritickejšie chyby softvéru:
• Injection (SQL) – technika napadnutia databázové servery vsunutím kódu cez neošetrený
vstup a vloţenie pozmeneného SQL odkazu. Chovanie vzniká pri pripojeniach aplikačnej a
databázovej vrstvy. Zabránime mu nahradením nebezpečných znakov escape sekvenciami.
32
• Broken Authentication & Session managment – táto zraniteľnosť umoţňuje útok na
prihlasovacie časti aplikácie. Je nutné zamerať sa na predávanie autentifikačných údajov a
bezpečné úloţisko identifikátora relácie.
• Cross-Site Scripting – metóda narušenia WWW stránok, ktorá vyuţíva chyby v skriptoch.
Útočník vďaka chybám podstrčí do stránok vlastný kód, čo vyvoláva poškodenie vzhľadu
stránok, ich znefunkčnenie, získavanie citlivých údajov návštevníkov stránok, obídenie
bezpečnostných prvkov aplikácie a phishing.
• Insecure Direct Object Reference – cez túto zraniteľnosť útočník získava informácie o
objektoch aplikácie bez autentifikácie. Tieţ je moţné získať interné systémové informácie.
• Security Misconfiguration – dobré zabezpečenie musí mať zabezpečené konfigurácie
nasadené pre aplikácie, frameworky, aplikačné, webové a databázové servery a platformy,
Tieţ je nevyhnutné aktualizovanie softvéru.
• Sensitive Data Exposure – niektoré aplikácie nesprávne chránia citlivé dáta, preto môţu
mať k nim útočníci ľahký prístup. Tieto dáta si vyţadujú osobitnú ochranu.
• Missing Function Level Access Control – ak aplikácia umoţňuje neautentifikovaný prístup
k stránkam, ku ktorým by mal byť povolený prístup iba po autentifikácii, existuje
zraniteľnosť, keď odkazovaná zobrazí informácie, ktoré majú byť prístupné iba
autentifikovaným uţívateľom.
• Cross-Site Request Forgery – technika umoţňujúca útočníkovi podvrhnúť formulár na inej
stránke alebo pomocou HTTP metódy presmerovať prehliadač obete na script spracúvajúci
legitímny formulár dátovej aplikácie, ktorá poškodzuje obeť.
• Using Components with Known Vulnerabilities – komponenty softvérových modulov
bývajú spustené s úplnými oprávneniami. Pri vyuţití chybných komponentov môţe uľahčiť
stratu dát alebo poškodenie serverov.
33
• Unvalidated Forwards and Redirects – webové aplikácie často presmerujú uţívateľa na iné
stránky a pouţijú nedôveryhodné údaje na určenie cieľovej stránky. Bez správneho
overenia môţe útočník presmerovať obeť na phishing alebo malware stránky.
Voľne preloţené zo zdroja: [11]
4.6 Voľba opatrení pre zachovanie a navýšenie úrovne bezpečnosti11
Obr. 4.1 Cena za bezpečnostné opatrenia na ochranu citlivých údajov
11 Ceny konzultované so slovenskou začínajúcou firmou Webiky
0 100 200 300 400 500 600 700 800 900
1000
Cena za bezpečnostné opatrenia na ochranu citlivých údajov
Počet človekohodín Cena
34
Obr. 4.2 Cena za zvýšenú bezpečnosť
Obr. 4.3 Prehľad vlastností a rozdielov vykonávaných penetračných testov a auditov
(Prevzaté z [10])
0 €
1,000 €
2,000 €
3,000 €
4,000 €
5,000 €
6,000 €
Žiadne údaje zákonom považované za citlivé
informácie, napr. počty klientov…
Osobné údaje – dodržanie aktuálnej
vyhlášky na spravovanie osobných údajov, napr.
mená a priezviská, adresy, telefónne čísla,
e-maily
Osobné údaje používateľov a citlivé
údaje firmy, napr. údaje o príjmoch, stratégiách.
Oprávnenia ovplyvňovať procesy vo
firme, napr. prideľovanie prístupov
Peňažné operácie
1. 2. 3. 4. 5.
Cena za zvýšenú bezpočnosť
35
Postup pre určenie nákladov pre navýšenia bezpečnosti na danú úroveň:
výber cieľovej úrovne
poskytnutie prístupu do stávajúceho systému
preskúmanie systému (odhad jeho rozsiahlosti)
penetračné testy pre zistenie stávajúcej úrovne zabezpečenia a bezpečnostných rizík
12
Obr. 4.4 Náklady pre navýšenie bezpečnosti na danú úroveň
12 Vykonanie štandardného penetračného testu stojí 1€, ak počas 3 dní nie je odhalená zraniteľnosť. V opačnom
prípade je cena 1490€ bez DPH
0 € 20 € 40 € 60 € 80 €
100 € 120 € 140 € 160 € 180 €
Náklady pre navýšenie bezpečnosti na danú úroveň
Malá Stredná Veľká
36
Pomocou Obr. 4.4 si firma môţe určiť, či je pre ňu viac výhodná modifikácia alebo návrh
nového systému. Pri stávajúcom systéme, ktorý má nedostatočnú funkcionalitu a väčšiu časť
funkcií je potrebné doprogramovať, je často pri cenníku za bezpečnostné opatrenia výhodnejšie
navrhnúť nový systém – napr., keď si firma, ktorá sa venuje softvérovým riešeniam účtuje za uţ
vyvinutý informačný systém pribliţne 500€ s tým, ţe drobné modifikácie v ich vlastnom
systému vykonávajú za minimálne ceny a nie je nutné aplikovať penetračné testy, býva pre
zákazníka výhodnejšie objednať takýto systém s novou funkcionalitou.
Pri dostatočnej funkcionalite vhodný proces závisí od výsledku penetračných testov.
Podľa vyššie uvedeného cenníka si zákazník podľa počtov a typov zraniteľností spočíta, či sa mu
oplatí oprava zraniteľností alebo nový systém s garanciou negatívneho výsledku penetračných
testov.
37
Obr. 4.5 Proces výberu vhodných opatrení
38
5 Predstavenie firmy
Jedným z cieľov tejto práce je zhodnotenie bezpečnostnej úrovne Súkromného liečebno –
výchovného sanatória v Senci13
, ktoré sa zameriava na psychologickú a psychoterapeutickú
starostlivosť, výchovu a vzdelávanie deťom a mladistvým s poruchou učenia a poruchami
aktivity a pozornosti, u ktorých ambulantná starostlivosť nezaberá. Špecializácia je na chlapcov
od 8 – 18 rokov.
SLVS podľa [19] konkrétne poskytuje:
1. Umiestnenie dieťaťa v sanatóriu na ţiadosť jeho rodičov alebo zástupcov, ak dieťa
vykazuje problémy, ktoré nevedia zvládať napr. vykazovanie prvkov kriminality,
záškoláctva, narkománie. Aby pobyt nebol finančne náročný a vysoko účinný je dôleţité,
aby sa problémy začali riešiť v zárodku
2. Individuálne poradenstvo pre rodiny a konsolidáciu vzťahov medzi dieťaťom a rodine,
ak má dieťa funkčné rodinné zázemie
3. Minimálny pobyt dieťaťa v zariadení
4. Individuálny profesijný prístup v štúdiu aţ po uzavretie pracovného pomeru a ubytovanie
ak dieťa nemá funkčné rodinné zázemie
V tejto firme je dôleţité dbať na bezpečnosť, keďţe pracuje s osobnými a lekárskymi
údajmi a je povinná dodrţiavať zákon o ochrane osobných údajov:
„Podľa § 4 ods 3. písm. b) Zákona 122/2013 Z.z. o ochrane osobných údajov a o zmene a
doplnení niektorých zákonov je definovaný ako „informačný systém, v ktorom sa na vopred
vymedzený alebo ustanovený účel systematicky spracúva alebo má spracúvať akýkoľvek
usporiadaný súbor osobných údajov prístupných podľa určitých kritérií, bez ohľadu na to, či ide
13 Ďalej SLVS
39
o informačný systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo
geografickom základe; informačným systémom sa na účely tohto zákona rozumie aj súbor
osobných údajov, ktoré sú spracúvané alebo pripravené na spracúvanie čiastočne
automatizovanými alebo inými ako automatizovanými prostriedkami spracúvania.“[20]
Podľa [20] je osobitne definovaný pojem na účely zákona a nie je moţné ho stotoţňovať
napr. s informačným systémom verejnej správy alebo s informačným systémom civilnej ochrany
ani s informačnými systémami, ktoré sú vymedzené na účely osobitných zákonov. Je to
databáza, kde sa zhromaţďuje, získava, uchováva a poskytuje prenos alebo iná spracovateľská
operácia s osobnými údajmi dotknutých fyzických osôb. Chápeme ho ako jeden
z najdôleţitejších pojmov v oblasti ochrany osobných údajov, na ktoré je potrebné upriamiť
pozornosť, napr. pri vypracovaní dokumentácie bezpečnostných opatrení, vyhotovení záznamu o
poučení oprávnených osôb, výkone práv dotknutej osoby a pri zabezpečení dohľadu
zodpovednej osoby nad spracúvaním osobných údajov. Je dôleţité, aby prevádzkovateľ pred
začatím spracúvania osobných údajov vymedzil účel spracovania údajov, ak nie je ustanovený
zákonom. Forma, pre ktorú sa prevádzkovateľ rozhodne spravovať informačný systém osobných
údajov, má povahu prostriedkov spracúvania a nie je moţné zamieňať so samostatným IS
osobných údajov, aj keď môţu mať charakter IT IS.
5.1 Sieťová analýza
SLVS je prepojené v rámci 4 objektov:
• hlavná budova
• klinika
• škola
• pobočka Chrastince
40
Obr. 5.1 Sieťová mapa SLVS
Na hlavný objekt, kde sa zároveň nachádza serverovňa je pripojená škola a klinika.
V škole nájdeme 4 miestnosti v ktorých prebieha pripojenie v bridge móde. Bridge mód
je zriadený aj v budove kliniky, kde sa nachádza 5 miestností. Posledný objekt je pobočka
Chrastince, ktorá má zriadenú vlastnú VPN.
41
Konektivitu získa SLVS od svojho poskytovateľa sluţieb. Od tohto poskytovateľa
smeruje signál na router sanatória a z tade na firewall. Z firewallu pokračuje signál do hlavného
switchu, kde sa pripájajú ďalšie servery vo virtuálnom reţime a to konkrétne:
• primárny a sekundárny radič v clusteri – poskytuje uţívateľom a počítačom v sieti
adresárovú sluţbu Active Directory14
. Táto sluţba ukladá dáta adresára, poskytuje ich
replikáciu a riadi interakciu uţívateľov s doménou vrátane ich procesov – prihlásenie,
overenie a vyhľadanie v adresári
• Web server - pripojený k počítačovej sieti, jeho úlohou je prijímanie poţiadaviek v tvare
HTTP. Jeho odpoveďou je poţadovaná HTML stránka (HTML dokument alebo
dokument v inom formáte – text, obrázok a pod.). Webové sídlo firmy je zaloţené na
CMS15
, na základe ktorého je moţné publikovať na stránkach informácie bez HTML
kódovania. Tieţ je tu prevádzkovaná firemná Wiki zaloţená na DokuWiki16
• databázový server, ktorý ja zároveň prepojený s webovým serverom - poskytuje
databázové sluţby do počítačových programov alebo počítačov. Sú definované v klient
- server modelu. Je prístupný prostredníctvom front - end , ktorý beţí na počítači
uţívateľa a back - end , ktorý beţí na serveri a spracováva úlohy (vrátane analýz a
ukladania dát)
• aplikačný server prepojený s databázovým serverom – centrálnu aplikáciu tvorí dispečer
riadenia. Dispečer riadenia organizuje komunikačné operácie úrovne klientov do
workprocesov, ktoré aj spúšťa. Poţiadavky sú uloţené vo fronte a tie sú následne
zaslané do workprocesov. Workprocesy avizujú zmenu databázy cez príkazy priamo
databázovému serveru a súčasťou je aj blokovací mechanizmus, ktorý zabraňuje
aplikáciám aby si prekáţali pri prístupoch k dátam cez tabuľky zámkov, ktoré sa
14 Implementácia adresárových sluţieb firmou Microsoft na pouţitie v systéme Windows 15 Content Management System 16 Forma Wiki, zameraná na vytváranie dokumentácie rôzneho druhu. Je k dispozícii pre firmy a pracovné skupiny.
42
nachádzajú v operačnej pamäti aplikačného servera. Nachádzajú sa tu evidenčné,
stravovacie, dochádzkové, zdravotnícke a vzdelávacie systémy
• Email server – zabezpečuje hostingová spoločnosť, aktívnych je 100 účtov a pouţíva
protokol IMAP17
, ktorého výhodou oproti POP318
je, ţe vykonané zmeny sú
synchronizované so serverom a prejavujú sa aj na iných klientoch, všetky zmeny sa
uloţia na serveri a prejavia sa aj na iných klientoch.
• File server – pripojený k sieti ma úlohu zaistiť miesto pre zdieľaný prístup k disku , čiţe
zdieľané úloţisko počítačových súborov (dokumenty, zvukové súbory, fotografie, filmy,
obrázky, databázy…), kde majú prístup pracovné stanice pripojené v rovnakej sieti. File
server nevykonáva výpočtovú úlohu a nespúšťa programy v mene klientov. Jeho
úlohami sú uloţenie a vyhľadávanie dát, kde sa výpočet vykonáva na pracovných
staniciach. Existujú tu 2 typy oprávnení: oprávnenia k súborom a k zloţkám.
Systém práv sa ďalej delí na:
o zapisovanie – právo vytvárať zloţky a súbory s moţnosťou vykonania zmien
v súboroch
o čítanie – právo, ktoré umoţňuje zobrazovanie zloţiek, súborov, ich obsahov,
atribútov a oprávnenia
o zobrazovanie obsahu zloţiek – právo, ktoré tieţ umoţňuje zobrazovanie
zloţiek a súborov, nie je však definované pre súbory
o čítanie a spúšťanie – právo, ktoré umoţňuje čítanie dokumentov a spúšťanie
programov
o právo meniť – práva spomenuté vyššie s moţnosťou odoberania
a uskutočnenia zmien v zloţkách a v súboroch
17 Internet Message Access Protocol 18 Post Office Protocol
43
o právo úplného riadenia – všetky oprávnenia s moţnosťou meniť oprávnenia
a vlastníctva
Oprávnenia sa dedia od nadradenej zloţky pri vytváraní a kopírovaní objektu v rámci
oddielu súborového systému a tieţ pri premiestnení objektu medzi oddielmi súborového
systému. Pri premiestnení objektu v rámci jedného oddielu súborového systému sa
oprávnenia od nadradenej zloţky nededia.
• Print server – jeho úlohami sú pripájanie tlačiarní na klientske počítače cez sieť .
Tlačové úlohy z počítačov, odosielanie úloh príslušných tlačiarní, meniť ich poradie
alebo odstránenie čakania úlohy, počítanie stránok tlačiarne
• VPN server – je zaloţený na openVPN19
a zabezpečuje šifrované spojenie dát
a riadiacich kanálov do firemnej siete zvonka na základe OpenSSL20
. Overovanie
prebieha pomocou uţívateľského mena a hesla, poprípade zdieľaného kľúča alebo
digitálneho certifikátu. Pridelený port ma označenie 1194 a komunikuje protokolom
UDP21
a tieţ je moţné vyuţiť TCP22
. Tieţ komunikuje cez proxy server a predáva
konfiguráciu klientom – IP adresa, smerovanie a maskovanie siete... Pracuje
v uţívateľskom priestore.
Virtualizácia je vytvorená nástrojom VMware na fyzickom serveri, ktorý nazýva hostiteľský
server a jeho operačný systém host. VMware poskytuje hostom potrebný virtualizovaný
hardvér, ako napr. procesor, pamäť, sieťové karty a pod.. Správcovi siete to umoţňuje
pozastaviť a skopírovať operáciu vykonávanú virtualizovaným nástrojom a preniesť ju na
výkonnejšieho hostiteľa. Problémy môţu nastať medzi hostiteľskými servermi, ktoré majú
rozdielne inštrukčné sady, napr. rozdielne procesory. Medzi ďalšie výhody virtualizácie patrí
spúšťanie viacerých systémov na jednom hardvéri, čím sa výrazne šetria náklady za nákup
19 Open – source softwérová aplikácia 20 Open source implementácia SSL a TLS protokolov 21 User datagram protocol – prenáša datagramy v sieti, nezaručuje bezproblémový prenos paketov 22 Transmission Contol protocol – predstavuje transportnú vrstvu
44
a prevádzku serverov, rýchle nasadenie nových systémov, jednoduché prenášanie dát medzi
virtualizačnými platformami, spúšťanie a rušenie systémov podľa potreby. Chladenie prebieha
so vzduchom chladeným kondenzátorom. K dispozícii je aj penový protipoţiarny systém, ktorý
sa spúšťa manuálne alebo pomocou detektoru dymu.
Serverovňa má virtualizovaný primárny radič domény, ktorý plní viac úloh. Jednou z nich je
autentizácia na základe ktorej sa overujú prístupy uţívateľov k zdieľaným prostriedkom.
Primárny doménový radič pouţíva security account manager (SAM - bezpečnostný manaţér
účtov), ktorý obsahuje zoznam mien a hesiel pre autentizáciu.
Zo serverovne ide jedna vetva po hlavnej budove a druhá ide z vysielača, ktorý ju vysiela na
ďalšie 2 fyzické objekty (budovy - škola a klinika) v bridge móde.
5.1.1 Backup server
Backup server zálohuje automaticky súbory v pravidelných intervaloch 12 hodín. Vyuţíva
sa HP Dataprotector Software verzia 8.0 a poskytuje non–stop prevádzku. Tento softvér
podporuje zálohovanie cez lan a pracuje na platforme Win Server. Zálohuje viacero zariadení
naraz, napr. páskové mechaniky, diskové polia a podporuje zálohovanie lokálnych a sieťových
dát, virtual full23
a inkrementálny24
backup a tieţ online backup. Proces zálohovania a obnovy
dát je automatizovaný. Toto prostredie vyuţíva koncept buniek (Cells). Cell Manager, ktorý sa
nachádza v sieti, riadi jadro prostredia, zálohovanie, obnovy dát a zapisuje informácie do
databázy. Pre diskové úloţiska je dostupná deduplikácia dát – zapisované dáta sú porovnané
s tými, ktoré sú uţ zapísané. Netýka sa to páskových jednotiek, keďţe sa zapisujú sekvenčne.
Web reporting a notifikácia slúţia pre lepší prehľad zálohovania, v rámci ktorého sú dáta
šifrované pomocou AES 256bit25
technológie.
23 Vytvorenie kópie všetkých dát 24 Zálohy vykonané od poslednej inkrementálnej zálohy 25 Špecifikácia pre šifrovanie elektronických dát
45
Aby sa predišlo individuálnym zmenám súborov na jednotlivých prístrojoch je
zabezpečené synchronizovanie prístrojov, čiţe v prípade zmien súborov na tabletoch sa zmenia
aj na počítačoch.
5.1.2 Pobočka Chrastince
V tomto objekte sa nachádza kancelária riaditeľa pobočky a učebňa s piatimi počítačmi. Z
pobočky Chrastince sa cez VPN môţu pripojiť pouţívatelia zo svojich notebookov k centrále
SLVS, ak majú nakonfigurovanú openVPN. Toto riešenie výrazne uľahčuje prácu
zamestnancom, ktorí takto môţu efektívne pracovať aj z domáceho prostredia. Konektivitu
získava od rovnakého poskytovateľa sluţieb ako aj hlavné sídlo v Senci. Pripájanie do firemnej
siete je teda riešené rovnako, ako pre zamestnancov v hlavnom sídle, len pre menší počet
klientov, čiţe zamestnanci tejto pobočky nie sú vo firemnej sieti obmedzovaní. Táto pobočka
vznikla z dôvodu rozširovania pôsobnosti firmy na Slovensku a plánuje sa rozširovať aj
v ostatných regiónoch.
46
6 Bezpečnosť siete v SLVS
Na základe dohody so SLVS v nasledujúcej kapitole opíšem, ako som sa podieľal na vykonaní
penetračného testovania, ktoré sa zameralo na nasledovné ciele:
opis penetračných nástrojov, ktoré budú pouţité počas testovania
externé testovanie sieťového zabezpečenia
interné testovanie firemnej siete
vlastné odporúčania pre lepšie IT zabezpečenie firmy
V ďalších kapitolách budú opísané dané testovacie nástroje spolu s priebeţnou
dokumentáciou vykonaných testov, ktorých výsledky bude môcť firma vyuţiť počas svojho
ďalšieho pôsobenia. Predovšetkým sme sa zamerali na testovanie routerov, firewallov, switchov,
bezpečnosti internetových aplikácií a operačných systémov. Pre lepší prehľad siete je k
dispozícii Obr. 5.1 Sieťová mapa SLVS, ktorý vznikol na základe poskytnutých materiálov od
SLVS a podieľal som sa na jeho tvorbe v nástroji MS Visio 2013, čím som si prehĺbil znalosti
v oblasti sieti a vytvárania schém.
Keďţe rozsah tejto práce mi nedovoľuje rozoberať kompletný penetračný report, ktorý je
na niekoľko desiatok strán a pokrýva širokú škálu problematiky, vypichneme niektoré
najbeţnejšie problémy, ktoré sú nachádzané počas penetračných testoch od malých firiem aţ po
tie najväčšie. Na týchto testoch som sa osobne zúčastňoval s technickými pracovníkmi a získaval
cenné poznatky z praxe, pričom som spolupracoval na opatreniach a vypracovaní metodík na
odstránenie problémov a elimináciu bezpečnostných rizík.
V tejto práci budeme ďalej podrobnejšie rozoberať vybrané, nájdené zraniteľnosti, ktoré sa
týkali:
slabého zabezpečenia smerovača pomocou WEP
exspirovaných a nepouţívaných účtov v Active Directory
chybného zaradenia učebne v sieťovej infraštruktúre
slabej politiky hesiel
nezabezpečených portov
47
6.1 Test bezpečnosti prístupových bodov
V tomto prípade sa jednalo o externé penetračné testovanie, nakoľko sme sa pokúšali
dostať do siete z vonka. Práve wifi siete so slabým zabezpečením môţu byť prvotnou bránou
útočníka do foremnej siete.
6.1.1 Potrebné vybavenie
Tento test si vyţaduje špeciálne hardvérové a softvérové vybavenie. Je potrebný prenostný
počítač, postačí beţný notebook, ktorý ma sieťovú wifikartu, ktorá sa dá prepnúť do
monitorovacieho reţimu. Je lepšie pouţívať externé wifikarty s väčšou anténou, kvôli lepšiemu
pokrytiu monitorovaného priestoru.
Veľmi dôleţitým prvkom je samozrejme pouţitý softvér, my sme na tento účel pouţili
operačný systém Kali Linux, ktorý je nástupcom známeho Back-track Linuxu, ktorý je
prispôsobený na penetračné testovanie a obsahuje mnohé špecializované nástroje na penetračné
testovanie ako napríklad:
Aircrack-ng – aplikácia, ktorá slúţi na prelomenie zabezpečena WIFI siete.
Burp Suite – inteligentná platforma na testovanie zabezpečenia webových aplikácii.
Hydra – nástroj na crackovanie hesiel s pokročilými moţnosťami.
John the ripper- nástroj zaloţený na crackovanie hesiel, ide o command line nástroj,
takţe je významný svojou rýchlosťou.
Meltego – nástroj na analýzu vzťahov, čo je medzi sebou prepojené, väzby medzi
ľuďmi, sociálne siete, organizácie, webové stránky, internetová infraštruktúra,
následne vytvára grafické sieťové diagramy.
Metasploit Framework – umoţňuje bezpečným spôsobom simulovať útoky na sieti
a odhaliť bezpečnostné problémy, overiť ochranu, bezpečnostné kontroly,
manaţovanie phisingu, auditovanie web aplikácií. Umoţňuje prácu v príkazovom
riadku, alebo cez grafické rozhranie, môţe byť pouţitý s Nexpose, ktorý pomáha
vyhodnotiť zraniteľné miesta v skúmanom prostredí. Metasploit Framework je teda
komplexný nástroj, ktorý v kooperácií s Armitage dokáţe vizualizovať ciele,
odporúčať konkrétne exploity a ponúkať pokročilé funkcie pri práci s nimi.
48
Nmap – aplikácia na preskúmavanie siete, skenovanie portov
The Zend Atack Proxy (ZAP) – vyvinuté a podporované OWASP, nástroj na
penetračné testovanie, vyhľadávanie zraniteľností web aplikácií, široká škála funkcií,
automatické a pasívne skenery REST API.
Sqlmap – nástroj na odhaľovanie SQL injection a bezpečnostných zraniteľností
databázových serverov, pokročilé funkcie testovania prenikov.
Wireshark – aplikácia na zachytávanie a analýzu paketov.
Obr. 6.1 Zobrazenie širokej škály nástrojov v špeciálnom nástroji Kali Linux
49
6.1.2 Priebeh
Podstatou toho testovanie ja monitorovať sieť a hľadať zraniteľné miesto a to v podobe
nezabezpečeného vysielača, alebo vysielača so slabým zabezpečením WEP.
1. V Kali Linuxe zapneme nástroj airmon-ng
root@kali:~# airmon-ng
2. Prepneme do monitorovacieho modu
root@kali:~# airmon-ng start wlan0
3. Monitorujeme sieť, obrazovka monitorovacej konzoly, je na Obrázku 6.2
4. Našim cieľom je nájsť sieť, ktorá nemá zabezpečenie, alebo má prelomené zabezpečenie
WEP, všímame si preto stĺpec ENC.
5. Ak ide o pripojenie bez zabezpečenia, prienik do siete je bezproblémový.
6. V spodnej časti monitorovacej obrazovky vidíme aj klientske stanice pripojené
k jednotlivým prístupovým bodom, je výhodné ak nájdeme klientsku stanicu, ktorá je
pripojená k inkriminovanému bodu so šifrovaním WEP.
7. Ak je pripojený nejaký klient k inkriminovanému prístupovému bodu, budeme aplikovať
postup crackovania siete, ktorý je verejne známy a dostupný na adrese:
http://www.aircrack-ng.org/doku.php?id=how_to_crack_wep_via_a_wireless_client
8. Ak klient pripojený, nie je bude treba aplikovať mierne komplikovanejší, tieţ verejne
známy postup:
http://www.aircrack-ng.org/doku.php?id=es:how_to_crack_wep_with_no_clients
9. Vykonaním horeuvedených postupov sme schopný v pomerne krátkom čase prelomiť
zabezpečenie WEP a získať prístup k sieti.
50
Obr. 6.2 Príklad monitorovacej obrazovky (z bezpečnostných dôvodov je použité
monitorovanie z kaviarne a nie zo skúmanej firmy)
Pri tomto teste sme v inkriminovanej firme našli jeden prístupový bod, ktorý pouţíval
staré šifrovanie WEP. Následne sme sa pokúsili heslo cracknúť, pomocou referencovaných
metód v bodoch 7 a 8. Za 40 minút sa nám podarilo heslo cracknúť a prihlásiť sa do siete. Ďalej
sme zaznamenali, jednoduché pridelenie IP adresy DHCP serverom, čiţe nebolo na prihlásenie
potrebné modifikovať MAC adresu. Takto by sa potenciálny útočník mohol dostať jednoduchým
spôsobom do firemnej siete a v nej páchať škody, alebo snaţiť sa neoprávnene získať cenné
informácie.
51
6.1.3 Záver a odporúčania
Na základe tohto testu a demonštrácie prieniku do firemnej siete sme navrhli tieto odporúčania:
Zmeniť zabezpečenie inkriminovaného prístupového bodu z WEP na WPA2 a zmeniť
heslo na min 12 znakov dlhé ktoré bude obsahovať minimálne jedno veľké písmeno,
jedno malé písmeno, jednu číslicu a aspoň jeden špeciálny znak.
Ďalej odporúčame, ak to je moţné, oddeliť fyzicky wifi sieť od firemnej siete. Princípom
je aby pouţívatelia, ktorí potrebujú iba internet, boli v inej sieti, a tým nemali prístup do
firemnej siete.
Odporúčame zapnúť filtrovanie MAC adries, ktoré pristupujú k sieti, toto je dôleţitý
aspekt aj pre prípad, ţe by sa pouţívateľ snaţil pripojiť iný ako firemný PC aj ku
káblovej sieti firmy, kde by mohlo nastať ohrozenie bezpečnosti zo strany neodbornej
manipulácie uţívateľa, ktorého PC by mohol byť napadnutý škodlivým softvérom, ktorý
by sa snaţil zhromaţďovať firemné údaje.
Pevné previazanie IP adries na konkrétne MAC adresy.
6.2 Účty v Active Directory
Veľmi dôleţitým aspektom bezpečnosti v sieti pracujúcej na báze MS Windows je aj
udrţiavanie Active Directory, a to tak aby, neboli v systéme exspirované účty, zabudnuté
testovacie účty, nezabezpečené účty. Zlatým pravidlom je mať aktivované iba to čo potrebujeme,
ostatné nevyuţívané účty by mali byť zablokované, alebo vymazané. V tomto teste budeme
skúmať účty v Active Directory, ktoré majú vypršané heslo. Na tento test nám bol poskytnutý
administrátorský prístup k Hlavnému doménovému radiču, takţe ide o internú metódu
testovania.
6.2.1 Potrebné vybavenie
Na skúmanie domény, nám stačia nástroj, ktoré doménový radič s Windows Server 2008
R2 priamo poskytuje. Cez štandardné zobrazenie, ktoré nám umoţňuje grafická konzola Server
Manageru je ale veľmi ťaţké kontrolovať všetky účty, pokiaľ ich je viac a sú umiestnené
v stromovej organizačnej hierarchii firmy. Ideálne by bolo pouţiť externý nástroj, alebo
Microsoft SCCM (System Center Configuration Manager), ktorý by nám umoţňoval
52
podrobnejšiu prácu s doménou a umoţňoval by nám aj export neaktívnych pouţívateľských kont.
Keďţe firma nedisponuje týmto pokročilým, nie najlacnejším nástrojom, je nutné toto zistenie
vykonať manuálne, alebo pomocou skriptovacieho jazyka a nástroja Powershell. My sme na toto
zistenie vyuţili práve túto súčasť Windows Servera.
6.2.2 Priebeh
Podstatou tohto testu je znalosť skriptovania v Powershelli a efektívne získanie zoznamov
s relevantnými údajmi z celej domény.
1. Prihlásime sa pod kontom, ktoré má administrátorské oprávnenia, na doménový radič.
2. Spustíme Powershell, kde musí byť nastavená politika oprávňujúca spúšťanie skriptov.
3. Spustíme skripty, ktoré sú zobrazené na Obr. 6.3 a Obr. 6.4.
4. Získame výpisy účtov v súboroch Pass-Expiration-SLVS.csv a Last-logon-ALL-
users_[date].csv.
5. Získané súbory spracujeme v MS Excel, kde môţeme zoraďovať dátumy exspirácie
a posledného prihlásenia.
Obr. 6.3 Skript zisťujúci účty s expirovanými heslami
53
Obr. 6.4 Skript zisťujúci posledné prihlásenie jednotlivých účtov
Prvým skriptom, ktorého výstup je súbor Pass-Expiration-SLVS.csv získame účty, ktorých
platnosť hesla vypršala, alebo nie je nastavená expirácia.. Účty, ktorých heslo je po dlhú dobu
expirované, je vhodné zo systému vymazať.
Druhým skriptom, ktorého výstup je súbor Last-logon-ALL-users_[date].csv získame
zoznam účtov s ich poslednými prihláseniami, účty ktoré neboli prihlásené viac ako zadaný
počet dní od dnes (optimálne 60) je vhodné taktieţ zablokovať.
Zistili sme:
2 účty ktoré mali heslo vypršané 60 viac dní
3 účty, ktoré majú nastavený atribút: „Password never expired“
2 účty, ktoré neboli prihlásené do siete viac ako 90 dní
6.2.3 Záver a odporúčania
Na základe tohto testu a získaných zoznamov navrhujeme tieto odporúčania:
Zablokovanie pouţívateľských kont, ktorých heslo je expirované viac ako 60 dní.
54
Podľa moţnosti zváţiť či sú nutné účty, ktoré majú nastavený atribút „Password never
expired“ a nastaviťna nich exspiráciu.
Zablokovať účty, ktoré neboli prihlásené do domény viac ako 90 dní.
6.3 Slabá politika hesiel
V tomto bode skúmame politiku hesiel.
6.3.1 Potrebné vybavenie
Predpokladáme administrátorský prístup k serveru, a kontrolujeme politiku hesiel cez konzolu
MMC.
6.3.2 Priebeh
1. Prejdene k nastaveniam politiky:
gpedit.msc
Lokálny počítač – zásady ► Konfigurácia počítača ► Nastavenie systému Windows ► Nastavenie zamezpečenia ► Zásady účtov ► Zásady hesla
2. Skontrolujeme nastavenia politiky hesiel Obr. 6.5
Obr. 6.5 Nastavená politika hesiel
55
6.3.3 Záver a odporúčanie
Hoci je nastavená komplexnosť hesla, ktorá zabezpečuje min 6 znakov dlhé heslo,
odporúčame nastavenie hesla na min 8 znakov, pri ponechaní komplexnosti.
Odporúčame zapnúť aj históriu hesiel a nastaviť na 24, čím zabránime opakovanému
pouţívaniu rovnakých hesiel pouţívateľov.
6.4 Sieť a porty z vonku
V tomto teste budeme skúmať sieťovú infraštruktúru z vnútra (schéma na Obr. 5.1),
a budeme identifikovať moţné prieniky k firemným údajom z počítačov a účtov, ktoré nemajú
príslušné oprávnenia. Ďalej budeme skenovať porty a monitorovať moţnosti prístupu z vonku.
6.4.1 Potrebné vybavenie
Potrebujeme zmapovať sieť, poznať IP-konfigurácie sieťových komponentov a zariadení.
Musíme mať teda podklady a prístupy od administrátorov systému. Na základe týchto znalostí
budeme vedieť vyvodiť prípadné odporúčania.
Ďalej budeme potrebovať prenosný počítač s príslušnými penetračnými nástrojmi, ktoré
boli bliţšie popísané v úvode kapitoly 6.1.
6.4.2 Priebeh
Lokálna sieť:
1. Vytvorenie sieťovej schémy vo vizualizačnom nástroj. (schému sme vytvorili v kapitole
5 a je moţné si ju pozrieť na Obr. 5.1)
2. Teoretická identifikácia moţných problémov.
3. Fyzické overenie, moţných komplikácii.
4. Vyvodenie záverov.
Pri identifikácii moţných problémov, sme zistili, ţe nie je vhodné aby počítače z učebne boli
v rovnakej VLANe ako File server a Aplikačné servery. Pri fyzickom testovaní sa nám podarilo
dostať na Fileserver, k niektorým dokumentom, ktoré mali oprávnenia „Everyone“, čo je
56
neţiadúce. Tak isto je bol identifikovaný neţiadúci prístup z týchto staníc k staršej aplikácii,
ktorú pouţíva jedáleň. Nakoľko počítače vyuţívajú ţiaci, neoprávnené osoby, prístup by mal byť
blokovaný.
Scanovanie portov z vonku:
1. Pomocou nástroja nmap integrovanom v Kali Linux, sme oskenovali porty, ktoré sú
otvorené na IP adrese firmy.
2. Našli sme otvorené porty pre Ultra VNC a to v rozsahu 5901 aţ 5903.
3. Na portoch prebieha nešifrovaná komunikácia, ktorá slúţi na správu 3 počítačov.
Obr. 6.6 Príklad skenovania portov pomocou nástroja nmap
Otvorené porty, ktoré nie sú nutné, sú vţdy problémom. Problémom v tomto prípade nie sú ani
tak otvorené porty, ale nešifrovaná komunikácia, ktorá nimi prebieha.
6.4.3 Záver a odporúčania
Odporúčame vytvoriť samostatné VLANy pre učebne, nakoľko z týchto počítačov môţu
pristupovať osoby, ktoré nie sú náleţite poučené firemnou politikou a mohli by spôsobiť
nevedome škody.
57
Ako sme uţ spomínali aj v kapitole 6.1 je dobré vyuţívať filtrovanie MAC adries
a naviazanie IP na konkrétne MAC.
Odporúčame zablokovať otvorené porty, ktoré nie sú potrebné a pouţívané. V prípade
vyuţívania portov na vzdialenú správu cez VNC odporúčame zvoliť riešenie, ktoré
umoţňuje šifrovanú komunikáciu, napríklad DSM (Data Stream Encryption Plugin)
plugin do Ultra VNC. Najlepšie je sa VNC úplne vyhnúť a na vzdialenú správu vyuţiť
openVPN, ktoré je vo firme zavedené, funguje bezchybne a poskytuje väčšiu bezpečnosť
keďţe prebieha cez šifrované spojenie.
6.5 Hľadanie exploitov
Aby bola sieť a zariadenia v nej bezpečné, je vhodné preveriť systémy na prítomnosť
exploitov, na toto nám veľmi dobre poslúţil Metasploit Framework. Vzhľadom na rozsah práce
si popíšeme iba testovanie na jeden exploit.
6.5.1 Potrebné vybavenie
Ako sme spomínali potrebujeme počítač so špeciálnymi nástrojmi, v našom prípade Kali Linux
a nástroje, ktoré v sebe integruje, v tomto prípade najmä Metasploiť Framework.
6.5.2 Priebeh
1. Skenujeme porty, aby sme našli potenciálny bod zraniteľnosti.
2. Spustíme Metasploit Framework konzolu.
3. Zistíme aké moţnosti zraniteľnosti máme pre konkrétny port, napríklad port 135.
4. Vyberieme si konkrétny exploit, ktorý chceme otestovať na cieľovom systéme.
5. Vybraný exploit aktivujeme: use exploit_name, vytvorí sa prostredie pre exploit
(Obr. 6.7)
6. Nastavíme IP obete: set RHOST ip_address
7. Zobrazíme potenciálne zraniteľnosti: show payloads
8. Vyberieme konkrétny typ: set PAYLOAD payload_name
9. Nastavíme LHOST: set LHOST utociaca_ip
10. Spustíme exploit príkazom: exploit
58
11. Sledujeme výstupy, či bola identifikovaná zraniteľnosť.
Obr. 6.7 Aktivované prostredie pre exploit, čaká na pokyn testovania
V SLVS sme identifikovali pomocou Metasploit Frameworku niekoľko menších zraniteľností,
ktoré boli spôsobené najmä neaktuálnosťou niektorých operačných systémov, nakoľko v SLVS
nie je samostatný server určený na aktualizácie a nie je inštalovaný SCCM (System Center
Configuration Manager), ktorý by umoţnil aktualizáciu a kontrolu aktualizácii centralizovať.
6.5.3 Záver a odporúčania
Opäť odporúčame, mať čo najmenej otvorených portov, otvorené porty iba pre sluţby,
ktoré naozaj pouţívateľ potrebuje.
Aktívny firewall na serveroch aj pouţívateľských staniciach.
Automatická aktualizácia na všetkých OS, prípadne nasadenie SCCM ak to financie
dovoľujú.
59
Nahradzovanie starých OS novými, postupne odstrániť všetky stanice s OS WIN XP
a WIN Vista.
Pravidelné bezpečnostné audity a penetračné testovanie.
60
7 Záver
V tejto práci sme sa zamerali na problematiku bezpečnosti informačných systémov v praxi.
V úvode práce sme popísali teoretické poznatky, ktoré sme čerpali z univerzity, odbornej
literatúry a doterajšej praxi v zamestnaní. Začali sme bazálnymi pojmami a prvkami bezpečnosti
z ktorých sme prechádzali k zloţitejším oblastiam ako analýza rizík a penetračné testovanie za
pouţitia pokročilých nástrojov.
Naše teoretické vedomosti, sme vyuţívali v druhej časti práce, ktorá integruje priamo
s praxou. Boli sme súčasťou tímu, ktorý sa venoval bezpečnostným otázkam v reálnej firme
a vykonával neskôr penetračné testovanie. Aktívne sme spolupracovali pri testoch, kde sme
čerpali nové poznatky, skúsenosti a učili sa aplikovať naučené vedomosti na riešenie
praktických, bezpečnostných problémov, ktoré boli odhalené v tomto bezpečnostnom audite.
V úvode praktickej časti sme si pomerne podrobne predstavili firmu a popísali sieťovú
infraštruktúru, na ktorej bude bezpečnostný audit vykonávaný. Potom sme spoločne s tímom,
ktorý bol zostavený na vypracovanie správy reflektujúcej správu o IT bezpečnosti vo firme,
pracovali na identifikácií bezpečnostných problémov a neskoršom odporúčaní na ich
odstránenie.
Spracovali sme vybrané kapitoly penetračného testovania, ktoré sme povaţovali za
zaujímavé, a ktoré sa dotýkajú veľkej väčšiny firiem v súčasnosti. Zamerali sme sa na problémy
ako: prienik do siete cez slabo zabezpečené prístupové body, udrţiavanie konzistencie Active
Directory na doménovom radiči, tvorba exportov, politika hesiel, problémy sieťovej
infraštruktúry, skenovanie portov, zraniteľnosti systémov v podobe exploitov. Ku kaţdému
identifikovanému problému sme vyslovili praktické odporúčania na ich elimináciu a zlepšenie
bezpečnosti, ktoré sme aj integrovali do metodických odporúčaní bezpečnostného auditu.
Výsledkom a prínosom tejto práce bola úzka kooperácia s praxou pri penetračnom testovaní
a bezpečnostnom audite, ktorá vyústila do praktických odporúčaní, ktoré boli zapracované
v metodických pokynoch na odstránenie zraniteľnosti v záverečnej správe o stave bezpečnosti.
Mnohé z týchto opatrení boli systémovými administrátormi neskôr pretavené aj do účinných
opatrení, ktoré pomohli zvýšiť bezpečnosť inkriminovanej firmy.
61
Bibliografia:
[1] Bíro.P.: Informačná bezpečnosť [online]. http://www.informatizacia.sk/informacna-
bezpecnost/2999s , 2008 [cit. 2014-04-24].
[2] STAUDEK, J., HANÁČEK, P.: Bezpečnost informačních systémů. 1. vyd. Praha: Úřad pro
státní informační systém, 2000. ISBN 80-238-5400-3.
[3] Gála, L., Pour, J., Toman, P.: Podniková informatika. 1. Vyd. Praha: Grada Publishing, a.s.,
2006. ISBN 80-247-1278-4 [cit. 2014-04-24]
[4] Tvrdíková, M.,: Aplikace moderních informačních technologií v řízení firmy. 1. Vyd. Praha:
Tiskárny Havlíčkův Brod, 2008. ISBN 978-80-247-2728-8 [cit. 2014-04-24]
[5] Zdolajte WEP pomocou Linuxu [online]. http://www.linuxon.sk/navody/1-navody/1128-
zdolajte-wep-cez-air-nastroje
[6] Čermák M.: Lámaní hesel [online]. http://www.cleverandsmart.cz/lamani-hesel/ , 2012
[7] Přibyl T.: Zákeřný útok jménem DoS[online]. http://www.systemonline.cz/it-
security/zakerny-utok-jmenem-dos.html, 2006
[8] Čmelík M.: Seznamte se – DoS a DDoS útoky [online]. http://www.security-
portal.cz/clanky/seznamte-se-%E2%80%93-dos-ddos-%C3%BAtoky, 2013
[9] Schmidt I.: Penetračné testy preskúmajú vašu sieť [online].
http://computerworld.cz/archiv/penetracne-testy-preskumaju-vasu-siet-22229, 2004 [cit. 2014-
05-01]
[10] Dostupné z: http://www.penetracne-testy.sk/
62
[11] TOP 10 2013 [online].https://www.owasp.org/index.php/Top_10_2013-Top_10, 2013
[12] Metoda IPR - Identifikace procesů a rizik [online].
http://www.management-rizik.cz/rizika_sub/analyza_rizik.html , 2012 [cit. 05-05-2014]
[13] Bezpečnost a Hacking WiFi (802.11) - 4. část WPA a WPA2 [online]. http://www.security-
portal.cz/clanky/bezpe%C4%8Dnost-hacking-wifi-80211-4-%C4%8D%C3%A1st-wpa-wpa2
[14] Ako pracuje minútový útok naWEP[online].
http://www.dsl.sk/article.php?article=3869 , 2013
[15] Stallings, W.: Cryptography and Network Security: Pearson Education, Inc.,2006, s.12.
ISBN 0-13-187316-4[cit. 11-05-2014]
[16] STAUDEK, J., HANÁČEK, P.: Bezpečnost elektronického obchodu:. In systems
Integration, 1999. Praha. ISBN 80-7079-05 [cit. 11-05-2014]
[17] Ako hackeri klamú vašich zamestnancov [online]. http://www.cfo.sk/articles/ako-hackeri-
klamu-vasich-zamestnancov, 2013
[18] Dostupné z: [online]. https://www.owasp.org/index.php/Main_Page , 2013
[19] Dostupné z: [online]. http://www.slvs-senec.sk/index.php/o-nas, 2014
[20] Valková Z.: Metodické usmernenie č. 5/2013 k pojmu informačný zákon [online].
http://www.dataprotection.gov.sk/uoou/sites/default/files/metodicke_usmernenie_c._5_2013_k_
pojmu_informacny_system_osobnych_udajove.pdf
[21] Přibyl, T.: Bezpečnostní politika a hesla [online]. http://www.ictsecurity.cz/odborne-
clanky/bezpecnostni-politika-a-hesla.html
63
[22] Zaťko, T.: Penetračné testovanie: vyuţite etických hackerov pre simulovaný útok na váš
systém [online]. http://www.itnews.sk/tituly/infoware/2014-04-09/c162570-penetracne-
testovanie-vyuzite-etickych-hackerov-pre-simulovany-utok-na-vas-system, 2014
[23] Dostupné z [online]. http://www.csas.cz/banka/nav/osobni-finance/ukazky-phishingovych-
e-mailu-d00017289
[24] Přikryl, L.: Ako si poradiť so záplavou hesiel a prístupových kódov vo firmách [online].
http://www.itnews.sk/tituly/infoware/2013-01-04/c153337-ako-si-poradit-so-zaplavou-hesiel-a-
pristupovych-kodov-vo-firmach , 2013
64
A Obsah archívu
Text práce: 395660_DP
Príloha: Cena za bezpečnostné opatrenia na ochranu citlivých údajov
Cena za zvýšenú bezpočnosť
Náklady pre navýšenie bezpečnosti na danú úroveň
65
B Prílohy
Cena za bezpečnostné opatrenia na ochranu citlivých údajov
Cena za zvýšenú bezpočnosť
Vlasnosť systému Počet človekohodín Priemerná cena
Grafika na mieru 30 600 €
Rôzne úrovne pouţívateľských
oprávnení
8 160 €
Komplikované algoritmy 50 1000 €
Modifikovateľnosť systému 15 300 €
Prepojenie viacerých systémov 20 400 €
Odolnosť vočí výpadkom 30 600 €
Stupeň
citlivosti
Charasterika systému Cena za zvýšenú
bezpočnosť
1. Ţiadne údaje zákonom povaţované za citlivé
informácie
Napr. počty klientov...
0 €
2. Osobné údaje – dodrţanie aktuálnej vyhlášky na
spravovanie osobných údajov
Napr. mená a priezviská, adresy, telefónne čísla, e-
maily
490 €
3. Osobné údaje pouţívateľov a citlivé údaje firmy
Údaje o príjmoch, stratégiách.
1190 €
66
Náklady pre navýšenie bezpečnosti na danú úroveň
4. Oprávnenia ovplyvňovať procesy vo firme
Napr. prideľovanie prístupov
1990 €
5. Peňaţné operácie 4990 €
Typ zraniteľnosti/rozsiahlosť aplikácie
Malá Stredná Veľká
Injection (SQL) 39 € 89 € 149 €
Broken Authentication & Session
managment
39 € 89 € 149 €
Cross-Site Scripting 49 € 99 € 169 €
Insecure Direct Object Reference 29 € 49 € 79 €
Security Misconfiguration 15 € 30 € 65 €
Sensitive Data Exposure 24 € 48 € 102 €
Missing Function Level Access Control 39 € 59 € 99 €
Cross-Site Request Forgery 19 € 39 € 69 €
Using Components with Known
Vulnerabilities
49 € 89 € 119 €
Unvalidated Forwards and Redirects 19 € 39 € 59 €
Top Related