Najczęstsze błędy popełniane przez administratorów – hasła
W powszechnym przekonaniu przyczyną udanych cyberataków i wycieków danych są głównie błędy popełniane przez użytkowników systemów. Nie jest to teoria pozbawiona uzasadnienia, jednak istnieje także inne, rzadziej opisywane źródło problemów. Choć prawdopodobnie więcej błędów w systemach i aplikacjach IT popełniają ich użytkownicy, to należy pamiętać, że błędy popełnione przez administratorów mogą mieć dużo poważniejsze konsekwencje dla bezpieczeństwa IT organizacji.
Z TEGO ARTYKUŁU DOWIESZ SIĘ:
|
Jest kilka powodów, dla których pomyłki lub zaniedbania administratorów powinny być szczególnie brane pod uwagę podczas analizy ryzyka IT. Po pierwsze, osoby zarządzające rozwiązaniami IT mają z racji pełnionych obowiązków dużo większe uprawnienia, pozwalające często nie tylko na pełną kontrolę nad systemami, ale także na ukrycie śladów ewentualnych incydentów. Po drugie, administratorzy często przekonani są o tym, że błędy bezpieczeństwa popełniają użytkownicy a informatyków te problemy zwyczajnie nie dotyczą. Po trzecie, cyberprzestępcy chętnie wykorzystują błędy popełniane przez specjalistów IT – to szybki i efektywny kosztowo sposób pokonania mechanizmów uwierzytelniających atakowanej firmy. Te powody sprawiają, że warto przyjrzeć się błędom najczęściej popełnianym przez administratorów.
Nasze hasła są bezpieczne
Hasła są jednym z podstawowych mechanizmów zapewniających bezpieczeństwo danych. Prawidłowe ich tworzenie, przechowywanie, zarządzanie i używanie stanowią jednak spore wyzwanie – także dla administratorów.
Polscy informatycy do tej pory pamiętają wykradzione przez włamywaczy hasło broniące dostępu do oficjalnej strony internetowej Kancelarii Premiera RP, „admin1”. Podobne trywialne hasła często padają ofiarami automatów skanujących Internet i odgadujących hasła do popularnych usług takich jak SSH (ang. secure shell czyli standard protokołów komunikacyjnych używanych w sieciach komputerowych TCP/IP) czy RDP (ang. Remote Desktop Protocol – protokół pozwalający na komunikację z usługą terminala graficznego w Microsoft Windows).
Czasem administratorzy pozwalają sobie na ustawienie „na chwilkę” prostego hasła do usługi dostępnej z zewnątrz, zakładając, że nic złego w tym czasie się nie stanie. Niestety automaty skanujące sieć są bardzo szybkie i natarczywe, co powoduje, że proste hasło może zostać sprawdzone w ciągu kilku sekund po jego ustawieniu. Nawet jeśli administrator po chwili ponownie ustawi bezpieczne hasło, to na serwerze może być już zainstalowane złośliwe oprogramowanie.
Nie mamy włamywaczy w sieci wewnętrznej
Innym popularnym, lecz niebezpiecznym podejściem jest ustawianie prostych haseł w sieci wewnętrznej firmy. Cześć administratorów wychodzi z błędnego założenia, że użytkownicy w firmowej sieci nie są zagrożeniem. O ile faktycznie rzadko zdarza się, by to pracownik włamywał się do wewnętrznych systemów (częściej wykorzystują oni już posiadane dostępy), to jeśli do firmowej sieci raz dostanie się włamywacz, proste hasła znacznie ułatwiają mu uzyskanie dostępu do innych systemów i mogą znacząco zwiększyć straty. W ograniczeniu tego zagrożenia może pomóc separacja sieci wewnętrznych, lecz nie oznacza to, że można w niej stosować łatwiejsze hasła.
Po co mi różne hasła
Kolejnym grzechem administratorów jest używanie tych samych haseł w wielu różnych miejscach. Do ogromnego wycieku danych użytkowników Dropboxa doszło dlatego, że jeden z administratorów używał tego samego hasła w różnych serwisach internetowych oraz do swojego firmowego konta na GitHubie. W podobny sposób wykradziono dane klientów Ubera. Przestępcy przeglądają zbiory wykradzionych danych użytkowników różnych serwisów poszukując w nich profili administratorów różnych firm, licząc na to, że z użyciem ich prywatnych haseł będą mogli dostać się także do zasobów firmowych. W ten właśnie sposób przejęto nawet konto Marka Zuckerberga na Twitterze – używał tam tego samego hasła, jakim posługiwał się w serwisie LinkedIn.
To tam było domyślne hasło?
Chyba najgorszym, ale niestety nadal często spotykanym zaniedbaniem jest pozostawienie domyślnych haseł dostępu ustawionych przez producenta sprzętu lub oprogramowania. W sieci łatwo można znaleźć spisy takich domyślnych ustawień, posortowane według producentów, modeli urządzeń czy rodzajów aplikacji. Pominięcie zmiany domyślnego hasła w procesie instalacji i konfiguracji urządzenia lub aplikacji jest tożsame z wystawieniem go na skuteczne ataki nawet początkujących włamywaczy. Szczególnie urządzenia dostępne z sieci publicznej z domyślnymi hasłami często stają się częścią botnetów (grupą komputerów zainfekowanych szkodliwym oprogramowaniem).
Trzymamy wszystko w Excelu lub notatniku
Piątym spośród najpoważniejszych grzechów administratorów dotyczących haseł jest nieprawidłowe przechowywanie danych uwierzytelniających. Czasem jednym z pierwszych (a także ostatnich) kroków testów penetracyjnych jest odnalezienie pliku tekstowego lub arkusza kalkulacyjnego zawierającego wszystkie hasła całego zespołu administratorów w jednym miejscu. Istnieje wiele narzędzi takich jak Dashlane czy Keeper, wspomagających prawidłowe szyfrowanie, zarządzanie hasłami. Ich stosowanie w środowiskach firmowych powinno być normą, a nie wyjątkiem.
Lepiej zapobiegać zawczasu
Odkrycie wszystkich złych praktyk dotyczących haseł stosowanych w danej firmie nie jest prostym zadaniem. Można podejść do tego z kilku różnych perspektyw. Po pierwsze, należy stworzyć odpowiednie standardy i procedury opisujące tworzenie, przechowywanie i zarządzanie hasłami. Po drugie, warto okresowo przeprowadzać audyty oraz testy penetracyjne, które pomagają w wykryciu nieprawidłowości w stosowaniu procedur. Trzecim elementem może być monitoring użycia haseł na poziomie systemu SIEM, pozwalający na wykrycie anomalii mogących stanowić zagrożenie bezpieczeństwa. Czwartym czynnikiem minimalizującym ryzyko i wartym rozważenia jest wdrożenie Web Application Firewall, który pozwoli ograniczyć ryzyko przełamywania zabezpieczeń aplikacji WWW, w tym prób odgadywania haseł.
Bezpieczeństwo haseł pozwala także znacząco podnieść wdrożenie wieloskładnikowego uwierzytelnienia. Nie zapominajmy także o zasadzie ograniczonego zaufania, która obowiązuje także w przypadku administratorów. W ich przypadku warto rozważyć użycie systemów zarządzania uprzywilejowanymi kontami oraz użytkownikami, pozwalających na ewidencjonowanie oraz monitorowanie zasadności przeprowadzanych przez nich operacji.
Podsumowanie
Przypomnijmy najważniejsze zalecenia dotyczące haseł:
- należy za wszelką cenę unikać prostych haseł, także ustawianych na chwilę lub w systemach wewnętrznych,
- od administratorów należy oczekiwać używania różnych haseł w różnych serwisach,
- hasła domyślne powinny być zmienione przed dopuszczeniem sprzętu lub aplikacji do używania,
- firmowe hasła administratorów powinny być przechowywane w formie zabezpieczonej za pomocą silnego szyfrowania w narzędziach dedykowanych do tego celu,
- procesy zarządzania hasłami powinny być regularnie kontrolowane.
Przeczytaj także artykuł: Najczęstsze błędy popełniane przez administratorów – kopie bezpieczeństwa
Data publikacji: 28.11.2018