Bezpečnost ICT systémů – možnosti a omezení EurOpen XXV Jan Müller ICZ a.s.

Plán prezentace Proč bezpečnost? Co jest bezpečnost Komplexnost jako kritický faktor Systémový pohled – ISMS Možnosti uživatelů – skepse a obrana do hloubky Provoz, trvalý dohled a aktualizace Kryptografie Vzdělávání a změny postojů Reálné možnosti a další hrozby

Proč tato prezentace Bezpečnost je nesmírně komplexní průřezová problematika Většina odborníků se zabývá omezenou oblastí a tam hledá řešení: ISMS podle ISO/IEC 17799 Zakoupení konkrétního SW (např. Checkpoint) Zahození konkrétního SW (např. IIS) Silné proaktivní techniky (např. IPS) Silné forenzní techniky (post mortem) Nasazení silné kryptografie/PKI Procesní kontrola a testy SW (ISO/IEC 15408) HW tokeny Automatická aktualizace SW a ověřování autenticity Výstražné bičování usvědčených hackerů atd…

Proč bezpečnost? Explozivní nárůst ICT -> nárůst významu bezpečnosti aktiv, manipulovaných ICT Dramatický nárůst rozsahu a významu dat, dostupných přes ICT-> vzrůstá hodnota aktiv Stále běžnější manipulace těchto aktiv přes ICT (např. Internet) – nové možnosti přístupu k aktivům -> narůstají hrozby vůči aktivům V komplexním prostředí používají laičtí uživatelé nástroje, kterým nerozumí -> narůstá počet zranitelností Průniky a kompromitace jednodušší (komplexnost, automatizované nástroje) a zajímavější(prestiž, obchodní boj, kriminalita) -> narůstají rizika

Proč bezpečnost? Just as Willie Sutton robbed banks because “that’s where the money is”, modern criminals will attack computer networks. Crypto-Gram 2002

Fundamentální charakteristika bezpečnosti Extrémně komplexní průřezová problematika, která i z pohledu ICT zasahuje do řady externích oblastí od objektové bezpečnosti až po matematické problémy Celková bezpečnost systému je ale závislá na celkové odolnosti všech článků (je tedy tak silná, jako nejslabší článek), ALE dekomponovaný pohled nemusí podchytit vzájemné závislosti jednotlivých oblastí

Organizační členění odpovědnosti za bezpečnost Řešení bezpečnosti aktiv (v kontextu ICT = data) vyžaduje jasné odlišení administrativních domén odpovědnosti a definice konkrétních odpovědností jednotlivých subjektů včetně rozhraní Procesní členění odpovědnosti vychází z aplikační úrovně (odpovědnost za data) Nutnost definice odpovědnosti konkrétních subjektů za konkrétní data

Komplexnost – základní problém bezpečnosti ICT Fundamentální dichotomie: Objektový svět je komplexní: One of the most important lessons we can all learn about Critical Information Infrastructure Protection can be summarised in one word - interdependency. (Stephen Cummings, Director NISCC) Komplexnost je zásadním problémem v řešení bezpečnosti: Security´s worst enemy is complexity. (A Cryptographic Evaluation of IPsec, Ferguson, Schneier)

ICT v ochraně kritické infrastruktury (CIP) Mění se pohled na CIP – důraz na ICT technologie a na vzájemné závislosti tím, že ICT infrastruktura zabezpečuje manipulaci s klíčovými aktivy, se tato infrastruktura stává sama klíčovým aktivem ICT technologie jsou jak aktivem infrastruktury, tak i „enabling“ faktorem, který pozvedl vzájemné závislosti na kritickou úroveň a umožnil kaskádové efekty

Komplexnost ICT v bezpečnosti – různé pohledy komplexnost vlastního prostředí a příslušných procesů (objektový svět) komplexnost ICT řešení (aplikační programy sledující komfort uživatele) komplexnost vlastních bezpečnostních řešení

Komplexnost objektového světa ICT ji neovlivní, ale může znásobit některé související hrozby, zranitelnosti a rizika

Komplexnost ICT řešení Možné problémy Absolutní nezájem o bezpečnost produktu („throw features into the products and deal with the problems later“) Snaha o zjednodušení života uživateli (neprůhledné autokonfigurace) Snaha o zjednodušení života výrobci (přenesení admin. práv k výrobci, nevyžádané zásahy) Snaha o zjednodušení života programátorovi (nedostatečná analýza, příliš technologická orientace, přenášení neadekvátních modelů) Cílený pokus o zamlžení proprietárního systému

Příklady příliš komplexních ICT řešení Typicky rozsáhlá aplikační řešení s nesystémovými a nestandardními vazbami mezi moduly a do OS Využívání osvědčených nástrojů mimo jejich obor působnosti (protokoly jako NetBIOS, utajené IIS servery – Code Red) Nesystémový přístup k bezpečnosti architektury od úrovně HW stacku (Intel architektura) až po Rozsáhlé síťové a aplikační architektury (Komunikační Infrastruktura ISVS) Bjarne Stroustrup: princip skrytí dat

Příklady příliš komplexních ICT řešení Celé standardizované protokolové systémy Protokol Link16 – aplikační info v záhlaví paketů linkové vrstvy SS7 - mezinárodně užívaný signalizační protokol mezi ústřednami typu CCS (Tanenbaum: „gigantic unstructured mess“) s dolepenými částmi jako TCAP nad SCCP Produkty tohoto typu se nedají rozumně zabezpečit Nelze provést adekvátní rizikovou analýzu Mohou fungovat bezpečně pouze v izolovaném prostředí SS7 – SSP (Service Switching Points), STP (Signal Transfer Point), SCP (Service Control Point), cf. MGCP, TCAP – Transaction Capabilities Applications Part), SCCP – Signaling Connection Control Part – not used by ISUP & TUP

Komplexnost bezpečnostních řešení Snaha nacpat maximální množství „featur“ Bezpečnostní systémy Např. firewally – kromě BPS služeb také routing, traffic shaping, AV aj. Standardy Např. IPSEC – typický produkt komise – snaha vyhovět všem, příliš mnoho variant, překrývající se funkcionalita (transport a tunnel, AH a ESP – jak kryptografické problémy, tak čistě technické (RFC 3027 Protocol Complications …) Cryptographic Evaluation of IPsec, Ferguson, Schneier

Komplexnost bezpečnostních řešení Základní problém komplexních bezpečnostních řešení (a standardů) – zajištění potřebné úrovně důvěry (assurance ve smyslu Common Criteria ISO/IEC 15408) Reálné PP (Protection Profile, vydávané DoD a NIST) specifikují pro dosažení vyšších úrovní EAL jen velmi omezenou funkcionalitu TOE

Systémový pohled – ISMS podle BS 7799 Systémový přístup k řízení bezpečnosti je absolutně klíčový BS 7799/ISO 17799 zřejmě nejlepší dokument v této oblasti Efektivní i pro malé podniky - systematicky pokrývá všechny významné oblasti – nic se omylem nevynechá Procesní přístup – průběžné řízení Problémy metodicko-procesních standardů jako ISO 17799, ISO/IEC 15408, ISO 9000 – pokryjí všechny potřebné oblasti, ale samy o sobě nezaručí kvalitu implementace (cf. EAL v CC)

Možnosti uživatelů a reklama výrobců – důvěřovat ale prověřovat? Bezpečnost se stává zajímavým marketingovým aspektem Uživatel nerozumí vlastní problematice ani implementovanému řešení – čemu tedy může důvěřovat? (marketingová) prohlášení výrobců Splnění požadavků standardů a jejich ověření prostřednictvím nezávislých testů Neformální hodnocení atd… Má vůbec jasno, v čem důvěra spočívá (tj. co na tom všechno závisí)?

Marketingová prohlášení výrobců – příklad 1 Windows XP is dramatically more secure than Windows 2000 or any of the prior systems. Buffer overflow has been one of the attacks frequently used on the Internet. We have gone through all code and, in an automated way, found places where there could be buffer overflow, and those have been removed in Windows XP. We have also turned off by default a whole set of things so that users are configured in a minimalist kind of way, making them less vulnerable. Microsoft viceprezident Jim Allchin

Marketingová prohlášení výrobců – příklad 1 Anyone remember last November, when Microsoft VP Jim Allchin said in an eWeek interview that all buffer overflows were eliminated in Windows XP? Or that it installed in a minimalist way, with features turned off by default? Not only was the UPnP vulnerability in an unneeded feature that was enabled by default; it was a buffer overflow. Bruce Schneier, Crypto-Gram

Marketingová prohlášení výrobců – příklad 2 „Oracle 9i. Unbreakable. Can´t break it. Can´t break in.“ Reklamní kampaň Oracle v r. 2002 Týž rok hacknutý s využitím triviálních buffer overflow … Oracle: produkt prošel 14 nezávislými evaluacemi (např.TCSEC, ITSEC, CC, FIPS 140-1) … Jakou má šanci uživatel, když evaluace neodhalily ani triviální BO?

Možnosti uživatelů - skepse Problém není v tom, že v systému jsou chyby (v každém programu jsou chyby), ale v tom, že se na systém zcela spoléháte Globální tlak na výrobce Odmítnout „security through obscurity“ Complexity management Otevřenost a auditovatelnost řešení Zejména v kryptografii jen veřejné algoritmy + peer review (cf. zaheslování souboru ve Wordu) Splnění některých formálních evaluací Nic z toho ale není všelék …

Možnosti uživatelů – obrana do hloubky Nespoléhat na jedinou komponentu (obvykle prvek „perimeter defense“ jako např. firewall) Nechrání proti interním útokům Při selhání klíčového prvku ochrany zůstávají aktiva zcela nechráněna, často BEZ DETEKCE! Potřeba strukturalizovat ochrany systému do mnoha různých úrovní a zachovat detekční funkce i pro havarijní stavy

Obrana do hloubky – příklady dalších prvků Úroveň aplikací - šifrování dat (včetně záloh), silné autentizace a auditní nástroje Úroveň aplikačních protokolů – šifrování a autentizace (ssh, https, obecně SSL/TLS) Síťová úroveň – mikrosegmentace, přepínání, šifrované VPN (IPSEC), přístup do sítě – fw, NIDS, IPS, logování OS - zvýšení bezpečnosti (hardening), minimalizace nástrojů a privilegií Kernel – řízení a audit volání jádra (Posix1.e, Domain and Type Enforcement, různé security kernel patche jako LSM), řízení IP stacku, HIDS

Provoz, sledování a aktualizace systémů Be quick, or be dead. Iron Maiden

Provoz, sledování a aktualizace systémů Nárůst zranitelností – od 171 v r. 1995 k 1740 za první pololetí 2004 (CERT) Potřeba průběžné údržby systémů Aktualizace SW na stanicích i serverech Aktualizace a provoz SW na bezpečnostních systémech (FW, IDS apod.) Aktualizace jejich databází (signatury virů a různých typů exploitů) Stále náročnější agenda - tendence k automatizaci – zásahy do systému prováděny zvenčí – ztráta kontroly

Provoz, sledování a aktualizace systémů Prevention is ideal, detection is mandatory

Provoz, sledování a aktualizace systémů Nestačí instalovat a ani správně konfigurovat prvek jako FW (nebezpečí při formálním plnění požadavků ISO 17799) I chráněný systém nevydrží věčně (cf. rating sejfů) - potřeba trvalého dohledu systémů – zachytit a neutralizovat průnik v nejranějších fázích Řada útoků (např. SQL injection) vyžadují určitý čas na analýzu cíle – systémy je nutno sledovat a průběžně analyzovat události, vytřídit falešná pozitiva a reagovat

Kryptografie If you think cryptography will solve the problem, then you don’t understand cryptography and you don’t understand your problem …

Kryptografie Komplexní, ale velmi specializovaný obor Uživatelé obvykle věří šifrovacím nástrojům a netuší, že zašifrování může být bezcenné, protože Použitý algoritmus je slabý Algoritmus je třeba AES, ale implementace v knihovně je chybná Aplikace používá kryptografické nástroje chybně V okolí systému může být celá řada chyb, které umožňují prolomení šifry

Kryptografie Největším problémem kryptografie je její okolí … Chybné specifické formáty dat (keyrings v PGP, šifrované soubory ve Wordu) Chyby ve standardním kódování (ASN.1) Přidávání standardních záhlaví a jiných textů (útoku typu known-text) – jeden z útoků proti 802.11 WEP s RC4 (WEPCrack) Nevhodné použití kryptografického nástroje (symetrické šifry pro utajení i autentizaci v bankovním styku) Nevhodná interakce systému s okolím – možnosti pro kryptoanalýzu postranních kanálů …

Kryptografie v reálném světě - PKI PKI is 10 percent technology and 90 percent policies and procedures Problémy s nasazením – pozornost soustředěna na nástroje, ne na procedury (vydávání certifikátů, ověřování identit aj.) I tak je PKI pouze infrastruktura, tj. nástroj, sloužící konkrétním cílům – problémy s překlápěním aplikací k využívání těchto nástrojů

Kryptografie v reálném světě – univerzální počítač Uživatelská stanice – nejslabší článek PC je univerzální počítač s Discretionary Access Control – při proniknutí do počítače lze kompromitovat passphrase nebo privátní klíč, nebo podstrčit jiný text k podpisu Rozšíření a všestrannost PC z nich tak činí nevhodný nástroj pro bezpečné kryptografické operace …

Vzdělávání managementu, návrhářů a uživatelů Bezpečnost je opruz … Management bez financování a podpory bezpečnost nebude Musí pochopit jednak potřebu řešení, jednak korektní přístup – nikoliv nákup beden, ale řízení bezpečnosti jako proces (ISO 17799) Návrháři Musí jednak integrovat bezpečnostní nástroje do svých řešení, a jednak sami psát bezpečný a auditovatelný kód Musí přijmout bezpečnostní specifikace jako zadání na úrovni funkční specifikace Neobcházet kontrolní prvky (SOAP)

Vzdělávání managementu, návrhářů a uživatelů Nejslabší článek celého řetězce, řešení organizační, technická a personální (vzdělávání) Něco lze řešit technicky (např. centrální správa uživatelského SW), ne vždy únosné -> potřeba trvalého vzdělávání a tlaku Korektní využívání techniky včetně organizačních opatření (práce s hesly, clean desk apod.) Celkové povědomí o hrozbách (např. stažení trojského koně synkem a následná kompromitace SSH do firmy)

Hranice, omezení a nebezpečí Bezpečnostní opatření mají smysl pouze v kontextu konkrétních (ohodnocených) aktiv, kterým musí odpovídat jejich intenzita i náklady Rizika mohou být pouze zmenšena, nikdy ne úplně odstraněna; velikost reziduálního rizika musí být známá a souvisí s celkovými náklady Hrozby, zranitelnosti i cíle společnosti se mění – proces ISMS musí zahrnovat i audity a přehodnocování politik

Hranice, omezení a nebezpečí Bezpečnostní opatření znamenají omezení uživatelů; to musí ale odpovídat definovaným cílům - je nutno zabránit zneužití bezpečnosti. Pro zachování kontroly subjektu nad svými aktivy je nutno zachovat procesní oddělení domén a udržet kontrolu přístupu – sílí snahy o ovládnutí osobních počítačů externími subjekty.

Hranice, omezení a nebezpečí Příklady: XP – alespoň 16 způsobů jak komunikuje samostatně s externími systémy (mj. i prostřednictvím proprietárních protokolů jako je HCP), a v řadě případů zcela samostatně downloaduje a instaluje různé programy. Windows XP is the first Microsoft operating system to challenge whether the user can have control over his or her own computer. Michael Jennings TCPA (Trusted Computing Platform Alliance, nyní TCG) – SW a aplikace na PC jsou ovládány zvenčí (DRM – Digital Rights Management), řízeno speciálním čipem (Fritz) již od bootovací sekvence

Některá doporučení na závěr Systém řízení bezpečnosti ISMS podle BS 7799 s důrazem na členění odpovědností, na procesní vnímání bezpečnosti, na audity apod. centralizovaný systém pro identifikaci a kryptograficky silnou autentizaci uživatelů Perimeter defense + obrana do hloubky Procedury a nástroje pro incident response Centrální politiku a mechanismy pro aktualizaci programového vybavení

Tečka BEZPEČNOST JE TRVALÝ PROCES!

Děkuji za pozornost Jan Müller E-mail: jan.muller@i.cz