Žijeme ve světě informačních systémů. V mnohém nám usnadňují práci, ale zároveň i přidělávají starosti, protože nejsou bezpečnostně dokonalé. A útoků na ně neustále přibývá.
Ačkoli jsou data považována za mnohdy nejcennější majetek vůbec, mnoho firem a institucí je nemá kvalitně zabezpečeno. A skuliny se najdou i tam, kde na bezpečnost dbají. Ještě se mi nestalo, abych testoval webovou aplikaci a nenašel v ní žádnou zranitelnost,
potvrzuje Michal Prokop, bezpečnostní analytik sdružení CZ.NIC.
Největší riziko spočívá v tom, že příliš mnoho firem stále ještě podceňuje význam IT bezpečnosti jako takové. Podle loňského zjištění projektu Hacktrophy, který vznikl z iniciativy předních specialistů v IT bezpečnosti jako odpověď na intenzivní potřebu řešit bezpečnost na internetu, je s úrovní zabezpečení svého onlinu spokojeno 80 % firem. Přitom ale 16 % z nich přiznalo, že už v minulosti čelilo hackerskému útoku a mohlo dojít k úniku dat jejich zákazníků. A jen polovina z těchto firem provádí v oblasti IT bezpečnosti nějaká opatření. Když si uvědomíme, že škody způsobené kyberzločinem u nás každoročně narůstají a dosahují miliardy korun, je nejvyšší čas, aby se firmy začaly touto problematikou vážně zabývat. Věříme, že i s naší pomocí se tento stav zlepší,
říká CEO Hacktrophy Roman Jazudek.
Vyděračské počítačové viry vydělaly svým útočníkům za dva roky v přepočtu přes půl miliardy korun. Vyplývá to ze studie společnosti Google. Škodlivé programy zvané ransomware obvykle zašifrují data na napadeném počítači a za jejich odblokování požadují výkupné. Podle Googlu je vydírání přes internet stále lukrativnější a s počtem vydělaných peněz prý poroste i agresivita útočníků. Hackeři jsou sice stále vynalézavější, ale nějaká ochrana před nimi vždy existuje. Základem je ale prevence. Je možné spoléhat se na své vlastní počítačové odborníky, provádět penetrační testy, případně svěřit bezpečnost do péče provozovatelů cloudových služeb. Podívejme se ale také na dvě netradiční cesty, jak je možné úroveň zabezpečení firemních systémů otestovat a zlepšit.
Psali jsme: Levná a účinná ochrana firemního IT. Víme, jak na to v sedmi krocích
Etický hacking
Jako etický hacker je označován ten, kdo má znalosti hackera, dokáže odhalit díry v zabezpečení webových stránek, celých systémů či sítě, ale nezneužívá toho ke svému prospěchu. Naopak pomáhá ostatním. Etický hacking je alternativou ke klasickému testování a podle mnohých je mnohem bližší reálnému provozu a hrozbám. Etických hackerů se nebojí ani největší světové firmy a organizace, které je přímo vybízejí k aktivnímu vyhledávání bezpečnostních mezer a nabízejí jim za to nemalé odměny.
Hackování probíhá podle zadání, které si klient předem definuje. Jde o takzvaný bug bounty projekt, který obsahuje informace o tom co, kde a jak se má testovat, jaké jsou zakázané techniky a různé výjimky, jaké kategorie zranitelností si chce firma nechat hledat, a také jaké odměny je ochotna hackerům zaplatit za nalezené bezpečnostní zranitelnosti. Každý z našich více než 150 hackerů používá své individuální metody a techniky. Podstatné ale je, aby dodrželi zadání klientů a nepoužívali zakázané techniky. Standardně by během testování neměl nastat žádný problém s funkčností webu. To je i rozdíl oproti penetračním testům, které se doporučují provádět spíše na testovací verzi než produkční,
komentuje za projekt Hacktrophy Roman Jazudek. Běžní uživatelé tak většinou ani nemají šanci poznat, že na daném webu probíhá testování. Web podle něj může spadnout jen výjimečně při nějaké chybě nebo použití zakázané techniky. Pak je to považováno za porušení pravidel skupiny a vede to ke ztrátě možnosti získat odměnu za nalezení bezpečnostní díry.
Dále čtěte: Desatero ochrany citlivých firemních dat
Klienti mají možnost se rozhodnout, jestli testování v Hacktrophy podstoupí s veřejnou aplikací nebo webem vytvořeným jen pro účely testování. Obě možnosti mají své klady i zápory. V případě testování ostré verze se bezpečnostní nedostatky hledají v reálném prostředí včetně nastavení infrastruktury systémových e-mailů a podobně, zatímco v případě testování kopie nemusí jít o 100% identickou verzi a všechny nedostatky se nemusí ukázat. Naše dosavadní zkušenosti říkají, že firmy se nemusí bát nechat si testovat veřejný web. Avšak doporučujeme to na začátku dobře zvážit. Záleží, o jaký typ online projektu jde a s jakými daty zachází,
dodává Roman Jazudek. Nakonec firma dostává hlášení o nalezených slabinách včetně popsání způsobu, jak byla díra nalezena, a také doporučení, jak tuto zranitelnost odstranit.
Počítačoví specialisté z Hacktrophy patří do skupiny takzvaných whitehat hackerů, kteří testování zabezpečení provádějí až poté, co si je někdo najme. Vedle nich existují také greyhat hackeři. Ti se do testování pouštějí sami a nemají na to povolení. Nemají ale v úmyslu cokoli zneužít. Mnohdy jen provozovatele systémů upozorní na nedostatky. Pokusy o prolomení zabezpečení informačních systémů jsou ovšem trestně postižitelné. Firmy se proti tomu mohou bránit. Třetí skupinou jsou obávaní a nejvíce známí blackhat hackeři. To jsou ti, kteří se snaží do systémů nabourat čistě jen kvůli krádežím dat.
Mohlo by vás zajímat: Další výdaje a povinnosti podnikatelů. Povinná ochrana dat
Skener webu
Zajímavý projekt zaměřený na zkvalitnění prostředí internetu provozuje správce národní domény .CZ, Sdružení CZ.NIC. Jmenuje se Skener webu a pomáhá odhalit nejčastější zranitelná místa webových aplikací tím, že shromažďuje statistiky výskytu různých forem zranitelnosti tuzemských webových stránek. Statistické údaje se vyhodnocují po delší době a měly by vést k případným preventivním krokům, jako je například větší osvěta. Systém kromě vlastního měření vychází z open source zdrojů včetně seznamu Top 10 obecně nejzávažnějších bezpečnostních rizik projektu Open Web Application Security.
Službu mohou využít ti, kteří nemají důvěru k etickým hackerům. Sdružení ji navíc provozovatelům webů nabízí zdarma, protože chce získat reálná statistická data o výskytu zranitelností webových aplikací v prostředí českého internetu. Skener webu je sice primárně určen pro státní a neziskový sektor, ale provozovatel se nebrání ani objednávkám ze soukromého sektoru. V takovém případě velmi záleží na rozsahu testování.
Dále čtěte: 3 důvody, proč nekupovat ve firmě software a používat cloud
Testování se děje ve třech fázích a zaměřuje se především na zjištění slabin ze spektra deseti nejzávažnějších zranitelností webových aplikací uvedených v mezinárodním projektu OWASP Top 10. Sleduje se tedy injektování, chybná autentizace a správa relace, cross site scripting, nezabezpečený přímý odkaz na objekt, nezabezpečená konfigurace, expozice citlivých dat, chyby v řízení úrovní přístupů, cross-site request forgery, použití známých zranitelných komponent a neošetřené přesměrování. I v tomto případě se jedná o nedestruktivní testy a stránky nebo systémy by měly po dobu testování zůstat bez problémů dostupné. Opět je to ale individuální záležitost, o které je potřeba před zahájením testu diskutovat. Provozovatelé a majitelé webů mají možnost zažádat o komplexní servis v podobě automatického i manuálního skenování webu. Výstupem je dokument, ve kterém jsou popsané všechny nalezené zranitelnosti s konkrétním doporučením, jak se s nimi vypořádat. Toto doporučení je popsané u každé individuální zranitelnosti zvlášť,
uvádí bezpečnostní analytik sdružení CZ.NIC Michal Prokop.
A jaká jsou nejčastější rizika? Z mého pohledu se jedná o neaktuální software potřebný pro provoz webové aplikace. Na internetu je velmi jednoduché dohledat zranitelnosti konkrétní verze využité komponenty. Závažných zranitelností je ale velké množství, a to i mimo webové aplikace. Přítomnost zranitelnosti může vést k napadení webu a samozřejmě i všeho, co k němu náleží. Může dojít k úniku citlivých informací, změně údajů, krádeži, znepřístupnění služeb a tak dále,
dodává Michal Prokop.
