COMPUTERWORLD
Specializovaný týdeník o výpočetní technice

Seriál
o bezpečnosti
a informačním soukromí

Část 15 - CW 25/97

Dostupnost a zodpovědnost

Václav Matyáš ml.


Firma Jahůdka & Borůvka používá ke správě skladu s ovocem a zeleninou služby několika čidel kontrolujících teplotu a vlhkost na různých místech skladu. K čemu jí budou přesná měřicí čidla, když výsledky měření nelze hodnotit centralizovaně, nebo je případně nelze zjistit vůbec? K čemu bude 22 špičkových čidel, pokud je občas někdo vypne a nelze zjistit, kdo je vypnul, případně kdy a odkud?

Podívejme se na dva významné aspekty bezpečnosti, které se nejeví příliš "sexy" věhlasným odborníkům a kterým se při akademickém výzkumu tudíž nevěnuje velká pozornost. Následující řádky však jsou velice významné pro nejednoho správce systému.

Dostupnost

Za prostředky IT platíme většinou "těžké" peníze a tak od nich očekáváme, že skutečně umožní (lepší) zpracování informací. Jen v některých případech nám jde o ochranu dat ve smyslu zajištění důvěrnosti, ve více případech nás zajímá integrita dat, ale snad v každém případě využití IT je kritická dostupnost dat. Odmítnutí služby je velmi závažný útok -- ať už se jedná o úplné zabránění autorizovanému přístupu nebo o zpoždění časově kritických operací. Jedna definice stručně zmiňuje "neautorizované zadržení informací nebo zdrojů, jehož příčinami mohou být náhodné i záměrné operace."

Asi největší popularity v této oblasti se dostalo programu Roberta Morrise Jr., který v roce 1988 svým internetovským červem zahltil Internet. Jiný zajímavý případ zmiňuje firmu Panix, která je jedním z hlavních poskytovatelů připojení k Internetu v New Yorku. Ta byla na několik dnů doslova "položena", když někdo vyvolal útok vysíláním velkého množství paketů SYN a na žádnou z odpovědí nereagoval -- takže servery Panixu se snažily synchronizovat a synchronizovat, buffery přetékaly, ostatní uživatelé se marně snažili připojit. Servery Panixu to nakonec nevydržely.

Je rozumné předpokládat, že v úvodu zmiňovanou firmu Jahůdka & Borůvka nebude při přenosu informací z čidel ve skladu zajímat zajištění důvěrnosti dat, ale primárně zajištění dostupnosti dat a sekundárně zajištění integrity. Pro zajištění důvěrnosti by stačilo "jen" něco kryptografie, co ale s dostupností? Tady je třeba položit si mnoho otázek a nalézt patřičné odpovědi: Lze s čidly manipulovat? Lze ohrozit komunikaci čidel a sítě pro přenos dat z čidel? Nelze ohrozit síť samotnou?

Prof. Roger Needham zmiňuje v zajímavém článku (Denial of Service: An Example; Communications of ACM 9/94) odmítnutí služby v případě poplašných zařízení. Ta jsou často propojena s pultem centrální ochrany pronajatou (telefonní) linkou. Cílem útočníků-zlodějů je zabránit tomu, aby se signál z poplašného zařízení dostal k ochranné službě. Jedním z nejpoužívanějších triků je jednoduché poškození drátů telefonní linky v noci, kdy jsou na místo ihned posláni lidé z ochranky i od telefonní společnosti. Ti si obvykle řeknou, že oprava může do rána počkat -- zloději si také počkají, spočítají přicházející i odcházející techniky a pokud nula od nuly pojde, tak objekt bez problémů vykradou. Dalším možným útokem je vyvolání poplachu na více místech současně, nejlépe dokonce vyslání poplašného signálu na všech linkách vedoucích k ochrance. Již se také stalo to, že zloději vyhodili do vzduchu přímo ústřednu telefonních rozvodů...

Je také jasné, že odmítnutí služby může být vedeno selektivním nebo neselektivním způsobem. Útok neselektivním způsobem je vždy rozpoznatelný velkou většinou uživatelů (např. vyhození ústředny), při selektivním útoku je cílem vybraný uživatel nebo skupina uživatelů a není všeobecně jasné, že je/byl nějaký útok realizován.

Protiopatření? Detailní diskuze by zabrala celé číslo Computerworldu, v zásadě jsou však dvě: učinit poruchy obtížnými a pokud už nastanou, tak o nich včas vědět. Mnohdy pomůže šifrování (aby oponent nevěděl, jakou zprávu čidlo vyslalo) či mechanismy zabraňující analýze provozu (traffic analysis). Téměř vždy je potřeba zajistit ochranu integrity, často je ale nutné spoléhat "jen" na reakce na poruchy. Žádoucí je rovněž dobře se pojistit. Pro mnohé obecnější a "méně kritické" aplikace IT je často vhodným řešením spolehlivé zálohování, uložení kopií kritických dat v bankovních sejfech atd. Dnes také není nijak překvapující např. ukládání velmi kritických dat (kryptografické klíče vrcholných certifikačních autorit ap.) v bunkrech, zvláštních místnostech ve skalách atd. Úplně zvláštní otázkou jsou problémy burz a clearingových středisek.

Zodpovědnost

Pokud někdo s čidly manipuloval, je velmi záhodno vědět, kdy se tak stalo, kdo byl v dané době ve skladu atd. Zodpovědnost (accountability) je vlastnost, která v obecném smyslu chybí nejen mnohým českým politikům, ale také bohužel ve spoustě informačních systémů. Možná by také bylo výstižnější říkat individuální nebo prokazatelná zodpovědnost. Často se zmiňuje v souvislosti s auditem, který ji sice podporuje, ale v žádném případě tyto dva pojmy nelze spojit rovnítkem. Formální definice zodpovědnosti v bezpečnosti by byla asi: vlastnost, která zajišťuje evidenci událostí spojených s bezpečností ve vztahu k uživatelům. Tato vlastnost zajišťuje, že jednotlivé akce spojené s určitou entitou mohou být zpětně vysledovány.

Audit ale slouží také k jiným věcem než k prosazení zodpovědnosti -- velmi významný je pro detekci průniku (intrusion detection), která je obvykle založena právě na analýze auditního záznamu (audit trail), resp. jeho jednotlivých položek (audit record). Zde panuje ohledně přesné terminologie značný zmatek, proto stručně:

* auditovaná událost (audit event) -- systémem detekovaná akce, která může vyvolat spuštění a zápis auditu, pak se jedná o zaznamenanou událost;

* auditní záznam (audit trail) -- evidence, která umožňuje kontrolu funkčnosti částí systému a využití systému;

* položka auditního záznamu (audit record) -- skupina dat zaznamenaná v auditním záznamu při výskytu zaznamenané události; položka auditního záznamu se skládá z popisu auditu, z nichž každý má množinu souvisejících atributů auditu;

* popis auditu (audit description) -- část položky auditního záznamu, kde je popsán jeden ze subjektů nebo objektů, které se na nějaké zaznamenané události podílely;

* atribut auditu (audit attribute) -- určitá informace o zaznamenané události nebo o jednom ze subjektů či objektů, které se na události podílely.

Pokud se tedy zdá, že s čidly někdo manipuloval, pak je třeba zjistit, která čidla jsou postižena a prohlédnout odpovídající popisy auditu. U systémů, které prošly nezávislým hodnocením bezpečnosti podle TCSEC (tzv. Oranžová kniha, o které bude řeč později), je audit podmínkou u OS hodnocených na C2 a výše. Sám audit je k ničemu, když se nevyužije pro zjištění viníka a hlavně pro zajištění nápravy -- jak u postižených částí systému, tak při potrestání viníka a varování ostatním: "Chytnu vás a dostanete přes prsty, k nám do skladu se lozit nevyplatí!"

Seriál je rovněž dostupný na www.idg.cz/computerworld/bvsk/


| COMPUTERWORLD - seriál o bezpečnosti | COMPUTERWORLD | IDG CZ homepage |