Onnan jön a támadás, ahonnan nem is gondolnád

Rajendrasinh Babubha Makwana, 35 éves Unix adminisztrátor leütötte az utolsó Entert a rövid programjában, amely minden reggel lefutott rendszerkarbantartó modulként. Elégedetten hátradőlt, majd 1 órával később leadta a belépő kártyáját, és aláírta a kilépő papírjait. Befejezte munkáját a Fannie Mae ingatlanhitelekre szakosodott pénzintézetnél. A dátum: 2008. október 24. 04.00 p.m.
2009. január 31. 09.15 a.m. A Fannie Mae vállalat egyik kulcsfontosságú Unix szerverével megszakadt a rendszerfelügyelet kapcsolata. Majd sorban többiekkel is. A kritikus gépekre nem lehetett belépni, mintha minden hozzáférési jogosultság megszűnt volna.
A későbbi vizsgálatok megállapították, hogy mind a 4000 számítógépet módszeresen letörölték, aznap reggel 9.00 órától kezdődően. A kár több millió dollár, a Fannie Mae szolgáltatások 1 hétig elérhetetlenek voltak.
Nem, ez nem a legújabb high-tech krimi bevezetője, és Makwana nem egy versenytárs által felbérelt szuperszabotőr, csak egy egyszerű szerződéses munkavállaló és az ő utolsó munkanapja! A fent vázoltak csak részben történtek meg, köszönhetően annak, hogy 2008. október 29-én egy rutin karbantartás során véletlenül felfedezték a Makwana által elrejtett logikai bombát, amely a tervei szerint 2009. január 31-én aktiválódott volna.

A veszély legtöbbször belülről érkezik

Nem távoznak üres kézzel
Nem minden vállalat volt azonban ilyen szerencsés az elmúlt időszakban. A Progressive Hydraulics egy 1,5 millió dollár árbevétellel rendelkező újzélandi mérnöki társaság, amelynek 5 évre visszamenőleg semmisültek meg hasonló módon adatai, amelyeknek csak 40%-át sikerült visszaállítani.  Egy brit IT adminisztrátor távozása után kémprogramokat telepített volt kollégái gépére. Egy egyesült államokbeli rendszergazda letörölte korábbi megbízójának négy szerverét, valószínűleg mert nem hosszabbították meg a szerződését. A kaliforniai áramtőzsdét működtető társaság egy hétfői napot kénytelen volt zárva tartani, mivel a pénteken elbocsátott munkatárs vasárnap este visszatért a nála hagyott belépőkártyával, és áramtalanította a teljes informatikai rendszert.

Az elkövetők minden esetben belső információval rendelkező szerződéses alkalmi vagy állandó munkatársak voltak, a motiváció a düh, a csalódottság és a bosszúvágy.
A gazdasági válság kibontakozásával egyre több munkahely szűnik meg, egyre több vállalat kénytelen megválni dolgozóitól. Az állásuk és ennek következtében akár az otthonuk elvesztésével szembesülő dolgozókból a recesszió „abnormális” reakciókat válthat ki. A fenti példák csak minták abból a több tucat esetből, amelyek leírása megtalálható az interneten. Az informatikai rendszerek és egyéb eszközök megrongálásán túl egy frissen megjelent kutatás szerint a távozók előszeretettel visznek magukkal információkat, adatokat és fizikai tárgyakat. A kutatásban résztvevő elbocsátottak 59%-a ismerte el, hogy bizalmas vállalati információkkal (ügyféllisták, termékinformációk, pénzügyi kimutatások, üzleti tervek, szabadalmak stb.) távozott. A Kancellár.hu Zrt. felmérése szerint a dolgozók az adatokat CD-re, DVD-re, USB eszközre mentik, vagy egyszerűen kiküldik a saját magán e-mail címükre. A fentieket támasztja alá a PricewaterhouseCoopers (PWC) 2008. decemberében megjelent kutatása, amely szerint egyre több belső eljárás indul pénzintézetekben belső csalás gyanúja miatt.

Nem ilyen az igazán hatékony védekezés

A beépített veszély
Azokban az iparágakban, ahol (és hol nem?) a válság csökkenti a vállalatok életterét, csökken a teljes piac mérete, amelyen a versenytársak osztozni kényszerülnek. A túlélésért folytatott harcban az elmúlt hónapok tapasztalatai alapján bevetésre kerültek olyan módszerek, amelyeket egy-két évvel ezelőtt még a vállalatok nagy többsége elutasított. A legális határokon belül folytatatott ipari hírszerzésen túl fel kell készülni a törvényi kereteket súroló vagy átlépő információszerző támadások kivédésére. Kapcsolódva az előző részben foglaltakhoz, nem ritka, hogy egy-egy új alkalmazott „ajándékkal” érkezik új munkahelyére: ügyféllistákkal, konkurens üzleti információkkal táskájában. Azoknál a szervezeteknél, ahol a felelős vállalatvezetés (corporate governance) nem csak divatos szlogen volt az elmúlt néhány évben, ott az ilyen ajándékok nem találnak kedvező fogadtatásra. (Azok a cégek, akik ilyen információkkal érkező dolgozókat foglalkoztatnak, vajon gondolnak arra, hogy ha a frissen felvett kolléga tovább áll, tőlük vajon mit fog elvinni?)

A cyberveszély
Talán kicsit meglepő, de vannak a válságnak jó oldalai is. Majdnem összeomlott a világ pénzügyi rendszere, mire a bankok szigorítottak a hitelezési szokásaikon, és ma már sokkal nehezebben lehet lopott személyes információkkal bankszámlát nyitni, hitelkártyát igényelni. A cyberalvilág válasza nem volt meglepő, a személyes információk kicsit leértékelődtek, és többet fizetnek például az online bankszámla és aktív hitelkártya információkért, bár a lehetőségek itt is csökkennek, mivel egyre többen és egyre alaposabban nézik át a hó végi bankszámla- és hitelkártya-kivonatokat. Ezen a néhány pozitív változáson túl, sajnos több olyan trend is látszik, ami nem a lehetséges célpontokat segíti:

- Növekszik a célzott támadások száma. Csak jól felépített és komplex védelmi rendszerrel lehet felvenni a harcot olyan kártékony kódokkal (trójai vagy kémprogram) amelyeket kifejezetten a megcélzott vállalat számára fejlesztettek ki, és semmilyen mintaillesztésen alapuló védelmi rendszer nem képes detektálni.
- A PWC és biztonsági szoftvergyártó Finjan kutatása szerint a feleslegessé vált IT munkavállalók gyakran „tesznek egy próbát”, és megpróbálják értékesíteni megszerzett gyakorlatukat, illetve a korábbi munkaadóktól gyűjtött adatokat.

A gazdasági helyzet rákényszeríti a cyberalvilág szereplőit, hogy diverzifikálják a támadási formákat, és a spam, phising, kémprogram, trójai program alapú pénzszerzéseken túl célzott támadásokkal, bennfentes információkon alapuló tőzsdei részvény manipulációkkal egészítsék ki tevékenységüket.

A vírusokat és férgeket gyakran bevetik az adatok ellopására

A veszélyek csökkentése
Hogyan tudjuk a kockázatokat csökkenteni úgy, hogy minél kisebb mértékben érintse az üzletmenetet, és okozzon kényelmetlenséget a belső felhasználóknak? A fenyegetések nagy részét a kiemelt munkakörökben dolgozó belső munkavállalók képzik, amelyeket a megfelelő humán és információbiztonsági kontrollok működtetésével mérsékelni kell. A kockázatok alapja, hogy a szervezeteknek szüksége van olyan személyekre, akiknek bizalmas céges adatokhoz van hozzáférésük a feladataik elvégzéséhez. Ők azok, akik ismerik a rendszereket, tudják az információ értékét, sok esetben ismerik a gyenge pontokat.
A kancellár.hu az alábbi biztonsági kontrollok bevezetését javasolja:

- Csökkentsük a szükséges minimumra a kiemelt jogosultságokkal rendelkezők számát. (Minél kevesebben léphetnek be például a kutatás-fejlesztésre, annál nagyobb az esély, hogy nem szivárognak ki adatok a piacra lépést megelőzően.)
- Győződjünk meg róla, hogy valóban megbízható munkatársak dolgoznak-e kiemelt munkakörökben. A felvételi folyamatba vegyünk bele referenciavizsgálatot, kérjünk erkölcsi bizonyítványt.
- Limitáljuk az egy dolgozó által hozzáférhető bizalmas információk körét – ezáltal behatárolhatjuk az egy személy által okozható kár mértékét, ha kiderül, mégsem megbízható alkalmazottat választottunk. Alkalmazzuk a „need to know” és „least privilege” elvét, azaz mindenki csak annyi információnak és jogosultságnak legyen a birtokában, amennyi a feladata elvégzéséhez szükséges.
- Osszuk meg a feladatokat, állítsunk fel kizárási szabályokat az egyes munkakörök közé (SOD – Segregation of Duties), és képezzünk egymást átfedő, ellenőrző feladatköröket. Állítsuk úgy fel a kritikus folyamatokat, hogy legalább két különböző dolgozóra legyen szükség a teljes folyamat végig viteléhez.
- Implementáljunk és működtessünk megfelelő jogosultságkezelési folyamatokat. A folyamatok segítenek kiszűrni a szerepkör-ütközéseket és eszközt adnak a jogosultságok azonnali visszavonásához. Ha Makwana jogosultságát azonnal visszavonják, amikor tájékoztatták a munkaviszonya megszüntetéséről, akkor nem a véletlenen múlt volna 4000 szerver és több millió dollár sorsa.
- Az adatlopások megelőzésére használjunk DLP (Data Loss Prevention) megoldást, amely megfelelő implementáció esetében képes detektálni vagy megelőzni a bizalmas adatok eltulajdonítását. Az optimális DLP rendszer képes védeni az adatokat tárolás közben (központi fájlszerver, adatbázisok), hálózati műveletek közben (email forgalom, webforgalom) és felhasználás közben a munkaállomásokon.
- Auditáljunk rendszeresen, és ha felfedezzük, hogy valaki visszaélt a bizalommal, határozottan lépjünk fel és járjunk el vele szemben. Lehetőség szerint hozzuk nyilvánosságra az esetet, annak visszatartó ereje van a jövőre nézve.

Egy hatékony védelmi rendszer több, egymással együttműködő komponensből tevődik össze. A Fannie Mae IT szervezetében is több kontroll jól működött, a jegyzőkönyvek szerint viszonylag kisszámú adminisztrátornak volt joga hozzáférni rendszergazdai jogosultsággal a szerverekhez. Azonban a változások kezelésére, azok auditálására valószínűleg nem alakítottak ki megfelelő folyamatokat. A történet érdekessége még, hogy a fent említett úriember a LinkedIn szakmai közösségi portál tanulsága szerint a Bank of America alkalmazásába került az eset után, amely felveti a megfelelő referencia-ellenőrzés és a HR folyamatok kérdését a fent nevezett intézményben. 

Végezetül ne felejtsük el, hogy az intézkedéseket kockázatarányosan kell meghoznunk, és a dolgozók többsége lojális és kiérdemli a bizalmat, nem fog visszaélni a rábízott információkkal. A biztonsági intézkedések védelemül szolgálnak egy kártékony, jóval kisebb létszámú csoporttal szemben.

Az IT-biztonság témaköréből további érdekességet tudhat meg a techline.hu weboldal szakmai támogatásával készült Business IT 2009 című kiadványból, amelyet megvásárolhat az újságárusoknál, vagy megrendelhet a www.hvgplusz.hu weboldalon.