MASARYKOVA UNIVERZITA

FAKULTA INFORMATIKY

IT bezpečnosť vo firme

Diplomová práca

Bc. Ľubomír Guniš

Brno, 2015

ii

Prehlásenie

Prehlasujem, ţe táto diplomová práca je mojím pôvodným autorským dielom, ktoré som

vypracoval samostatne. Všetky zdroje, pramene a literatúru, ktoré som pri vypracovaní

pouţíval alebo z nich čerpal, v práci riadne citujem s uvedením úplného odkazu na príslušný

zdroj.

Bc. Ľubomír Guniš

Vedúci práce: Ing. Leonard Walletzký, PhD.

iii

Poďakovanie

Rád by som poďakoval vedúcemu práce Ing. Leonardovi Walletzkému, PhD. za umoţnenie

vzniku, podnety a odbornú pomoc pri návrhu, tvorbe a realizácií. Ďalej správcovi siete

Súkromného liečebno – výchovného sanatória Igorovi Hulovi za ochotu a spoluprácu, svojej

rodine a všetkým, ktorí ma podporovali počas štúdia a písaní tejto práce.

iv

Zhrnutie

Práca sa zameriava na sformulovanie odporúčaní pre Súkromné liečebno – výchovné

sanatórium v Senci, ktoré jej pomôţu zvýšiť úroveň IT bezpečnosti. Práca vysvetľuje pojmy

a princípy, zaoberá sa politikou hesiel a moţnosťou prelomenia a testovania bezpečnosti.

V praktickej častí práce sme vypracovali sieťovú analýzu firmy a podieľali sa na vykonaní

penetračných testov, na základe ktorých sme navrhli odporúčania , preukázali ich platnosť

a zhodnotili ich výsledky a prínosy.

.

v

Kľúčové slová

Bezpečnosť, DoS a DDoS útoky, analýza rizík, penetračné testy, Súkromné liečebno –

výchovné sanatórium, sieťová analýza , bezpečnosť siete

1

Obsah

1 Úvod ........................................................................................................................................ 4

2 Informačná bezpečnosť ........................................................................................................ 5

2.1 Princípy IT bezpečnosti.................................................................................................. 5

2.2 Aktíva .............................................................................................................................. 6 2.2.1 Zraniteľnosť aktíva ................................................................................................................. 6

2.3 Útočník ............................................................................................................................ 6

2.4 Hrozby ............................................................................................................................. 7

2.5 Bezpečnostné poţiadavky ............................................................................................... 7

2.6 Bezpečnostná politika ..................................................................................................... 8

2.7 Ľudský faktor .................................................................................................................. 9 2.7.1 Techniky klamania uţívateľov .............................................................................................. 11 2.7.2 Vzdelávanie ........................................................................................................................... 12 2.7.3 Politika hesiel ........................................................................................................................ 13

2.8 Prelomenie hesiel .......................................................................................................... 14 2.8.1 Lámanie hesiel online ........................................................................................................... 15 2.8.2 Lámanie hesiel offline ........................................................................................................... 15 2.8.3 Dĺţka hesla ............................................................................................................................ 15 2.8.4 Mnoţina znakov (Keyspace) ................................................................................................. 15 2.8.5 Počet moţných variácií (Variation) ...................................................................................... 15 2.8.6 Rýchlosť lámania hesla (Speed)............................................................................................ 16 2.8.7 Pravidlo fifty – fifty (Probality) ............................................................................................ 16 2.8.8 Distribuované lámanie hesla (Distributed computing) ......................................................... 16 2.8.9 Smart bruce force attack ....................................................................................................... 16 2.8.10 Doba platnosti hesla (Time) .............................................................................................. 17 2.8.11 Vzorec pre dobu prelomenia hesla ................................................................................... 17

2.9 Zabezpečenie siete pomocou WEP a WPA/WPA2 ...................................................... 17 2.9.1 Wired Equipment Privacy ..................................................................................................... 17 2.9.2 WPA a WPA2 ....................................................................................................................... 19

2.10 DoS a DDoS útoky ........................................................................................................ 21 2.10.1 Metódy .............................................................................................................................. 22 2.10.2 Motivácia k útokom .......................................................................................................... 22 2.10.3 Prevencia pred DoS a DDoS............................................................................................. 23

3 Analýza rizík ........................................................................................................................ 25

3.1 Hodnotenie rizík metódou IPR...................................................................................... 26 3.1.1 Identifikácia rizík .................................................................................................................. 26 3.1.2 Klasifikácia rizík ................................................................................................................... 26 3.1.3 Potrebné zdroje ..................................................................................................................... 27

4 Penetračné testy ................................................................................................................... 28

2

4.1 Ciele penetračných testov ............................................................................................. 28

4.2 Oblasti pôsobenia .......................................................................................................... 29

4.3 Externé penetračné testy ............................................................................................... 30

4.4 Interné penetračné testy................................................................................................. 31

4.5 OWASP TOP 10 ........................................................................................................... 31

4.6 Voľba opatrení pre zachovanie a navýšenie úrovne bezpečnosti ................................. 33

5 Predstavenie firmy .............................................................................................................. 38

5.1 Sieťová analýza ............................................................................................................. 39 5.1.1 Backup server ........................................................................................................................ 44 5.1.2 Pobočka Chrastince ............................................................................................................... 45

6 Bezpečnosť siete v SLVS .................................................................................................... 46

6.1 Test bezpečnosti prístupových bodov ........................................................................... 47 6.1.1 Potrebné vybavenie ............................................................................................................... 47 6.1.2 Priebeh .................................................................................................................................. 49 6.1.3 Záver a odporúčania .............................................................................................................. 51

6.2 Účty v Active Directory ................................................................................................ 51 6.2.1 Potrebné vybavenie ............................................................................................................... 51 6.2.2 Priebeh .................................................................................................................................. 52 6.2.3 Záver a odporúčania .............................................................................................................. 53

6.3 Slabá politika hesiel ...................................................................................................... 54 6.3.1 Potrebné vybavenie ............................................................................................................... 54 6.3.2 Priebeh .................................................................................................................................. 54 6.3.3 Záver a odporúčanie .............................................................................................................. 55

6.4 Sieť a porty z vonku ...................................................................................................... 55 6.4.1 Potrebné vybavenie ............................................................................................................... 55 6.4.2 Priebeh .................................................................................................................................. 55 6.4.3 Záver a odporúčania .............................................................................................................. 56

6.5 Hľadanie exploitov ........................................................................................................ 57 6.5.1 Potrebné vybavenie ............................................................................................................... 57 6.5.2 Priebeh .................................................................................................................................. 57 6.5.3 Záver a odporúčania .............................................................................................................. 58

7 Záver .................................................................................................................................... 60

Bibliografia: ................................................................................................................................. 61

A Obsah archívu ..................................................................................................................... 64

B Prílohy .................................................................................................................................. 65

3

Zoznam obrázkov

Obr. 2.1 Strategic Security Survey (Prevzaté z [17]) 10

Obr. 2.2 Ukážka podvodného e-mailu z 26.11. 2013 (Prevzaté z [23]) 12

Obr. 2.3 Pravdepodobnosť nájdenia kľúča podľa počtu paketov (Prevzaté z [14]) 14

Obr. 4.1: Prehľad vlastností a rozdielov vykonávaných penetračných testov a auditov

(Prevzaté z [10]) 33

Obr. 4.2 Proces výberu vhodných opatrení 34

Obr. 4.3 Prehľad vlastností a rozdielov vykonávaných penetračných testov a auditov

(Prevzaté z [10]) 34

Obr. 4.4 Náklady pre navýšenie bezpečnosti na danú úroveň 35

Obr. 4.5 Proces výberu vhodných opatrení 37

Obr. 5.1 Sieťová mapa SLVS 40

Obr. 6.1 Zobrazenie širokej škály nástrojov v špeciálnom nástroji Kali Linux. 48

Obr. 6.2 Príklad monitorovacej obrazovky (z bezpečnostných dôvodov je použité

monitorovanie z kaviarne a nie zo skúmanej firmy) 50

Obr. 6.3 Skript zisťujúci účty s expirovanými heslami 52

Obr. 6.4 Skript zisťujúci posledné prihlásenie jednotlivých účtov 53

Obr. 6.5 Nastavená politika hesiel 54

Obr. 6.6 Príklad skenovania portov pomocou nástroja nmap 56

Obr. 6.7 Aktivované prostredie pre exploit, čaká na pokyn testovania 58

4

1 Úvod

V dnešnom svete, v ktorom sme svedkami neustále sa rozvíjajúcich informačných a

komunikačných technológií má IT bezpečnosť stále dôleţitejšie postavenie. Pre firmy je dôleţité

sledovať tento vývoj, čím podporujú svoje vlastné aktivity a procesy. Stretávame sa však

s úplným nepochopením tohto trendu a s tým je spojené zanedbanie bezpečnosti, ktoré môţe

viesť k váţnym následkom cez naplnené hrozby.

Rôzne firmy si neuvedomujú túto skutočnosť a stále volia pasívny prístup k tejto

skutočnosti a často riešia bezpečnosť, aţ keď je narušená. Existujú aj iné dôvody, prečo sa firmy

bezpečnosti nevenujú, napr. malé firmy nemusia svoje údaje pokladať za potenciálny cieľ

útokov.

Predmetom tejto diplomovej práce je sformulovanie odporúčaní pre Súkromné liečebno –

výchovné sanatórium v Senci, pre ktoré je dôleţité dbať na bezpečnosť z dôvodu práce

s osobnými a lekárskymi údajmi a dodrţania zákona o ochrane osobných údajov.

Vrátane úvodu a záveru je diplomová práca rozdelená na sedem kapitol a ďalšie

podkapitoly. Prvá zo zvyšných kapitol sa venuje opisu základných pojmov a princípom IT

bezpečnosti pre lepšie pochopenie tejto témy. Jej podkapitoly vysvetľujú spôsoby prelomenia

hesiel a zabezpečenie siete. Ďalšia kapitola sa venuje opisu moţnosti vykonania analýzy rizík

a posledná kapitola teoretickej časti vysvetľuje moţnosti vykonania penetračných testov, kde

okrem teoretického opisu nájdeme grafy, ktoré znázorňujú ceny pre navýšenie bezpečnosti, ktoré

boli konzultované s firmou Webiky a tieţ diagram výberu vhodných opatrení.

Nasledujúce dve kapitoly sa venujú praktickej časti práce. Piata kapitola je venovaná

predstaveniu Súkromno liečebno – výchovného sanatória, vrátane jeho pobočky v Chrastinciach

a vypracovaniu sieťovej analýzy firmy. V poslednej kapitole praktickej časti je opísané

vykonanie penetračných testov v sanatóriu, na základe ktorých sú vypracované závery

a odporúčania pre navýšenie bezpečnosti.

Záver opisuje priebeh práce a hodnotí jej výsledky a prínosy pre Súkromné liečebno –

výchovné sanatórium v Senci.

5

2 Informačná bezpečnosť

Informačná bezpečnosť sa v zmysle informatizácie definuje ako „schopnosť siete alebo

informačného systému ako celku odolať s určitou úrovňou spoľahlivosti náhodným udalostiam,

alebo nezákonnému, alebo zákernému konaniu, ktoré ohrozuje dostupnosť, pravosť, integritu a

dôvernosť uchovávaných alebo prenášaných údajov a súvisiacich služieb poskytovaných alebo

prístupných prostredníctvom týchto sietí a systémov.“[1]

Podľa [16] IT bezpečnosťou sa rozumie proces dosahujeme integritu, dostupnosť, evidenciu,

autenticitu, nepopierateľnosť, spoľahlivosti informácií a sluţieb na úrovni splnujúcej

poţiadavky.

Jednoducho povedané – informačná bezpečnosť sa zaoberá ochranou informačno-

komunikačných technológií.

2.1 Princípy IT bezpečnosti

Podľa [2] informačné technológie spracúvajú stále viac informácií s veľkými hodnotami.

Spracovaním informácií v rámci informačných technológií rozumieme zachovanie, prenos,

vyhodnotenie a prezentovanie informácií.

Typy informácií s nezanedbateľnou hodnotou:

• zdravotné záznamy

• daňové priznania

• bankové účty

• elektronické platobné nástroje

• výsledky výskumov a vývojov

• obchodné zámery

Ochrana pri vyššie spomenutých typoch musí spĺňať:

• prístup smú mať iba oprávnené osoby

• spracúvať sa musia skutočné informácie

• moţnosť sledovať históriu – kto ich vytvoril, upravil a odstránil

• nesmú sa nekontrolovaným spôsobom vyradiť

6

• musia byť dostupné vţdy, keď je to treba

2.2 Aktíva

„Aktívum je všetko, čo má pre jednotlivca alebo organizáciu hodnotu, ktorá môže byť zmenšená

pôsobením určitej hrozby.“[3] Týmto rozumieme, že charakteristikou aktíva je jeho vlastná

hodnota. Hodnota je založená na objektívnom vyjadrení obecne vnímanej ceny a tiež na

subjektívnom ocenení dôležitosti aktíva, alebo tiež na kombinácii oboch prístupov. Hodnota

aktíva záleží aj na na uhle pohľadu hodnotenia.

Pri hodnotení aktíva berieme na vedomie napr. nákupné a vývojové náklady, dôleţitosť

aktíva pre chod informačného systému, cenu informácií, náklady v prípade škôd na aktívum a

ďalšie špecifické hľadiská.

2.2.1 Zraniteľnosť aktíva

Podľa [3] zraniteľnosťou chápeme citlivosť na pôsobenie hrozby. Kaţdé aktívum má zraniteľné

miesto alebo môţe byť vyuţitá slabina aktíva na páchanie škôd. Zraniteľné miesta môţu byť:

• fyzické – prvok je fyzicky umiestnený v prostredí, kde môţe vzniknúť poškodenie,

zničenie alebo strata

• prírodné – prvok sa nemôţe vyrovnať s niektorými faktormi, napr. prírodné katastrofy

• technologické – prvok konštrukčnou charakteristikou napr. nezaistí plynulú prevádzku

• fyzikálny – fyzikálne princípy prvku môţu byť zneuţité, napr. elektromagnetické

vyţarovanie komponentov ako monitory apod.

• ľudské – prvok ohrozujú omyly a nevedomostí ľudí

• Úroveň zraniteľnosti sa hodnotí podľa citlivosti aktíva – jeho náchylnosť k poškodeniu.

2.3 Útočník

„Security attack is any action that compromises the security of information owned by an

organization.“1 [15]

1 „Bezpečnostný útok je kaţdá akcia, ktorá ohrozuje bezpečnosť informácií vo vlastníctve organizácie“

Stallings, W.: Cryptography and Network Security: Pearson Education, Inc.,2006, s.12, ISBN 0-13-187316-4

7

Ďalej podľa [3] útočník je osoba vo vnútri organizácie, poprípade osoba mimo

organizáciu. Útok má jasný úmysel, ale tieţ sa môţe jednať o neúmyselný útok.

Pouţívame niekoľko označení pre označenie osôb, ktoré páchajú úmyselné útoky:

• hacker – útokom získava prestíţ

• vyzvedač – útokom získava informácie na politické účely

• terorista – útokmi chce vyvolať strach a paniku

• kriminálnik – útokmi sleduje finančný zisk

• vandal – útokmi chce poškodiť systémy

• cracker – často programátor, snaţí sa preniknúť do systémov za účelom krádeţe, orientuje

sa na krádeţ duševného vlastníctva – systémov s autorskými právami

• phracker – útokom získava bezplatný prístup k telefónnym sluţbám

• phreaker – útokmi získava telekomunikačné informácie a nimi získava prístup k ďalším

informáciám

Zdroj: [3]

2.4 Hrozby

„Hrozby a zraniteľné miesta teda zvyšujú riziko („risk“) bezpečnostného incidentu. Riziko

vyjadruje mieru ohrozenia aktíva, mieru nebezpečia, že sa uplatní hrozba a dôjde k nežiadúcemu

výsledku, vedúcemu ku vzniku škody. Veľkosť rizika je vyjadrená jeho úrovňou, pričom úroveň

rizika je určená hodnotou aktíva, zraniteľnosti aktíva a úroveň hrozby.“[3]

Podľa [3] u hrozieb vyberáme také protiopatrenia, ktorých náklady sa musia primerane

rovnať hodnote chránených aktív alebo hodnote škôd zavinených hrozbou. V tomto prípade si

stanovíme referenčnú úroveň rizika, pod ktorou je riziko zvyškové a pre systém prijateľné, lebo

nie je nutné podnikať ďalšie protiopatrenia k zníţeniu.

2.5 Bezpečnostné požiadavky

Pri stanovení bezpečnostných poţiadaviek vychádzame z celej rady štandardov, noriem, zákonov

a nadriadení. Formulujeme ich nasledovne:

8

• zachovanie dôvernosti – prístup k aktívam majú autorizované subjekty – osoba, proces

alebo zariadenie s oprávnením k činnosti v informačnom systéme

• zachovanie dostupnosti – autorizované subjekty môţu na vyţiadanie vykonať činnosť a

prístup k činnostiam im nie je odobratý

• zachovanie integrity – aktívum nemôţe meniť neautorizovaný subjekt, nepovolená

činnosť ani nekompletné prevedenie zmien

Ďalšie vlastnosti systému ovplyvňujúce bezpečnosť:

• Zaistenie preukázateľnosti – je moţné vysledovať akciu, ktorá prebehla v systéme aj s

pôvodcom akcie

• Zaistenie nepopierateľnosti – subjekt sa podieľa svojou účasťou na prebehnutí akcie

• Zachovanie spoľahlivosti – chovanie systému je konzistentné s dokumentáciou systému

Zdroj: [3]

2.6 Bezpečnostná politika

„Bezpečnostná politika je súbor opatrení zahrňujúci formálny a normatívny rámec

bezpečnostných informácií vo firme či inštitúcii. Súčasne je popisom postupu implementácie

technicko-organizačných opatrení do dennej praxe firmy či inštitúcie.“[4]

Štúdium informačnej bezpečnosti je prvý krok k budovaniu bezpečnostnej politiky. Zistíme

ním skutočný stav informačnej bezpečnosti v danej organizácii. Riadenie bezpečnosti

rozdeľujeme na dve časti:

• Podľa [4] chápeme aj ako “povedomie všetkých zamestnancov o bezpečnosti

informačných systémov.“ Pre fungovanie bezpečnostných opatrení dodrţujeme

pravidlá pri práci so systémami:

o Uţívatelia si navzájom nezadeľujú prístupové mená, heslá ani kódy. Tieto

informácie sa nezapisujú ani na voľné prístupné miesta.

9

o Pri voľbe hesla a kódu postupujeme tak, aby si ich nikto nemohol odvodiť.

Nevhodné sú vlastné mená a priezviská, mená detí, manţela, manţelky,

dátumy narodenia, sviatky a rodné čísla.

o Treba dodrţiavať pravidlá týkajúce sa zakázaných typov príloh, sledovania

zakázaných aplikácií a samospasiteľných súborov, zakázaných a rizikových

stránok.

o Firewall zabezpečuje kontrolný bod, ktorý definuje pravidlá pre komunikáciu

medzi sieťami, ktoré medzi sebou oddeľuje. Proxyserver je prostredník medzi

klientom a cieľovým serverom, oddeľuje lokálnu počítačovú sieť od internetu.

Správne nastavenie firewallu a pravidiel proxyserveru môţe obmedziť

rizikové chovanie uţívateľov, ale nevylúči ich nikdy. Preto je dôleţité

dodrţiavanie pravidiel uţívateľmi.

• Výber a implementácia vhodných technických opatrení:

o Napr. zavedenie prístupových kariet, obmedzenie prístupu uţívateľov k dátam

podľa ich potreby a podľa dôleţitosti dát, nastavenie práv uţívateľov, ktorí

komunikujú na internete, posilnenie protivírovej kontroly pre komunikáciu

von aj dovnútra z vnútornej siete a pod.

• Zdroj: [4]

2.7 Ľudský faktor

„Pri posudzovaní bezpečnosti je treba si uvedomiť, že každý systém je len taký silný, ako silný je

jeho najslabší článok. V prípade zabezpečenia informačných systémov je najslabším článkom

jednoznačne užívateľ.“[4]

Ľudský faktor je najslabší článok bezpečnostných systémov, hlavne pre neuvedomelé

správanie. Zamestnanci sú ohrozovaní napr. infikovanými e-mailom a USB kľúčmi, pripájajú sa

na podnikový server cez verejné WIFI, pouţívajú rovnaké heslá, ako na svojich účtoch na

sociálnych sieťach. Firmám nepomôţu ani najmodernejšie technológie a aplikácie proti útokom

na ich dáta. Vzhľadom na to, ţe hackeri sú stále o krok vpred, je pre firmy dôleţité, aby mal

uţívateľ prezieravé správanie. Prehľad ďalších opatrení vidíme na obrázku niţšie:

10

Obr. 2.1 Strategic Security Survey (Prevzaté z [17])

Dark Reading povaţuje za najväčšiu hrozbu infikované e-maily, ktoré je náročné odlíšiť

od skutočných. Napr. konverzačný phising môţe vyzerať, ţe odosielateľ potenciálnu obeť pozná.

Zamestnanci vyuţívajúci sociálne siete čelia o 50% vyššej šanci, ţe budú obeťami tohto útoku –

útočníci cez tieto siete zistia o obeti súkromné informácie, podľa ktorých vytvoria e-maily, ktoré

vyzerajú ako od ich známych. E-maily často obsahujú infikované prílohy s formátmi RTF, XLS,

ZIP, RAR alebo PDF.

Zdroj: [17]

11

2.7.1 Techniky klamania užívateľov

• Phishing:

Podvrhnuté weby a správy. Útočník sa snaţí získať citlivé osobné údaje – heslá, číslo

platobnej karty a pod. Jeden z trikov napr. je, keď sa webová stránka tvári ako pravá.

• Pharming

Prepracovanejší ako Phishing. Jedná sa o podvrh prekladu mena na IP adresu.

• Útoky cez sociálne inžinierstvo

Presvedčiť človeka, ţe sme niekto iný, aby nám vyzradil informácie.

Podľa obrázka môţeme vidieť úkaţku podvodného mailu z dňa 26.11. 2013, ktorého

obeťou sa stali klienti Českej sporiteľne:

12

Obr. 2.2 Ukážka podvodného e-mailu z 26.11. 2013 (Prevzaté z [23])

2.7.2 Vzdelávanie

Podľa [17 ] interné vzdelávanie zamestnancov napomáha zniţovať bezpečnostné riziko. Softvér

neochráni firmu, ak ho neovládajú dostatočne kvalifikovaný zamestnanci. Existujú spôsoby, keď

sa zamestnancom rozpošlú fingované e-maily, aby videli, aké útoky existujú a tieţ pomáha

13

interná komunikácia zamestnancov, kde vedú diskusie o podozrivých správach. Efektívne je

vykonávať tieto praktiky postupne, dlhodobo a v malých krokoch. Firma by tieţ nemala zabúdať

na politiku hesiel – zmena kaţdé 3 mesiace, obmedzenie často pouţívaných fráz...

2.7.3 Politika hesiel

Podľa [21] heslá predstavujú prvú líniu ochrany účtov uţívateľov a ich práv. Pri ich vytváraní je

nutné ošetriť ich bezpečnostnou politikou pre ich prehľadné a jasné pravidlá. Zároveň vytvára

štandard pre vytváranie silných hesiel, vrátane ochrany a čitateľnosti. Organizácia SANS

Institute 2 vydáva odporučenia pre vypracovanie bezpečnostnej politiky vo vzťahom k heslám.

Medzi základné odporúčania patria:

Meniť heslo aspoň raz za 3 mesiace

Zálohované heslá v globálnej databáze pre prístup do systému aj počas

neprítomnosti majiteľov účtov – práceneschopnosť, ukončenie pracovného pomeru

atď.

Slabé heslá predstavujú menej ako 15 znakov. Neodporúčajú sa slovníkové slová a ani

logická postupnosť čísiel a znakov. Silné heslá musia obsahovať veľké a zároveň aj malé

písmená a je odporúčané, aby ich súčasťou boli aj čísla s punkčnými znamienkami. Predstavujú

viac ako 15 znakov. Aby sme zabránili prenášaniu hesiel, musíme mať viac hesiel pre rôzne

prostredia. Tieţ je dôleţité aby sme ich nikomu neprezrádzali, ci uţ ústne, telefonicky,

elektronicky a ani vo forme ţartu. To platí aj pre utajenie formátu hesla. Zakázané sú rôzne

aplikácie pre pamätanie hesiel, vracanie sa k starému heslu (z dôvodu striedania dvoch hesiel)

a ukladanie si ich do elektronických zariadení. Pri kompromitácii hesiel musí mať uţívateľ

moţnosť informovať zodpovednú autoritu, aby vykonala potrebné úkony. Táto autorita musí

mať moţnosť kontrolovať heslá, či spĺňajú poţiadavky. Kontrola hesla môţe prebiehať:

Automaticky – odmietnutie hesla systémom ak nespĺňa pravidlá bezpečnostnej

politiky

Penetračne – cielené útoky na aby sa skvalitnil systém

V bezpečnostnej politike netreba zabúdať na moţné sankcie v prípade jej porušenia.

2 SysAdmin, Audit, Network, Security Institute

14

10 najpouţívanejších hesiel podľa [24]:

1. Password

2. 123456

3 12345678

4 1234

5 Qwerty

6 12345

7 dragon

8 *****3

9 Baseball

10 Football

2.8 Prelomenie hesiel

Prelomenie hesiel prebieha:

• online proti autorizačnej autorite

• offline – ak je k dispozícii hash hesla

Útočník pri lámaní hesiel nepredpokladá aké dlhé a komplexné heslo je a to ani v prípade,

ţe sa v danom systéme zaregistruje – čiţe okrem svojho hesla ovláda hash aj algoritmu a soli.

Útočník vychádza z poţiadaviek systému:

• minimálna a maximálna dĺţka hesla

• mnoţina povolených znakov

Heslo je moţné uhádnuť cez password guessig4 , dictionary attack

5 a pouţiť brute force attack

6 .

Zdroj: [6]

3 Cenzurované z dôvodu vulgárneho vyjadrenia 4 Uhádnutie hesla 5 Slovníkový útok – slová, ktoré obsahuje slovník 6 Útok hrubou silou

15

2.8.1 Lámanie hesiel online

Útok proti autentizačnej autorite, môţe byť ľahko odhalený, ak prebieha monitoring alebo môţe

dôjsť k uzamknutiu hesla po niekoľkých neúspešných pokusoch. Účinné je aj dlhšie

vyhodnocovanie hesla po viacerých pokusoch a zobrazovane Captchu. [6]

2.8.2 Lámanie hesiel offline

Prebieha ak máme k dispozícii hash hesla. Nie je moţné ho odhaliť, lebo prebieha na inom

počítači a nemôţe dôjsť k uzamknutiu účtu, lebo sa nevyuţívajú sluţby autentizačnej autority

systému. Na internete sú rôzne programy, ktoré slúţia na prelomenie hesiel, napr.: John The

Ripper, Cain&Abel, LCP alebo ophcrack. [6]

2.8.3 Dĺžka hesla

Útočníkovi môţe pomôcť, keď počuje koľkokrát boli stlačené klávesy pri zadávaní hesla. Tieţ

môţe mať účet v systéme a tak vie, aké poţiadavky mal systém pri stanovení hesla. [6]

2.8.4 Množina znakov (Keyspace)

Medzi mnoţiny znakov, ktoré môţeme vyuţiť pri zadávaní hesla patrí:

• 10 číslic - 0123456789

• 26 malých písmen - abcdefghijklmnopqrstuvwxyz

• 26 veľkých písmen - ABCDEFGHIJKLMNOPQRSTUVWXYZ

• 33 špeciálnych symbolov - !”#$%&’()*+,-./:;<=>?@[\]^_`{|}~

• 33 netlačitelných kódov - pozície 0 aţ 31 a 127

• 128 znakov z rozšírené sady - pozície 128 aţ 255“

Zdroj: [6]

2.8.5 Počet možných variácií (Variation)

Počet variácií, ktoré útočník môţe vyskúšať je dané exponenciálnou funkciou V = Keyspace

Length, kde:

• V = počet moţných variácií

16

• Length = dĺţka hesla

• Keyspace = počet znakov, ktoré môţe byť pouţité

Zdroj: [6]

2.8.6 Rýchlosť lámania hesla (Speed)

Touto premennou chápeme počet hesiel za sekundu, ktoré systém vyskúša, čiţe vypočítanie

pribliţnej doby, za ktorú sa dá prelomiť heslo. V offline útokoch je dôleţité, akou výpočtovou

silou útočník disponuje. V online útokoch záleţí počet hesiel vyskúšaných za jednotku času od

architektúry systému.

Zdroj: [6]

2.8.7 Pravidlo fifty – fifty (Probality)

Podľa [6] nie je potrebné skúšať všetky moţné variácie, pretoţe heslo býva prelomené za kratšiu

dobu ako sa očakáva. Je výhodné pri výpočte prelomenia hesla deliť 2, pretoţe existuje 50%

pravdepodobnosť, ţe heslo bude v prvej alebo v druhej polovici moţných variácií.

2.8.8 Distribuované lámanie hesla (Distributed computing)

Útočník môţe vyuţiť silu ostatných počítačov v sieti a tým skrátiť dobu prelomenia hesla.

Delíme teda N = počet počítačov, ktoré budú pouţité.

Zdroj: [6]

2.8.9 Smart bruce force attack

Podľa [6] útočník vychádza zo znalosti daného jazyka. „Algoritmus, ktorý generuje všetky možné

variácie optimalizovať tak, že využije skutočnosti, že frekvencie výskytu určitých písmen po

niektorých znakoch je vyšší než po iných a teda určité variácie znakov bude skúšať skôr a iné

bude skúšať najprv vtedy, až keď bude neúspešný.“[6]

Týmto zníţime počet variácií, ktoré treba na prelomenie hesla. Nie je pravdepodobné, ţe

by napr. 2 písmená po sebe boli samohlásky alebo ţeby prvé písmeno bol špeciálny znak alebo

číslo. [6]

17

2.8.10 Doba platnosti hesla (Time)

Čas k prelomeniu hesla musí byť dlhší ako je doba platnosti hesla, preto by si mal užívateľ

zmeniť heslo skôr ako bude prelomené. „Ak by útočník dĺžku hesla nepoznal, bola by dĺžka

trvania útoku daná súčtom času potrebného k vyskúšaniu všetkých možných variácií pre 1, 2 až

x-znakové heslo.“[6] Týmto predĺţime dobu prelomenia hesla.

2.8.11 Vzorec pre dobu prelomenia hesla

Podľa[6] pre dĺţku hesla, mnoţinu pouţitých znakov, rýchlosť, počet počítačov pouţitých k

lámaniu hesla a výpočet doby potrebnej k jeho prelomeniu môţme pouţiť vzorec:

Time=Keyspace^Length/Speed/N/2

Ak nepoznáme dĺţku hesla:

Time = Keyspace^Lengthmin/Speed/N + Keyspace^Lengthmin+1/Speed/N + … +

Keyspace^Lengthmax-1/Speed/N + Keyspace^Lengthmax/Speed/N/2“[6]

2.9 Zabezpečenie siete pomocou WEP a WPA/WPA2

2.9.1 Wired Equipment Privacy7

„WEP, je pôvodné zabezpečenie siete WiFi. Súčasťou IEEE 802.11 sa stal v roku 1992. WEP

používa symetrickú streamovanú šifru RC4 pre utajenie informácií a pre overenie ich správnosti

používa metódu CRC-32 kontrolného súčtu.“[5]

64bitový WEP vyuţíva 40bitový kľúč. K nemu je pripojený 24bitový inicializačný vektor-

čiţe dohromady 64bitový RC48 kľúč. 128 bitový WEP zas vytvára 104 bitový kľúč so 24bitový

inicializačný vektor . Prevaţne sa vyuţíva 128bitový - 256bitový WEP( čím dlhší -tým

bezpečnejší). Z dôvodu zastarania WEP sa neodporúča mať ho nastavené ako hlavné. [5]

7 Ďalej len WEP 8 Šifruje odoslanú správu podľa kľúča – kľúč potom správu v cieli dešifruje

18

V roku 1999 sa prvý krát začal pouţívať WEP. V roku 2001 Scott Fluhrer, Itsik Mantin, a

Adi Shamir dali do pozornosti útok proti RC4, ktorý získal 104-bitového kľúča z WEP po

zachytení 4 aţ 6 milíonov paketov.

V roku 2004 bol rovnaký útok zlepšený na potrebných 500 000 aţ 2 milióny paketov.

Útok bol síce voči WEP účinný, ukázal sa ako neefektívny pre siete s nízkou prevádzkou kvôli

časovej náročnosti.

Zdroj: [14]

„V roku 2005 Andreas Klein zverejnil novú zraniteľnosť RC4, ktorú efektívne použili Erik

Tews, Andrei Pychkine a Ralf-Philipp Weinmann na útok vyžadujúci typicky len 40 000 až 85

000 paketov.“[14]

V apríli 2007 autori zverejneného útoku na WEP zverejnili informácie, podľa ktorých je

104 bitové WEP moţné prelomiť uţ za niekoľko minút pri ľubovoľnom kľúči.

Obr. 2.3 Pravdepodobnosť nájdenia kľúča podľa počtu paketov (Prevzaté z [14])

19

2.9.2 WPA a WPA2

Kvôli prelomeniu WEP vzniklo IEEE 802.11i , prijaté v roku 2004. „Definuje Robust Security

Network (RSN) s odporúčaným TKIP (Temporary Key Integrity Protocol, protokol s integritou

dočasných kľúčov) a CCMP (CCM, Counter-Mode/Cipher Block Chaining-Message

Authentication Code, počítadlový mód s autentifikáciou správy reťazením blokov šifier,

publikovaný ako NIST SP800-38C“.[13]

WPA autentifikuje a mení kľúče cez IEEE 802.1x, šifruje a zabezpečuje integritu správy

cez TKIP a CCMP.

Hierarchia kľúčov:

• Pairwise Master Key (PMK) – hlavný párový kľúč, jeho poznanie sa dokazuje pri

autentifikácii pomocou 4-cestného EAPOL (802.1x)9

• Pairwise Transient Key (PTK) – prechodný párový kľúč, kľúč derivovaný z PMK a hodnôt

Nonce pouţitých pri autentifikácii, slúţi na generovanie kľúčov pre šifrovanie a autentifikáciu

• Group Transient Key (GTK) – prechodný skupinový kľúč, slúţi pre stanice na dešifrovanie

broadcast komunikácie

• EAPOL-Key Encryption Key (KEK) a EAPOL-Key Confirmation Key (KCK) – kľúč na

šifrovanie kľúča a kľúč na potvrdzovanie kľúča

• Temporal Key (TK) – dočasný kľúč pre šifrovanie a zabezpečenie integrity jedného dátového

rámca

Ak je to moţné, odporúča sa pouţívanie WPA2 – CCMP.[13]

9 Protokol, ktorý zabezpečuje prístup do počítačovej siete

20

Nasledujúce tabuľky nám demonštrujú, za aký čas môţu byť prelomené 8 – 20 znakové

heslá pri 300 hesiel za sekundu, ktoré systém vyskúša pri online útokoch:

Passwords per one second:

300

Keyspace

D L CI+D

Password length

10 26 36

8 4 days 22 years 298 years

9 42 days 596 years 11033 years

10 1 years 15517 years 397486 years

11 12 years 403470 years 14309809 years

12 117 years 10490245 years 515153431 years

13 1174 years 272746383 years 18545523821 years

14 11744 years 7091405979 years 667638857837 years

15 117444 years 184376555468 years 24034998882437 years

16 1174437 years 4793790442182 years 865259959768028 years

17 11744367 years 124638551496760 years 31149358551649300 years

18 117443674 years 3240602338915790 years

1121376907859380000 years

19 1174436740

years 84255660811810400 years

40369568682937500000 years

20 11744367401

years 2190647181107070000

years 1,45330447258575E+21

years

Keyspace

LC+UC LC+UC+D LC+UC+D+SCH

Password length

52 62 95

8 5651 years 23078 years 701231 years

9 299485 years 1453939 years 67318156 years

10 15578859 years 90167300 years 6395926088 years

11 810106331 years 5590395683 years 607613679636 years

12 42125534888 years 346604555415 years 57723300266673 years

13 2190527819820 years 21489482458835 years 5483713526035160 years

14 113907446636286 years 1332347912470830 years 520952784974042000 years

21

15 5923187225092510

years 82605570573214800 years

49490514572534600000 years

16 308005735704816000

years 5121545375539340000

years 4,70159888439079E+21

years

17 16016298256650500000

years 3,17535813283439E+20

years 4,46651894017125E+23

years

18 8,32847509345823E+20

years 1,96872204235732E+22

years 4,24319299316269E+25

years

19 4,33080704859828E+22

years 1,22060766626154E+24

years 4,03103334350456E+27

years

20 2,25201966527111E+24

years 7,56776753082155E+25

years 3,82948167632933E+29

years

Legenda

D 10 číslic: 0123456789

LC 26 malých písmen: abcdefghijklmnopqrstuvwxyz

UC 26 velkých písmen: ABCDEFGHIJKLMNOPQRSTUVWXYZ

SCH 33 speciálních symbolů: !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~

Veľa podobných kalkulátorov delí výsledný čas dvoma, lebo je pravdepodobné, ţe heslo sa nájde

do polovice pokusov. Tabuľky vyššie poukazujú na presný potrebný čas, kedy sa heslo

pozostávajúce z danej znakovej sady prelomí so 100%-nou pravdepodobnosťou.

2.10 DoS a DDoS útoky

DoS patria k najpríjemnejším veciam, ktoré poznáme v rámci IT bezpečnosti. Ich podstatou je

spraviť oprávneným uţívateľom nedostupné zdroje.

Útok máva dve formy:

• agresor prinúti počítač k resetu alebo k spotrebovaniu zdrojov tak, aby nemohol

poskytovať svoje sluţby

• obsadí komunikačné médium medzi uţívateľom a obeťou aby medzi nimi nebola

odpovedajúca väzba

Podľa [7] príkladom môţe byť, keď útočník chce obeti vyradiť e-mailovú schránku poslaním

väčšieho objemu mailov ako je schopná prijať. Keď sa takýto útok nepodarí zastaviť, obeť je

odsúdená na zaloţenie novej schránky. Na tomto príklade môţeme vidieť, aké sú tieto útoky

nebezpečné napriek tomu, aké sú jednoduché a útočník sa schránky ani nedotkol.

22

2.10.1 Metódy

Poznáme štyri spôsoby útokov:

• obsadenie prenosovej kapacity – účinná a jednoduchá metóda ako zamedziť prístup k

sluţbe. Útočník vytvorí také zaťaţenie stránky, ktoré zamedzí prístup ostatným uţívateľom

– môţe to vykonať, ak má k dispozícii silnejšiu linku, alebo môţe vyuţiť viac slabších

liniek, čo je náročnejšie na znalosť a koordináciu.

• privlastnenie systémových zdrojov – spotreba limitovaných zdrojov obete – procesorový

čas, pamäť serveru či voľné miesto na disku. Takto útočník získa podstatnú časť

systémových zdrojov, takţe uţívateľovi zostane zanedbateľná kapacita

• zneuţitie chýb v programe – známe alebo novoobjavené. Kvôli chybe program nedokáţe

reagovať na netradičnú situáciu a dochádza k zrúteniu

• napadnutie DNS a smerovanie paketov – na DNS serveroch dôjde k zmene záznamu IP

adries v prospech útočníka tak, ţe prevádzka serveru smeruje do „slepej ulice“. Útočník nič

nezíska, ale obeť utrpí škodu.

Niekedy sa uvádza ako DoS útok na DNS servery, ktorého výsledkom má byť strata

internetovej a e-mailovej prevádzky.

Špeciálnym typom DoS útoku sú distributed DoS – DDoS, ktorý je vedený z rôznych

smerov, preto je potrebná veľká znalosť a schopnosť koordinovať potrebné nástroje. [7]

2.10.2 Motivácia k útokom

• Zisk – poškodenie konkurenčnej spoločnosti

• Spoločenský kredit – súťaţ v určitej komunite alebo dokázanie si, ţe útočník je toho

schopný

• Odplata

23

• Demonštrácia – napr. útoky na vládne a stranícke systémy

• Kyber terorizmus – útok na kritické systémy štátu

• Obchod s anti-DoS produktmi – útočník napadne systém spoločnosti a potom sa im

sám ozve s riešeniami

• Skrytý sekundárny útok – zamaskovanie iného útoku

Zdroj: [8]

2.10.3 Prevencia pred DoS a DDoS

Na obmedzenie týchto útokov musíme implementovať komplexný súbor opatrení:

• kontrola inštalácie dostupných bezpečnostných prvkov

• pouţívanie najnovších programov a systémov, ktoré majú ochranu proti určitým

typom útokov

• nastavenie routeru, aby 1. prichádzajúci paket z IP adresy nebol vpustený ďalej –

pomáha hlavne u DDoS

• filtrovať na firewalle UDP poţiadavky – neodporúča sa zakázať všetky UDP z

dôvodu odmietnutia legálnych aplikácií, stačí zakázať prístup UDP sluţieb z internetu

• vypnúť nepotrebné sluţby

• znemoţniť zápis na disk

• investovať do záloţných zdrojov

• pravidelné zálohovanie dát

• pripraviť krízový plán pre prípadný útok, kde nebude chýbať kontakt na

poskytovateľa pripojenia

Zdroj: [8]

Vzhľadom na to, ţe sa štúdie k týmto útokom časom menia, je dôleţité sledovať aktuálne

hrozby, ktoré firmám hrozia. Firmy sú však neochotné investovať do vlastnej bezpečnosti z

dôvodu vynakladania finančných prostriedkov a často ju riešia, aţ keď ich niekto napadne.

V prípade, ţe firma nemá vlastných interných zamestnancov, ktorí by sa venovali tejto

problematike, stojí za zváţenie spolupráca s externými poradcami. Takýto poradcovia jej

pomôţu:

24

orientovať sa v problematike DoS a DDoS útokov

majú informácie o nových útokoch, ktoré sa objavujú

vedia odporučiť základné opatrenia

zrátajú, koľko stojí výdavok na ochranu – firma môţe zaznamenať malý útok

a neoplatí sa jej aplikovať ochranu, ak by bola drahšia ako samotný útok

vyhodnotiť, koľko stojí naplnenie hrozby

odporučiť opatrenia, ktoré sa dajú hneď aplikovať

nájsť kompromis medzi lacnou a drahou ochranou – v priebehu roka, moţe

firma zaznamenať váţny a menej váţny útok, ale nasledujúce roky útokom čeliť

nemusí.

Tieţ sa orientujú v novinkách IT bezpečnosti a vedia ju upozorniť na váţny fakt, ţe

zaplatenie útokov na ich sluţby konkurenčnou spoločnosťou je lačnejšie ako samotná ochrana.

Dôleţitý je aj výber providera – spoľahlivý provider dokáţe uniesť väčšie útoky a vypnúť

sluţby podľa potreby, napr. vypne napadnuté sluţby v zahraničí, ale na Slovensku ich nechá

zapnuté.

25

3 Analýza rizík

„K hodnoteniu rizikového potenciálu procesov a faktorov slúži kontrolný zoznam a klasifikačné

škály. Kontrolný zoznam poskytuje návod pre systematické prechádzanie podnikovými procesmi

s cieľom nachádzať potencionálne príčiny rôznych problémov – nedostatky, slabiny, skryté

riziká. Klasifikačné škály slúžia k hodnoteniu závažnosti rizík a urgentnosti potrebných

nápravných a preventívnych opatrení.“[12] Rizikovosť chápeme ako pravdepodobnosť straty –

finančnej, materiálnej, časovej. Všeobecný vzorec pre kvantifikáciu rizík:

Problémom je, ţe tieto dáta nebývajú k dispozícii.

Pri spustení porúch a nehôd rozhodujú aj iné faktory:

• Organizačné

• Technické

• Sociálne

• Informačné

• Psychologické

Väčšinu z nich nemôţeme kvantifikovať.

Zdroj: [12]

26

3.1 Hodnotenie rizík metódou IPR

Metóda IPR (Identifikácia procesov a rizík) je preto zaloţená na klasifikačných škálach. Podľa

nich sa riziká zaraďujú do kvalitatívnych skupín podľa toho, v akej miere môţu o sebe vo

vzájomných interakciách zvýšiť nebezpečie neţiadúcich udalostí. Ako osnova klasifikačného

postupu slúţi kontrolný zoznam – obsahuje platné riziká, ktoré sa môţu vyskytnúť.

Zdroj: [12]

3.1.1 Identifikácia rizík

Identifikácia a klasifikácia rizík sa prebieha vo dvoch fázach. Tieto fázy často neprebiehajú po

sebe, ale sa podľa potrieb prelínajú:

1. fáza - zber potrebných informácií

2. fáza - identifikovanie procesov a faktorov, hľadanie nedostatkov a slabých miest,

určovanie spočívajúcich potencionálnych príčin zlyhaní a klasifikovanie ich

rizikovosti

Cieľom analýz môţe byť iba orientačné zmapovanie rizikových oblastí (audity, formulácie

projektových úloh). V týchto prípadoch nie je chyba, ak identifikácia rizík prebieha jedných či

dvomi zamestnancami, ktorí sú riadne oboznámení s fungovaním organizácie.

Zdroj: [12]

3.1.2 Klasifikácia rizík

Klasifikácia rizík môţe byť podľa IPR výsledkom:

• individuálne expertné posúdenie odborníka

• spoločný tímový záver

Klasifikácia rizík:

• Potencionálna rizikovosť – charakterizuje všeobecnú dôleţitosť rizikového

potenciálu. V tabuľkách zoznamu sú pre rizikovosť klasifikačné stupne, ktoré sú

27

modifikované podľa konkrétneho objektu hodnotenia – typ organizácie, prevádzky,

procesov, špecifických okolností.

• Aktuálna rizikovosť - posúdenie procesov a faktorov (ako sú v organizácii nastavené,

riadené, kontrolované a zlepšované procesy).

Index závaţnosti rizík sú na základe pridelených klasifikačných stupňov automaticky

vypočítané. Ide o sprehľadnenie rizikovej siete, kde sú zaradené jednotlivé procesy a faktory

podľa ich rizikovej závaţnosti. Výstup tvoria sú tabuľky a grafy, ktoré sa zostavia podľa tém,

alebo podľa výslednej závaţnosti, ktoré sa môţu vyuţívať ako podklady pre rozhodovanie a

riadenie.

Zdroj: [12]

3.1.3 Potrebné zdroje

Podľa [12] je ku kvalitnej analýze potrebné zhromaţdiť radu informácií o organizácii - štruktúra

procesov a podmienky, za ktorých prebiehajú. Zdroj týchto informácií tvorí momentálna

(pozorovateľná) prax, ale aj skúsenosti a záznamy z minulosti. Podľa veľkosti a typu organizácie

a od cieľov analýzy je moţné vyuţiť aj niektoré zo zdrojov a postupov opatrovaných informácií:

• sledovanie aktivít v práci

• rozhovory s manaţérmi a radovými pracovníkmi (smie sa doplniť dotazníkmi)

• tímové diskusie – smú sa vyuţiť interaktívne postupy (brainstorming...)

• podnikové dokumenty (podnikové, bezpečnostné, organizačné...)

• podnikový controlling, audity, štatistiky

• výsledky šetrenia udalostí (hlavne mimoriadnych – poruchy, nehody...)

• asistencia expertov a špecialistov

Pri aplikácii metódy IPR je moţné vyuţiť analytické postupy, napr. stromy porúch a

udalostí a analýzy procesných vývojových diagramov.

28

4 Penetračné testy

Penetračné testy poukazujú na moţnosti útočníka v sieti, čiţe princípy a postupy útokov.

Analyzujeme nimi:

• celkovú a čiastkovú bezpečnosť siete a iných sieťových zariadení,

• operačných systémov

• kvalita útočníka

• moţnosti z pohľadu technológií nákladov

Zdroj: [9]

Ďalej podľa [9] „informácie sú to najcennejšie, čo môže spoločnosť mať. Musíme preto

spraviť všetko pre ich ochranu.“ Aby sa podporila ochrana, hlavne identifikovanie slabých

miest v ochrane, sa vykonávajú penetračné testy. Cieľom penetračných testov je kontrolovane

verifikovať bezpečnostné chyby, ktoré ovplyvňujú funkcie systému, kritické aplikácie a mnohé

ďalšie technológie.

Tieţ podľa [9] testy nie sú komprehenzívne audity bezpečnosti celej siete – neanalyzujú

kaţdú moţnú slabinu systému. Pribliţujú a určujú body slabín bezpečnostnej infraštruktúry

spoločnosti. Hľadajú chyby a ukazujú plán implementácie prostriedkov ochrany na základe

priorít spoločnosti. Tieto priority rozhodujú o bezpečnostnej politike a razantnosti slabín

bezpečnostného charakteru operačných systémov a softvérov.

4.1 Ciele penetračných testov[9]

• Zistiť či útočník je schopný preniknúť do systému

• Stanovenie pravdepodobnosti, či systém môţe byť otvorený pre útočníka s určitými

právami počítača pripojeného do siete spoločnosti

• Stanovenie bezpečnosti systému v rámci schopnosti prekročenia práva beţného

uţívateľa

• Evidencia moţnosti nájdenia zraniteľného miesta a typu exploitu

• Stanovenie organizačného stupňa odhalenia útočníka na bezpečnosť spoločnosti

29

4.2 Oblasti pôsobenia

Podľa [9] penetračné testy majú širokú oblasť vyuţitia. Poskytovatelia sluţieb zabezpečujú

nepretrţitú konektivitu a sluţby súvisiace priamo s IT infraštruktúrou. Na verejných serveroch

pripojených do internetu a aj u sieťových zariadení, napr. routre, switche alebo wireless

zariadenia, zabezpečujú analýzy stavu bezpečnosti, konfigurácií a mnoţstvo ďalších analýz.

Penetračné testy analyzujú:

• firewally

• proxy

• autentizačné a autorizačné zariadenia

• klientske počítače

• servery

• zdieľané pracovné stanice

Podľa [22] najbeţnejšie penetračné testy sú dnes testy webových aplikácií. Sú rôzne typy tes-

tov, ktoré zoraďujeme podľa hĺbky do ktorej sa testuje, vrátane kvalitného výstupu.Automatizo-

vaný test je najjednoduchší. Vykonáva sa špecializovaným bezpečnostným nástrojom, ktorý

testuje zraniteľnosti webovej stránky. Tento limitovaný test je základný. Jeho obsahom môţu byť

chybné informácie o zraniteľnosti. Jeho cena nie je vysoká, preto býva voľbou menších

podnikov, ktoré nemajú veľké rozpočty na bezpečnosť. To však nie je dôvod, aby bol

podceňovaný. Veľké mnoţstvo útokov sa vykonáva práve cez tento typ nástroja. Predstavuje

spodnú hranicu, pod ktorú sa nemá ísť.

Manuálne testy sa vykonávajú do väčšej hĺbky. Ich súčasťou si aj automatické nástroje, ma-

nuálna práca testera však tvorí ich podstatu. Základom je test, zameraný na najviac zneuţívané

zraniteľnosti, ktoré zverejňuje OWASP Top 1010

najväčších zraniteľností.

Ďalej [22] hovorí o testoch sociálneho inţinierstva, kde sa namiesto technických chýb útočí

na ľudské chyby. Častý úkaz býva, keď tieto testy vykonáva konkurencia v rámci priemyselnej

špionáţe. Test sa vykonáva podľa dohoy s klientom. Prvotná fáza tvorí analyzovanie informácií

o spoločnosti a jej zákazníkoch. Ďalej sa tvoria scenáre moţných útokov. Prebiehajú cez rôzne

10 Owasp (The Open Web Application Security Project) je nezisková organizácia, ktorá sa zaoberá zlepšením

bezpečnosti softvéru. Jej poslaním je robiť softvérovú bezpečnosť viditeľnou

30

kanály – e-mail, telefonáty, sociálne siete a pod. . Zameriava san a ľudské slabosti a po

úspešnom teste nasleduje školenie zamestnancov, aby si uvedomily reálne hrozby.

Podľa [9] záverečný report penetračných testov „nehovorí len o chybách, ale chce

čo najviac vypovedať, ako sa brániť pred crackermi, hackermi z nájdených bezpečnostných dier,

označuje úroveň každého nájdeného problému. Export môže byť poskytnutý v rozličných

formátoch – HTML, XML, text, atď. Pre lepšiu prehľadnosť je report doplnený o grafické

znázornenie.“[9]

Penetračné testy majú ţivotný cyklus, ktorý ak dodrţíme v určitých časových obdobiach,

ktoré na mieru navrhujú špecialisti, dosiahneme vysokú bezpečnostnú úroveň systémov,

serverov, kritických aplikácií a iných technológií. [9]

4.3 Externé penetračné testy

Podľa [9] sa zameriavajú sa na bezpečnosť pripojenia na internet a konfiguráciu online sluţieb.

Cieľom je overiť nastavenia a slabiny prevádzkovaných sluţieb alebo upozorniť na

aktualizovania pouţívania softwarového vybavenia. Zero knowledge predstavuje testovania

bezpečnosti bez znalosti štruktúry a parametrov informačných systémov. Ďalej sa zameriavajú na

dohodnuté prvky testovania a analyzovanie objektov testovania. Testovanie je vykonávané z

prostredia Internetu.

Rozdelenie externých penetračných testov:

• testovanie routerov

• testovanie firewallow

• testovanie a kontrola operačných systémov

• identifikácia funkčných systémov

• kontrola DNS

• invertizácia systémov

Zdroj:[9]

31

4.4 Interné penetračné testy

Skladajú sa z viacerých bezpečnostných testov a kontrol. Preverujú zabezpečenie informácií a

dát uloţených na diskoch a diskových poliach. Tieţ preverujú nastavenia:

• routerov

• firewallov

• switchov

• bezpečnosti internetových aplikácií

• operačných systémov

Testy sa môţu uskutočňovať u zákazníka, ale aj na mieste s internetovou sieťou. Tieţ

odhaľujú slabé miesta, ktoré môţu slúţiť útočníkom na napadnutie informačného systému

spoločnosti. [9]

V zásade rozdeľujeme interné penetračné testy na :

• identifikácia funkčných systémov

• invertizácia systémov

• kontrola operačných systémov

• kontrola siete a sieťových prvkov [9]

4.5 OWASP TOP 10

Dokument TOP 10 poukazuje na najkritickejšie chyby softvéru:

• Injection (SQL) – technika napadnutia databázové servery vsunutím kódu cez neošetrený

vstup a vloţenie pozmeneného SQL odkazu. Chovanie vzniká pri pripojeniach aplikačnej a

databázovej vrstvy. Zabránime mu nahradením nebezpečných znakov escape sekvenciami.

32

• Broken Authentication & Session managment – táto zraniteľnosť umoţňuje útok na

prihlasovacie časti aplikácie. Je nutné zamerať sa na predávanie autentifikačných údajov a

bezpečné úloţisko identifikátora relácie.

• Cross-Site Scripting – metóda narušenia WWW stránok, ktorá vyuţíva chyby v skriptoch.

Útočník vďaka chybám podstrčí do stránok vlastný kód, čo vyvoláva poškodenie vzhľadu

stránok, ich znefunkčnenie, získavanie citlivých údajov návštevníkov stránok, obídenie

bezpečnostných prvkov aplikácie a phishing.

• Insecure Direct Object Reference – cez túto zraniteľnosť útočník získava informácie o

objektoch aplikácie bez autentifikácie. Tieţ je moţné získať interné systémové informácie.

• Security Misconfiguration – dobré zabezpečenie musí mať zabezpečené konfigurácie

nasadené pre aplikácie, frameworky, aplikačné, webové a databázové servery a platformy,

Tieţ je nevyhnutné aktualizovanie softvéru.

• Sensitive Data Exposure – niektoré aplikácie nesprávne chránia citlivé dáta, preto môţu

mať k nim útočníci ľahký prístup. Tieto dáta si vyţadujú osobitnú ochranu.

• Missing Function Level Access Control – ak aplikácia umoţňuje neautentifikovaný prístup

k stránkam, ku ktorým by mal byť povolený prístup iba po autentifikácii, existuje

zraniteľnosť, keď odkazovaná zobrazí informácie, ktoré majú byť prístupné iba

autentifikovaným uţívateľom.

• Cross-Site Request Forgery – technika umoţňujúca útočníkovi podvrhnúť formulár na inej

stránke alebo pomocou HTTP metódy presmerovať prehliadač obete na script spracúvajúci

legitímny formulár dátovej aplikácie, ktorá poškodzuje obeť.

• Using Components with Known Vulnerabilities – komponenty softvérových modulov

bývajú spustené s úplnými oprávneniami. Pri vyuţití chybných komponentov môţe uľahčiť

stratu dát alebo poškodenie serverov.

33

• Unvalidated Forwards and Redirects – webové aplikácie často presmerujú uţívateľa na iné

stránky a pouţijú nedôveryhodné údaje na určenie cieľovej stránky. Bez správneho

overenia môţe útočník presmerovať obeť na phishing alebo malware stránky.

Voľne preloţené zo zdroja: [11]

4.6 Voľba opatrení pre zachovanie a navýšenie úrovne bezpečnosti11

Obr. 4.1 Cena za bezpečnostné opatrenia na ochranu citlivých údajov

11 Ceny konzultované so slovenskou začínajúcou firmou Webiky

0 100 200 300 400 500 600 700 800 900

1000

Cena za bezpečnostné opatrenia na ochranu citlivých údajov

Počet človekohodín Cena

34

Obr. 4.2 Cena za zvýšenú bezpečnosť

Obr. 4.3 Prehľad vlastností a rozdielov vykonávaných penetračných testov a auditov

(Prevzaté z [10])

0 €

1,000 €

2,000 €

3,000 €

4,000 €

5,000 €

6,000 €

Žiadne údaje zákonom považované za citlivé

informácie, napr. počty klientov…

Osobné údaje – dodržanie aktuálnej

vyhlášky na spravovanie osobných údajov, napr.

mená a priezviská, adresy, telefónne čísla,

e-maily

Osobné údaje používateľov a citlivé

údaje firmy, napr. údaje o príjmoch, stratégiách.

Oprávnenia ovplyvňovať procesy vo

firme, napr. prideľovanie prístupov

Peňažné operácie

1. 2. 3. 4. 5.

Cena za zvýšenú bezpočnosť

35

Postup pre určenie nákladov pre navýšenia bezpečnosti na danú úroveň:

výber cieľovej úrovne

poskytnutie prístupu do stávajúceho systému

preskúmanie systému (odhad jeho rozsiahlosti)

penetračné testy pre zistenie stávajúcej úrovne zabezpečenia a bezpečnostných rizík

12

Obr. 4.4 Náklady pre navýšenie bezpečnosti na danú úroveň

12 Vykonanie štandardného penetračného testu stojí 1€, ak počas 3 dní nie je odhalená zraniteľnosť. V opačnom

prípade je cena 1490€ bez DPH

0 € 20 € 40 € 60 € 80 €

100 € 120 € 140 € 160 € 180 €

Náklady pre navýšenie bezpečnosti na danú úroveň

Malá Stredná Veľká

36

Pomocou Obr. 4.4 si firma môţe určiť, či je pre ňu viac výhodná modifikácia alebo návrh

nového systému. Pri stávajúcom systéme, ktorý má nedostatočnú funkcionalitu a väčšiu časť

funkcií je potrebné doprogramovať, je často pri cenníku za bezpečnostné opatrenia výhodnejšie

navrhnúť nový systém – napr., keď si firma, ktorá sa venuje softvérovým riešeniam účtuje za uţ

vyvinutý informačný systém pribliţne 500€ s tým, ţe drobné modifikácie v ich vlastnom

systému vykonávajú za minimálne ceny a nie je nutné aplikovať penetračné testy, býva pre

zákazníka výhodnejšie objednať takýto systém s novou funkcionalitou.

Pri dostatočnej funkcionalite vhodný proces závisí od výsledku penetračných testov.

Podľa vyššie uvedeného cenníka si zákazník podľa počtov a typov zraniteľností spočíta, či sa mu

oplatí oprava zraniteľností alebo nový systém s garanciou negatívneho výsledku penetračných

testov.

37

Obr. 4.5 Proces výberu vhodných opatrení

38

5 Predstavenie firmy

Jedným z cieľov tejto práce je zhodnotenie bezpečnostnej úrovne Súkromného liečebno –

výchovného sanatória v Senci13

, ktoré sa zameriava na psychologickú a psychoterapeutickú

starostlivosť, výchovu a vzdelávanie deťom a mladistvým s poruchou učenia a poruchami

aktivity a pozornosti, u ktorých ambulantná starostlivosť nezaberá. Špecializácia je na chlapcov

od 8 – 18 rokov.

SLVS podľa [19] konkrétne poskytuje:

1. Umiestnenie dieťaťa v sanatóriu na ţiadosť jeho rodičov alebo zástupcov, ak dieťa

vykazuje problémy, ktoré nevedia zvládať napr. vykazovanie prvkov kriminality,

záškoláctva, narkománie. Aby pobyt nebol finančne náročný a vysoko účinný je dôleţité,

aby sa problémy začali riešiť v zárodku

2. Individuálne poradenstvo pre rodiny a konsolidáciu vzťahov medzi dieťaťom a rodine,

ak má dieťa funkčné rodinné zázemie

3. Minimálny pobyt dieťaťa v zariadení

4. Individuálny profesijný prístup v štúdiu aţ po uzavretie pracovného pomeru a ubytovanie

ak dieťa nemá funkčné rodinné zázemie

V tejto firme je dôleţité dbať na bezpečnosť, keďţe pracuje s osobnými a lekárskymi

údajmi a je povinná dodrţiavať zákon o ochrane osobných údajov:

„Podľa § 4 ods 3. písm. b) Zákona 122/2013 Z.z. o ochrane osobných údajov a o zmene a

doplnení niektorých zákonov je definovaný ako „informačný systém, v ktorom sa na vopred

vymedzený alebo ustanovený účel systematicky spracúva alebo má spracúvať akýkoľvek

usporiadaný súbor osobných údajov prístupných podľa určitých kritérií, bez ohľadu na to, či ide

13 Ďalej SLVS

39

o informačný systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo

geografickom základe; informačným systémom sa na účely tohto zákona rozumie aj súbor

osobných údajov, ktoré sú spracúvané alebo pripravené na spracúvanie čiastočne

automatizovanými alebo inými ako automatizovanými prostriedkami spracúvania.“[20]

Podľa [20] je osobitne definovaný pojem na účely zákona a nie je moţné ho stotoţňovať

napr. s informačným systémom verejnej správy alebo s informačným systémom civilnej ochrany

ani s informačnými systémami, ktoré sú vymedzené na účely osobitných zákonov. Je to

databáza, kde sa zhromaţďuje, získava, uchováva a poskytuje prenos alebo iná spracovateľská

operácia s osobnými údajmi dotknutých fyzických osôb. Chápeme ho ako jeden

z najdôleţitejších pojmov v oblasti ochrany osobných údajov, na ktoré je potrebné upriamiť

pozornosť, napr. pri vypracovaní dokumentácie bezpečnostných opatrení, vyhotovení záznamu o

poučení oprávnených osôb, výkone práv dotknutej osoby a pri zabezpečení dohľadu

zodpovednej osoby nad spracúvaním osobných údajov. Je dôleţité, aby prevádzkovateľ pred

začatím spracúvania osobných údajov vymedzil účel spracovania údajov, ak nie je ustanovený

zákonom. Forma, pre ktorú sa prevádzkovateľ rozhodne spravovať informačný systém osobných

údajov, má povahu prostriedkov spracúvania a nie je moţné zamieňať so samostatným IS

osobných údajov, aj keď môţu mať charakter IT IS.

5.1 Sieťová analýza

SLVS je prepojené v rámci 4 objektov:

• hlavná budova

• klinika

• škola

• pobočka Chrastince

40

Obr. 5.1 Sieťová mapa SLVS

Na hlavný objekt, kde sa zároveň nachádza serverovňa je pripojená škola a klinika.

V škole nájdeme 4 miestnosti v ktorých prebieha pripojenie v bridge móde. Bridge mód

je zriadený aj v budove kliniky, kde sa nachádza 5 miestností. Posledný objekt je pobočka

Chrastince, ktorá má zriadenú vlastnú VPN.

41

Konektivitu získa SLVS od svojho poskytovateľa sluţieb. Od tohto poskytovateľa

smeruje signál na router sanatória a z tade na firewall. Z firewallu pokračuje signál do hlavného

switchu, kde sa pripájajú ďalšie servery vo virtuálnom reţime a to konkrétne:

• primárny a sekundárny radič v clusteri – poskytuje uţívateľom a počítačom v sieti

adresárovú sluţbu Active Directory14

. Táto sluţba ukladá dáta adresára, poskytuje ich

replikáciu a riadi interakciu uţívateľov s doménou vrátane ich procesov – prihlásenie,

overenie a vyhľadanie v adresári

• Web server - pripojený k počítačovej sieti, jeho úlohou je prijímanie poţiadaviek v tvare

HTTP. Jeho odpoveďou je poţadovaná HTML stránka (HTML dokument alebo

dokument v inom formáte – text, obrázok a pod.). Webové sídlo firmy je zaloţené na

CMS15

, na základe ktorého je moţné publikovať na stránkach informácie bez HTML

kódovania. Tieţ je tu prevádzkovaná firemná Wiki zaloţená na DokuWiki16

• databázový server, ktorý ja zároveň prepojený s webovým serverom - poskytuje

databázové sluţby do počítačových programov alebo počítačov. Sú definované v klient

- server modelu. Je prístupný prostredníctvom front - end , ktorý beţí na počítači

uţívateľa a back - end , ktorý beţí na serveri a spracováva úlohy (vrátane analýz a

ukladania dát)

• aplikačný server prepojený s databázovým serverom – centrálnu aplikáciu tvorí dispečer

riadenia. Dispečer riadenia organizuje komunikačné operácie úrovne klientov do

workprocesov, ktoré aj spúšťa. Poţiadavky sú uloţené vo fronte a tie sú následne

zaslané do workprocesov. Workprocesy avizujú zmenu databázy cez príkazy priamo

databázovému serveru a súčasťou je aj blokovací mechanizmus, ktorý zabraňuje

aplikáciám aby si prekáţali pri prístupoch k dátam cez tabuľky zámkov, ktoré sa

14 Implementácia adresárových sluţieb firmou Microsoft na pouţitie v systéme Windows 15 Content Management System 16 Forma Wiki, zameraná na vytváranie dokumentácie rôzneho druhu. Je k dispozícii pre firmy a pracovné skupiny.

42

nachádzajú v operačnej pamäti aplikačného servera. Nachádzajú sa tu evidenčné,

stravovacie, dochádzkové, zdravotnícke a vzdelávacie systémy

• Email server – zabezpečuje hostingová spoločnosť, aktívnych je 100 účtov a pouţíva

protokol IMAP17

, ktorého výhodou oproti POP318

je, ţe vykonané zmeny sú

synchronizované so serverom a prejavujú sa aj na iných klientoch, všetky zmeny sa

uloţia na serveri a prejavia sa aj na iných klientoch.

• File server – pripojený k sieti ma úlohu zaistiť miesto pre zdieľaný prístup k disku , čiţe

zdieľané úloţisko počítačových súborov (dokumenty, zvukové súbory, fotografie, filmy,

obrázky, databázy…), kde majú prístup pracovné stanice pripojené v rovnakej sieti. File

server nevykonáva výpočtovú úlohu a nespúšťa programy v mene klientov. Jeho

úlohami sú uloţenie a vyhľadávanie dát, kde sa výpočet vykonáva na pracovných

staniciach. Existujú tu 2 typy oprávnení: oprávnenia k súborom a k zloţkám.

Systém práv sa ďalej delí na:

o zapisovanie – právo vytvárať zloţky a súbory s moţnosťou vykonania zmien

v súboroch

o čítanie – právo, ktoré umoţňuje zobrazovanie zloţiek, súborov, ich obsahov,

atribútov a oprávnenia

o zobrazovanie obsahu zloţiek – právo, ktoré tieţ umoţňuje zobrazovanie

zloţiek a súborov, nie je však definované pre súbory

o čítanie a spúšťanie – právo, ktoré umoţňuje čítanie dokumentov a spúšťanie

programov

o právo meniť – práva spomenuté vyššie s moţnosťou odoberania

a uskutočnenia zmien v zloţkách a v súboroch

17 Internet Message Access Protocol 18 Post Office Protocol

43

o právo úplného riadenia – všetky oprávnenia s moţnosťou meniť oprávnenia

a vlastníctva

Oprávnenia sa dedia od nadradenej zloţky pri vytváraní a kopírovaní objektu v rámci

oddielu súborového systému a tieţ pri premiestnení objektu medzi oddielmi súborového

systému. Pri premiestnení objektu v rámci jedného oddielu súborového systému sa

oprávnenia od nadradenej zloţky nededia.

• Print server – jeho úlohami sú pripájanie tlačiarní na klientske počítače cez sieť .

Tlačové úlohy z počítačov, odosielanie úloh príslušných tlačiarní, meniť ich poradie

alebo odstránenie čakania úlohy, počítanie stránok tlačiarne

• VPN server – je zaloţený na openVPN19

a zabezpečuje šifrované spojenie dát

a riadiacich kanálov do firemnej siete zvonka na základe OpenSSL20

. Overovanie

prebieha pomocou uţívateľského mena a hesla, poprípade zdieľaného kľúča alebo

digitálneho certifikátu. Pridelený port ma označenie 1194 a komunikuje protokolom

UDP21

a tieţ je moţné vyuţiť TCP22

. Tieţ komunikuje cez proxy server a predáva

konfiguráciu klientom – IP adresa, smerovanie a maskovanie siete... Pracuje

v uţívateľskom priestore.

Virtualizácia je vytvorená nástrojom VMware na fyzickom serveri, ktorý nazýva hostiteľský

server a jeho operačný systém host. VMware poskytuje hostom potrebný virtualizovaný

hardvér, ako napr. procesor, pamäť, sieťové karty a pod.. Správcovi siete to umoţňuje

pozastaviť a skopírovať operáciu vykonávanú virtualizovaným nástrojom a preniesť ju na

výkonnejšieho hostiteľa. Problémy môţu nastať medzi hostiteľskými servermi, ktoré majú

rozdielne inštrukčné sady, napr. rozdielne procesory. Medzi ďalšie výhody virtualizácie patrí

spúšťanie viacerých systémov na jednom hardvéri, čím sa výrazne šetria náklady za nákup

19 Open – source softwérová aplikácia 20 Open source implementácia SSL a TLS protokolov 21 User datagram protocol – prenáša datagramy v sieti, nezaručuje bezproblémový prenos paketov 22 Transmission Contol protocol – predstavuje transportnú vrstvu

44

a prevádzku serverov, rýchle nasadenie nových systémov, jednoduché prenášanie dát medzi

virtualizačnými platformami, spúšťanie a rušenie systémov podľa potreby. Chladenie prebieha

so vzduchom chladeným kondenzátorom. K dispozícii je aj penový protipoţiarny systém, ktorý

sa spúšťa manuálne alebo pomocou detektoru dymu.

Serverovňa má virtualizovaný primárny radič domény, ktorý plní viac úloh. Jednou z nich je

autentizácia na základe ktorej sa overujú prístupy uţívateľov k zdieľaným prostriedkom.

Primárny doménový radič pouţíva security account manager (SAM - bezpečnostný manaţér

účtov), ktorý obsahuje zoznam mien a hesiel pre autentizáciu.

Zo serverovne ide jedna vetva po hlavnej budove a druhá ide z vysielača, ktorý ju vysiela na

ďalšie 2 fyzické objekty (budovy - škola a klinika) v bridge móde.

5.1.1 Backup server

Backup server zálohuje automaticky súbory v pravidelných intervaloch 12 hodín. Vyuţíva

sa HP Dataprotector Software verzia 8.0 a poskytuje non–stop prevádzku. Tento softvér

podporuje zálohovanie cez lan a pracuje na platforme Win Server. Zálohuje viacero zariadení

naraz, napr. páskové mechaniky, diskové polia a podporuje zálohovanie lokálnych a sieťových

dát, virtual full23

a inkrementálny24

backup a tieţ online backup. Proces zálohovania a obnovy

dát je automatizovaný. Toto prostredie vyuţíva koncept buniek (Cells). Cell Manager, ktorý sa

nachádza v sieti, riadi jadro prostredia, zálohovanie, obnovy dát a zapisuje informácie do

databázy. Pre diskové úloţiska je dostupná deduplikácia dát – zapisované dáta sú porovnané

s tými, ktoré sú uţ zapísané. Netýka sa to páskových jednotiek, keďţe sa zapisujú sekvenčne.

Web reporting a notifikácia slúţia pre lepší prehľad zálohovania, v rámci ktorého sú dáta

šifrované pomocou AES 256bit25

technológie.

23 Vytvorenie kópie všetkých dát 24 Zálohy vykonané od poslednej inkrementálnej zálohy 25 Špecifikácia pre šifrovanie elektronických dát

45

Aby sa predišlo individuálnym zmenám súborov na jednotlivých prístrojoch je

zabezpečené synchronizovanie prístrojov, čiţe v prípade zmien súborov na tabletoch sa zmenia

aj na počítačoch.

5.1.2 Pobočka Chrastince

V tomto objekte sa nachádza kancelária riaditeľa pobočky a učebňa s piatimi počítačmi. Z

pobočky Chrastince sa cez VPN môţu pripojiť pouţívatelia zo svojich notebookov k centrále

SLVS, ak majú nakonfigurovanú openVPN. Toto riešenie výrazne uľahčuje prácu

zamestnancom, ktorí takto môţu efektívne pracovať aj z domáceho prostredia. Konektivitu

získava od rovnakého poskytovateľa sluţieb ako aj hlavné sídlo v Senci. Pripájanie do firemnej

siete je teda riešené rovnako, ako pre zamestnancov v hlavnom sídle, len pre menší počet

klientov, čiţe zamestnanci tejto pobočky nie sú vo firemnej sieti obmedzovaní. Táto pobočka

vznikla z dôvodu rozširovania pôsobnosti firmy na Slovensku a plánuje sa rozširovať aj

v ostatných regiónoch.

46

6 Bezpečnosť siete v SLVS

Na základe dohody so SLVS v nasledujúcej kapitole opíšem, ako som sa podieľal na vykonaní

penetračného testovania, ktoré sa zameralo na nasledovné ciele:

opis penetračných nástrojov, ktoré budú pouţité počas testovania

externé testovanie sieťového zabezpečenia

interné testovanie firemnej siete

vlastné odporúčania pre lepšie IT zabezpečenie firmy

V ďalších kapitolách budú opísané dané testovacie nástroje spolu s priebeţnou

dokumentáciou vykonaných testov, ktorých výsledky bude môcť firma vyuţiť počas svojho

ďalšieho pôsobenia. Predovšetkým sme sa zamerali na testovanie routerov, firewallov, switchov,

bezpečnosti internetových aplikácií a operačných systémov. Pre lepší prehľad siete je k

dispozícii Obr. 5.1 Sieťová mapa SLVS, ktorý vznikol na základe poskytnutých materiálov od

SLVS a podieľal som sa na jeho tvorbe v nástroji MS Visio 2013, čím som si prehĺbil znalosti

v oblasti sieti a vytvárania schém.

Keďţe rozsah tejto práce mi nedovoľuje rozoberať kompletný penetračný report, ktorý je

na niekoľko desiatok strán a pokrýva širokú škálu problematiky, vypichneme niektoré

najbeţnejšie problémy, ktoré sú nachádzané počas penetračných testoch od malých firiem aţ po

tie najväčšie. Na týchto testoch som sa osobne zúčastňoval s technickými pracovníkmi a získaval

cenné poznatky z praxe, pričom som spolupracoval na opatreniach a vypracovaní metodík na

odstránenie problémov a elimináciu bezpečnostných rizík.

V tejto práci budeme ďalej podrobnejšie rozoberať vybrané, nájdené zraniteľnosti, ktoré sa

týkali:

slabého zabezpečenia smerovača pomocou WEP

exspirovaných a nepouţívaných účtov v Active Directory

chybného zaradenia učebne v sieťovej infraštruktúre

slabej politiky hesiel

nezabezpečených portov

47

6.1 Test bezpečnosti prístupových bodov

V tomto prípade sa jednalo o externé penetračné testovanie, nakoľko sme sa pokúšali

dostať do siete z vonka. Práve wifi siete so slabým zabezpečením môţu byť prvotnou bránou

útočníka do foremnej siete.

6.1.1 Potrebné vybavenie

Tento test si vyţaduje špeciálne hardvérové a softvérové vybavenie. Je potrebný prenostný

počítač, postačí beţný notebook, ktorý ma sieťovú wifikartu, ktorá sa dá prepnúť do

monitorovacieho reţimu. Je lepšie pouţívať externé wifikarty s väčšou anténou, kvôli lepšiemu

pokrytiu monitorovaného priestoru.

Veľmi dôleţitým prvkom je samozrejme pouţitý softvér, my sme na tento účel pouţili

operačný systém Kali Linux, ktorý je nástupcom známeho Back-track Linuxu, ktorý je

prispôsobený na penetračné testovanie a obsahuje mnohé špecializované nástroje na penetračné

testovanie ako napríklad:

Aircrack-ng – aplikácia, ktorá slúţi na prelomenie zabezpečena WIFI siete.

Burp Suite – inteligentná platforma na testovanie zabezpečenia webových aplikácii.

Hydra – nástroj na crackovanie hesiel s pokročilými moţnosťami.

John the ripper- nástroj zaloţený na crackovanie hesiel, ide o command line nástroj,

takţe je významný svojou rýchlosťou.

Meltego – nástroj na analýzu vzťahov, čo je medzi sebou prepojené, väzby medzi

ľuďmi, sociálne siete, organizácie, webové stránky, internetová infraštruktúra,

následne vytvára grafické sieťové diagramy.

Metasploit Framework – umoţňuje bezpečným spôsobom simulovať útoky na sieti

a odhaliť bezpečnostné problémy, overiť ochranu, bezpečnostné kontroly,

manaţovanie phisingu, auditovanie web aplikácií. Umoţňuje prácu v príkazovom

riadku, alebo cez grafické rozhranie, môţe byť pouţitý s Nexpose, ktorý pomáha

vyhodnotiť zraniteľné miesta v skúmanom prostredí. Metasploit Framework je teda

komplexný nástroj, ktorý v kooperácií s Armitage dokáţe vizualizovať ciele,

odporúčať konkrétne exploity a ponúkať pokročilé funkcie pri práci s nimi.

48

Nmap – aplikácia na preskúmavanie siete, skenovanie portov

The Zend Atack Proxy (ZAP) – vyvinuté a podporované OWASP, nástroj na

penetračné testovanie, vyhľadávanie zraniteľností web aplikácií, široká škála funkcií,

automatické a pasívne skenery REST API.

Sqlmap – nástroj na odhaľovanie SQL injection a bezpečnostných zraniteľností

databázových serverov, pokročilé funkcie testovania prenikov.

Wireshark – aplikácia na zachytávanie a analýzu paketov.

Obr. 6.1 Zobrazenie širokej škály nástrojov v špeciálnom nástroji Kali Linux

49

6.1.2 Priebeh

Podstatou toho testovanie ja monitorovať sieť a hľadať zraniteľné miesto a to v podobe

nezabezpečeného vysielača, alebo vysielača so slabým zabezpečením WEP.

1. V Kali Linuxe zapneme nástroj airmon-ng

root@kali:~# airmon-ng

2. Prepneme do monitorovacieho modu

root@kali:~# airmon-ng start wlan0

3. Monitorujeme sieť, obrazovka monitorovacej konzoly, je na Obrázku 6.2

4. Našim cieľom je nájsť sieť, ktorá nemá zabezpečenie, alebo má prelomené zabezpečenie

WEP, všímame si preto stĺpec ENC.

5. Ak ide o pripojenie bez zabezpečenia, prienik do siete je bezproblémový.

6. V spodnej časti monitorovacej obrazovky vidíme aj klientske stanice pripojené

k jednotlivým prístupovým bodom, je výhodné ak nájdeme klientsku stanicu, ktorá je

pripojená k inkriminovanému bodu so šifrovaním WEP.

7. Ak je pripojený nejaký klient k inkriminovanému prístupovému bodu, budeme aplikovať

postup crackovania siete, ktorý je verejne známy a dostupný na adrese:

http://www.aircrack-ng.org/doku.php?id=how_to_crack_wep_via_a_wireless_client

8. Ak klient pripojený, nie je bude treba aplikovať mierne komplikovanejší, tieţ verejne

známy postup:

http://www.aircrack-ng.org/doku.php?id=es:how_to_crack_wep_with_no_clients

9. Vykonaním horeuvedených postupov sme schopný v pomerne krátkom čase prelomiť

zabezpečenie WEP a získať prístup k sieti.

50

Obr. 6.2 Príklad monitorovacej obrazovky (z bezpečnostných dôvodov je použité

monitorovanie z kaviarne a nie zo skúmanej firmy)

Pri tomto teste sme v inkriminovanej firme našli jeden prístupový bod, ktorý pouţíval

staré šifrovanie WEP. Následne sme sa pokúsili heslo cracknúť, pomocou referencovaných

metód v bodoch 7 a 8. Za 40 minút sa nám podarilo heslo cracknúť a prihlásiť sa do siete. Ďalej

sme zaznamenali, jednoduché pridelenie IP adresy DHCP serverom, čiţe nebolo na prihlásenie

potrebné modifikovať MAC adresu. Takto by sa potenciálny útočník mohol dostať jednoduchým

spôsobom do firemnej siete a v nej páchať škody, alebo snaţiť sa neoprávnene získať cenné

informácie.

51

6.1.3 Záver a odporúčania

Na základe tohto testu a demonštrácie prieniku do firemnej siete sme navrhli tieto odporúčania:

Zmeniť zabezpečenie inkriminovaného prístupového bodu z WEP na WPA2 a zmeniť

heslo na min 12 znakov dlhé ktoré bude obsahovať minimálne jedno veľké písmeno,

jedno malé písmeno, jednu číslicu a aspoň jeden špeciálny znak.

Ďalej odporúčame, ak to je moţné, oddeliť fyzicky wifi sieť od firemnej siete. Princípom

je aby pouţívatelia, ktorí potrebujú iba internet, boli v inej sieti, a tým nemali prístup do

firemnej siete.

Odporúčame zapnúť filtrovanie MAC adries, ktoré pristupujú k sieti, toto je dôleţitý

aspekt aj pre prípad, ţe by sa pouţívateľ snaţil pripojiť iný ako firemný PC aj ku

káblovej sieti firmy, kde by mohlo nastať ohrozenie bezpečnosti zo strany neodbornej

manipulácie uţívateľa, ktorého PC by mohol byť napadnutý škodlivým softvérom, ktorý

by sa snaţil zhromaţďovať firemné údaje.

Pevné previazanie IP adries na konkrétne MAC adresy.

6.2 Účty v Active Directory

Veľmi dôleţitým aspektom bezpečnosti v sieti pracujúcej na báze MS Windows je aj

udrţiavanie Active Directory, a to tak aby, neboli v systéme exspirované účty, zabudnuté

testovacie účty, nezabezpečené účty. Zlatým pravidlom je mať aktivované iba to čo potrebujeme,

ostatné nevyuţívané účty by mali byť zablokované, alebo vymazané. V tomto teste budeme

skúmať účty v Active Directory, ktoré majú vypršané heslo. Na tento test nám bol poskytnutý

administrátorský prístup k Hlavnému doménovému radiču, takţe ide o internú metódu

testovania.

6.2.1 Potrebné vybavenie

Na skúmanie domény, nám stačia nástroj, ktoré doménový radič s Windows Server 2008

R2 priamo poskytuje. Cez štandardné zobrazenie, ktoré nám umoţňuje grafická konzola Server

Manageru je ale veľmi ťaţké kontrolovať všetky účty, pokiaľ ich je viac a sú umiestnené

v stromovej organizačnej hierarchii firmy. Ideálne by bolo pouţiť externý nástroj, alebo

Microsoft SCCM (System Center Configuration Manager), ktorý by nám umoţňoval

52

podrobnejšiu prácu s doménou a umoţňoval by nám aj export neaktívnych pouţívateľských kont.

Keďţe firma nedisponuje týmto pokročilým, nie najlacnejším nástrojom, je nutné toto zistenie

vykonať manuálne, alebo pomocou skriptovacieho jazyka a nástroja Powershell. My sme na toto

zistenie vyuţili práve túto súčasť Windows Servera.

6.2.2 Priebeh

Podstatou tohto testu je znalosť skriptovania v Powershelli a efektívne získanie zoznamov

s relevantnými údajmi z celej domény.

1. Prihlásime sa pod kontom, ktoré má administrátorské oprávnenia, na doménový radič.

2. Spustíme Powershell, kde musí byť nastavená politika oprávňujúca spúšťanie skriptov.

3. Spustíme skripty, ktoré sú zobrazené na Obr. 6.3 a Obr. 6.4.

4. Získame výpisy účtov v súboroch Pass-Expiration-SLVS.csv a Last-logon-ALL-

users_[date].csv.

5. Získané súbory spracujeme v MS Excel, kde môţeme zoraďovať dátumy exspirácie

a posledného prihlásenia.

Obr. 6.3 Skript zisťujúci účty s expirovanými heslami

53

Obr. 6.4 Skript zisťujúci posledné prihlásenie jednotlivých účtov

Prvým skriptom, ktorého výstup je súbor Pass-Expiration-SLVS.csv získame účty, ktorých

platnosť hesla vypršala, alebo nie je nastavená expirácia.. Účty, ktorých heslo je po dlhú dobu

expirované, je vhodné zo systému vymazať.

Druhým skriptom, ktorého výstup je súbor Last-logon-ALL-users_[date].csv získame

zoznam účtov s ich poslednými prihláseniami, účty ktoré neboli prihlásené viac ako zadaný

počet dní od dnes (optimálne 60) je vhodné taktieţ zablokovať.

Zistili sme:

2 účty ktoré mali heslo vypršané 60 viac dní

3 účty, ktoré majú nastavený atribút: „Password never expired“

2 účty, ktoré neboli prihlásené do siete viac ako 90 dní

6.2.3 Záver a odporúčania

Na základe tohto testu a získaných zoznamov navrhujeme tieto odporúčania:

Zablokovanie pouţívateľských kont, ktorých heslo je expirované viac ako 60 dní.

54

Podľa moţnosti zváţiť či sú nutné účty, ktoré majú nastavený atribút „Password never

expired“ a nastaviťna nich exspiráciu.

Zablokovať účty, ktoré neboli prihlásené do domény viac ako 90 dní.

6.3 Slabá politika hesiel

V tomto bode skúmame politiku hesiel.

6.3.1 Potrebné vybavenie

Predpokladáme administrátorský prístup k serveru, a kontrolujeme politiku hesiel cez konzolu

MMC.

6.3.2 Priebeh

1. Prejdene k nastaveniam politiky:

gpedit.msc

Lokálny počítač – zásady ► Konfigurácia počítača ► Nastavenie systému Windows ► Nastavenie zamezpečenia ► Zásady účtov ► Zásady hesla

2. Skontrolujeme nastavenia politiky hesiel Obr. 6.5

Obr. 6.5 Nastavená politika hesiel

55

6.3.3 Záver a odporúčanie

Hoci je nastavená komplexnosť hesla, ktorá zabezpečuje min 6 znakov dlhé heslo,

odporúčame nastavenie hesla na min 8 znakov, pri ponechaní komplexnosti.

Odporúčame zapnúť aj históriu hesiel a nastaviť na 24, čím zabránime opakovanému

pouţívaniu rovnakých hesiel pouţívateľov.

6.4 Sieť a porty z vonku

V tomto teste budeme skúmať sieťovú infraštruktúru z vnútra (schéma na Obr. 5.1),

a budeme identifikovať moţné prieniky k firemným údajom z počítačov a účtov, ktoré nemajú

príslušné oprávnenia. Ďalej budeme skenovať porty a monitorovať moţnosti prístupu z vonku.

6.4.1 Potrebné vybavenie

Potrebujeme zmapovať sieť, poznať IP-konfigurácie sieťových komponentov a zariadení.

Musíme mať teda podklady a prístupy od administrátorov systému. Na základe týchto znalostí

budeme vedieť vyvodiť prípadné odporúčania.

Ďalej budeme potrebovať prenosný počítač s príslušnými penetračnými nástrojmi, ktoré

boli bliţšie popísané v úvode kapitoly 6.1.

6.4.2 Priebeh

Lokálna sieť:

1. Vytvorenie sieťovej schémy vo vizualizačnom nástroj. (schému sme vytvorili v kapitole

5 a je moţné si ju pozrieť na Obr. 5.1)

2. Teoretická identifikácia moţných problémov.

3. Fyzické overenie, moţných komplikácii.

4. Vyvodenie záverov.

Pri identifikácii moţných problémov, sme zistili, ţe nie je vhodné aby počítače z učebne boli

v rovnakej VLANe ako File server a Aplikačné servery. Pri fyzickom testovaní sa nám podarilo

dostať na Fileserver, k niektorým dokumentom, ktoré mali oprávnenia „Everyone“, čo je

56

neţiadúce. Tak isto je bol identifikovaný neţiadúci prístup z týchto staníc k staršej aplikácii,

ktorú pouţíva jedáleň. Nakoľko počítače vyuţívajú ţiaci, neoprávnené osoby, prístup by mal byť

blokovaný.

Scanovanie portov z vonku:

1. Pomocou nástroja nmap integrovanom v Kali Linux, sme oskenovali porty, ktoré sú

otvorené na IP adrese firmy.

2. Našli sme otvorené porty pre Ultra VNC a to v rozsahu 5901 aţ 5903.

3. Na portoch prebieha nešifrovaná komunikácia, ktorá slúţi na správu 3 počítačov.

Obr. 6.6 Príklad skenovania portov pomocou nástroja nmap

Otvorené porty, ktoré nie sú nutné, sú vţdy problémom. Problémom v tomto prípade nie sú ani

tak otvorené porty, ale nešifrovaná komunikácia, ktorá nimi prebieha.

6.4.3 Záver a odporúčania

Odporúčame vytvoriť samostatné VLANy pre učebne, nakoľko z týchto počítačov môţu

pristupovať osoby, ktoré nie sú náleţite poučené firemnou politikou a mohli by spôsobiť

nevedome škody.

57

Ako sme uţ spomínali aj v kapitole 6.1 je dobré vyuţívať filtrovanie MAC adries

a naviazanie IP na konkrétne MAC.

Odporúčame zablokovať otvorené porty, ktoré nie sú potrebné a pouţívané. V prípade

vyuţívania portov na vzdialenú správu cez VNC odporúčame zvoliť riešenie, ktoré

umoţňuje šifrovanú komunikáciu, napríklad DSM (Data Stream Encryption Plugin)

plugin do Ultra VNC. Najlepšie je sa VNC úplne vyhnúť a na vzdialenú správu vyuţiť

openVPN, ktoré je vo firme zavedené, funguje bezchybne a poskytuje väčšiu bezpečnosť

keďţe prebieha cez šifrované spojenie.

6.5 Hľadanie exploitov

Aby bola sieť a zariadenia v nej bezpečné, je vhodné preveriť systémy na prítomnosť

exploitov, na toto nám veľmi dobre poslúţil Metasploit Framework. Vzhľadom na rozsah práce

si popíšeme iba testovanie na jeden exploit.

6.5.1 Potrebné vybavenie

Ako sme spomínali potrebujeme počítač so špeciálnymi nástrojmi, v našom prípade Kali Linux

a nástroje, ktoré v sebe integruje, v tomto prípade najmä Metasploiť Framework.

6.5.2 Priebeh

1. Skenujeme porty, aby sme našli potenciálny bod zraniteľnosti.

2. Spustíme Metasploit Framework konzolu.

3. Zistíme aké moţnosti zraniteľnosti máme pre konkrétny port, napríklad port 135.

4. Vyberieme si konkrétny exploit, ktorý chceme otestovať na cieľovom systéme.

5. Vybraný exploit aktivujeme: use exploit_name, vytvorí sa prostredie pre exploit

(Obr. 6.7)

6. Nastavíme IP obete: set RHOST ip_address

7. Zobrazíme potenciálne zraniteľnosti: show payloads

8. Vyberieme konkrétny typ: set PAYLOAD payload_name

9. Nastavíme LHOST: set LHOST utociaca_ip

10. Spustíme exploit príkazom: exploit

58

11. Sledujeme výstupy, či bola identifikovaná zraniteľnosť.

Obr. 6.7 Aktivované prostredie pre exploit, čaká na pokyn testovania

V SLVS sme identifikovali pomocou Metasploit Frameworku niekoľko menších zraniteľností,

ktoré boli spôsobené najmä neaktuálnosťou niektorých operačných systémov, nakoľko v SLVS

nie je samostatný server určený na aktualizácie a nie je inštalovaný SCCM (System Center

Configuration Manager), ktorý by umoţnil aktualizáciu a kontrolu aktualizácii centralizovať.

6.5.3 Záver a odporúčania

Opäť odporúčame, mať čo najmenej otvorených portov, otvorené porty iba pre sluţby,

ktoré naozaj pouţívateľ potrebuje.

Aktívny firewall na serveroch aj pouţívateľských staniciach.

Automatická aktualizácia na všetkých OS, prípadne nasadenie SCCM ak to financie

dovoľujú.

59

Nahradzovanie starých OS novými, postupne odstrániť všetky stanice s OS WIN XP

a WIN Vista.

Pravidelné bezpečnostné audity a penetračné testovanie.

60

7 Záver

V tejto práci sme sa zamerali na problematiku bezpečnosti informačných systémov v praxi.

V úvode práce sme popísali teoretické poznatky, ktoré sme čerpali z univerzity, odbornej

literatúry a doterajšej praxi v zamestnaní. Začali sme bazálnymi pojmami a prvkami bezpečnosti

z ktorých sme prechádzali k zloţitejším oblastiam ako analýza rizík a penetračné testovanie za

pouţitia pokročilých nástrojov.

Naše teoretické vedomosti, sme vyuţívali v druhej časti práce, ktorá integruje priamo

s praxou. Boli sme súčasťou tímu, ktorý sa venoval bezpečnostným otázkam v reálnej firme

a vykonával neskôr penetračné testovanie. Aktívne sme spolupracovali pri testoch, kde sme

čerpali nové poznatky, skúsenosti a učili sa aplikovať naučené vedomosti na riešenie

praktických, bezpečnostných problémov, ktoré boli odhalené v tomto bezpečnostnom audite.

V úvode praktickej časti sme si pomerne podrobne predstavili firmu a popísali sieťovú

infraštruktúru, na ktorej bude bezpečnostný audit vykonávaný. Potom sme spoločne s tímom,

ktorý bol zostavený na vypracovanie správy reflektujúcej správu o IT bezpečnosti vo firme,

pracovali na identifikácií bezpečnostných problémov a neskoršom odporúčaní na ich

odstránenie.

Spracovali sme vybrané kapitoly penetračného testovania, ktoré sme povaţovali za

zaujímavé, a ktoré sa dotýkajú veľkej väčšiny firiem v súčasnosti. Zamerali sme sa na problémy

ako: prienik do siete cez slabo zabezpečené prístupové body, udrţiavanie konzistencie Active

Directory na doménovom radiči, tvorba exportov, politika hesiel, problémy sieťovej

infraštruktúry, skenovanie portov, zraniteľnosti systémov v podobe exploitov. Ku kaţdému

identifikovanému problému sme vyslovili praktické odporúčania na ich elimináciu a zlepšenie

bezpečnosti, ktoré sme aj integrovali do metodických odporúčaní bezpečnostného auditu.

Výsledkom a prínosom tejto práce bola úzka kooperácia s praxou pri penetračnom testovaní

a bezpečnostnom audite, ktorá vyústila do praktických odporúčaní, ktoré boli zapracované

v metodických pokynoch na odstránenie zraniteľnosti v záverečnej správe o stave bezpečnosti.

Mnohé z týchto opatrení boli systémovými administrátormi neskôr pretavené aj do účinných

opatrení, ktoré pomohli zvýšiť bezpečnosť inkriminovanej firmy.

61

Bibliografia:

[1] Bíro.P.: Informačná bezpečnosť [online]. http://www.informatizacia.sk/informacna-

bezpecnost/2999s , 2008 [cit. 2014-04-24].

[2] STAUDEK, J., HANÁČEK, P.: Bezpečnost informačních systémů. 1. vyd. Praha: Úřad pro

státní informační systém, 2000. ISBN 80-238-5400-3.

[3] Gála, L., Pour, J., Toman, P.: Podniková informatika. 1. Vyd. Praha: Grada Publishing, a.s.,

2006. ISBN 80-247-1278-4 [cit. 2014-04-24]

[4] Tvrdíková, M.,: Aplikace moderních informačních technologií v řízení firmy. 1. Vyd. Praha:

Tiskárny Havlíčkův Brod, 2008. ISBN 978-80-247-2728-8 [cit. 2014-04-24]

[5] Zdolajte WEP pomocou Linuxu [online]. http://www.linuxon.sk/navody/1-navody/1128-

zdolajte-wep-cez-air-nastroje

[6] Čermák M.: Lámaní hesel [online]. http://www.cleverandsmart.cz/lamani-hesel/ , 2012

[7] Přibyl T.: Zákeřný útok jménem DoS[online]. http://www.systemonline.cz/it-

security/zakerny-utok-jmenem-dos.html, 2006

[8] Čmelík M.: Seznamte se – DoS a DDoS útoky [online]. http://www.security-

portal.cz/clanky/seznamte-se-%E2%80%93-dos-ddos-%C3%BAtoky, 2013

[9] Schmidt I.: Penetračné testy preskúmajú vašu sieť [online].

http://computerworld.cz/archiv/penetracne-testy-preskumaju-vasu-siet-22229, 2004 [cit. 2014-

05-01]

[10] Dostupné z: http://www.penetracne-testy.sk/

62

[11] TOP 10 2013 [online].https://www.owasp.org/index.php/Top_10_2013-Top_10, 2013

[12] Metoda IPR - Identifikace procesů a rizik [online].

http://www.management-rizik.cz/rizika_sub/analyza_rizik.html , 2012 [cit. 05-05-2014]

[13] Bezpečnost a Hacking WiFi (802.11) - 4. část WPA a WPA2 [online]. http://www.security-

portal.cz/clanky/bezpe%C4%8Dnost-hacking-wifi-80211-4-%C4%8D%C3%A1st-wpa-wpa2

[14] Ako pracuje minútový útok naWEP[online].

http://www.dsl.sk/article.php?article=3869 , 2013

[15] Stallings, W.: Cryptography and Network Security: Pearson Education, Inc.,2006, s.12.

ISBN 0-13-187316-4[cit. 11-05-2014]

[16] STAUDEK, J., HANÁČEK, P.: Bezpečnost elektronického obchodu:. In systems

Integration, 1999. Praha. ISBN 80-7079-05 [cit. 11-05-2014]

[17] Ako hackeri klamú vašich zamestnancov [online]. http://www.cfo.sk/articles/ako-hackeri-

klamu-vasich-zamestnancov, 2013

[18] Dostupné z: [online]. https://www.owasp.org/index.php/Main_Page , 2013

[19] Dostupné z: [online]. http://www.slvs-senec.sk/index.php/o-nas, 2014

[20] Valková Z.: Metodické usmernenie č. 5/2013 k pojmu informačný zákon [online].

http://www.dataprotection.gov.sk/uoou/sites/default/files/metodicke_usmernenie_c._5_2013_k_

pojmu_informacny_system_osobnych_udajove.pdf

[21] Přibyl, T.: Bezpečnostní politika a hesla [online]. http://www.ictsecurity.cz/odborne-

clanky/bezpecnostni-politika-a-hesla.html

63

[22] Zaťko, T.: Penetračné testovanie: vyuţite etických hackerov pre simulovaný útok na váš

systém [online]. http://www.itnews.sk/tituly/infoware/2014-04-09/c162570-penetracne-

testovanie-vyuzite-etickych-hackerov-pre-simulovany-utok-na-vas-system, 2014

[23] Dostupné z [online]. http://www.csas.cz/banka/nav/osobni-finance/ukazky-phishingovych-

e-mailu-d00017289

[24] Přikryl, L.: Ako si poradiť so záplavou hesiel a prístupových kódov vo firmách [online].

http://www.itnews.sk/tituly/infoware/2013-01-04/c153337-ako-si-poradit-so-zaplavou-hesiel-a-

pristupovych-kodov-vo-firmach , 2013

64

A Obsah archívu

Text práce: 395660_DP

Príloha: Cena za bezpečnostné opatrenia na ochranu citlivých údajov

Cena za zvýšenú bezpočnosť

Náklady pre navýšenie bezpečnosti na danú úroveň

65

B Prílohy

Cena za bezpečnostné opatrenia na ochranu citlivých údajov

Cena za zvýšenú bezpočnosť

Vlasnosť systému Počet človekohodín Priemerná cena

Grafika na mieru 30 600 €

Rôzne úrovne pouţívateľských

oprávnení

8 160 €

Komplikované algoritmy 50 1000 €

Modifikovateľnosť systému 15 300 €

Prepojenie viacerých systémov 20 400 €

Odolnosť vočí výpadkom 30 600 €

Stupeň

citlivosti

Charasterika systému Cena za zvýšenú

bezpočnosť

1. Ţiadne údaje zákonom povaţované za citlivé

informácie

Napr. počty klientov...

0 €

2. Osobné údaje – dodrţanie aktuálnej vyhlášky na

spravovanie osobných údajov

Napr. mená a priezviská, adresy, telefónne čísla, e-

maily

490 €

3. Osobné údaje pouţívateľov a citlivé údaje firmy

Údaje o príjmoch, stratégiách.

1190 €

66

Náklady pre navýšenie bezpečnosti na danú úroveň

4. Oprávnenia ovplyvňovať procesy vo firme

Napr. prideľovanie prístupov

1990 €

5. Peňaţné operácie 4990 €

Typ zraniteľnosti/rozsiahlosť aplikácie

Malá Stredná Veľká

Injection (SQL) 39 € 89 € 149 €

Broken Authentication & Session

managment

39 € 89 € 149 €

Cross-Site Scripting 49 € 99 € 169 €

Insecure Direct Object Reference 29 € 49 € 79 €

Security Misconfiguration 15 € 30 € 65 €

Sensitive Data Exposure 24 € 48 € 102 €

Missing Function Level Access Control 39 € 59 € 99 €

Cross-Site Request Forgery 19 € 39 € 69 €

Using Components with Known

Vulnerabilities

49 € 89 € 119 €

Unvalidated Forwards and Redirects 19 € 39 € 59 €