Jak jsem chytil hackera – IT manažera



Před nedávnem jsem byl jednou velkou finanční institucí požádán, abych v ní v souladu s požadavky regulátora provedl rutinní bezpečnostní audit IT. Tato organizace je povinna provádět vyhodnocení pravděpodobnosti zpronevěry vždy po několika letech. Většina prováděných transakcí se zde pohybuje v řádu mnoha milionů dolarů.

Šéf auditu IT (chraňme z právního hlediska nevinného a nazývejme ho panem X) projevoval starost především o oblast elektronických vkladů a převodů. Zprvu jsem předpokládal, že se obává, jaké slabiny bych mohl najít, protože to byl právě on, kdo nesl zodpovědnost za příslušný systém. A také to byl on, kdo zprovozňoval všechna bezpečnostní opatření na jeho ochranu.

Pan X mi sdělil, že četl zprávy, podle nichž právě finanční transfery jsou častoHacker
Hacker
cílem hackerů. Svěřil se mi, že je až paranoidní při ochraně vlastnictví svého zaměstnavatele a že bere otázky informační bezpečnosti velmi vážně.

Když jsem vyjádřil přesvědčení, že některé části jeho síťové infrastruktury jsou neefektivní, nebo naopak přehnaně chráněné, zdálo se, že je na mě naštvaný. Potom se ale jeho emoce změnily v hrdost, že vybudoval tak komplexní systém. Přitom stále opakoval, že pod jeho dohledem nedošlo v tomto oddělení nikdy k žádnému kriminálnímu činu.

Jak byly převody peněz zajištěny

Manažeři zodpovědní za finanční převody dostávali denně nový autorizační kód, který jim umožňoval práci s elektronickými vklady a výběry. Denní obměna byla prováděna z bezpečnostních důvodů. Manažeři se přihlásili do svých aplikací, zahájili proces elektronického vkladu nebo výběru (obvykle ve formě převodu z účtu na účet) a při dokončení převodu získali autorizaci. Celý uvedený postup je první chybou systému: Finanční instituce by měla mít speciální náhodně generovaný kód pro každého manažera zvlášť, navíc měněný alespoň dvakrát za den.

Pan X, který byl zodpovědný za bezpečnost IT systémů, nainstaloval pro ochranu IT infrastruktury různé technologie – například pasti (honeypots), zařízení pro prevenci ztráty dat i forenzní zařízení (host based forensics devices). Objevila se ale nečekaná slabina: Pan X byl schopen celkem snadno získat denní autorizační kód. Většinou to ani nevyžadovalo žádné technické znalosti. Stačilo jen pobýt s finančními manažery a nenápadně jim nahlédnout přes rameno. A když to nešlo takto, prostě mohl nahlédnout do logovacích souborů svých bezpečnostních nástrojů a heslo zjistit odtud. Je ironií, že tyto nástroje byly nainstalovány, aby právě proti tomuto druhu podvodů chránily.

Manažer hackerem

Protože měl pan X přístup k systémům pro převod peněz, zřídil si zde uživatelské ID. Nikdo mu nijak neomezoval přístup, protože k jeho práci patřilo testovat software, takže potřeboval platné přihlašovací jméno. A protože měl autorizační kódy pro vklady a výběry, běžně zadával příkazy k převodům peněz na několik soukromých účtů po celém světě.

Pan X měl to pochybné štěstí, že najal právě mě, aby bylo učiněno zadost pravidlu vyžadujícímu audit systému. A byla to souhra okolností, že mě jeho přístup přiměl zaměřit se na uvedené operace. Mohl bych tu kázat o potřebě nezávislého auditu, o nutnosti rozdělení kompetencí, o nezbytnosti přístupu založeného na rolích, nicméně základní pravdou je, že absolutní moc korumpuje. Zbytek tohoto příběhu si už dokážete představit...

Autorem tohoto příběhu je Aamir Lakhani, konzultant, který se specializuje na pokročilou moderní kryptografii. Amir je poradcem v oblasti kybernetické bezpečnosti v řadě společností z Fortune 500 a také vládních organizací USA. Aamirovy názory jsou často zveřejňovány v různých publikacích a je obecně považován za jednoho z předních expertů na Cloud Computing, virtualizaci, next-generation networking, datová centra a technologie kybernetické bezpečnosti. Aamir Lakhani publikuje své texty také na blogu CloudCentrics.com. Tento článek je publikován ve spolupráci s autorem. Mezititulky byly doplněny redakcí BusinessIT.cz.


(10. 10. 2011 | redakce2)


Předcházející článek: <<< Skutečný příběh: Vzal jsem servery a utíkal před povodní <<<
Následující článek: >>> Jak nainstalovat z Česka přes Indii server ve Francii >>>

Tento článek je součástí speciálu:

Nejlepší historky z IT: Příběhy skutečných lidí


Příběhy z IT

Možná je to laciné, možná podbízivé, možná až nevkusné, ale nemohli jsme odolat: Některé příběhy lidí z IT, které jsme slyšeli, nám přišly tak zajímavé (a, přiznáváme se, pobavily nás), že jsme se rozhodli jim věnovat samostatný speciál. A pokud je snad nechcete číst prostě jen pro zábavu, nepochybně se v nich skrývá i nějaké to poučení.



Komentáře, názory a rady

Hmm moc podivé
V článku je podivná informace "běžně zadával příkazy k převodům peněz na několik soukromých účtů po celém světě" Docela by mne zajímalo z jakého prstu je to vycucané, že na převody peněz př...
To je typické
Typický případ s ajťákem, co má ke všemu přístup, takže si může dělat s firemními daty co chce. A kolik je takových firem? Určitě nespočet. Jen doufám, že bank už v dnešní době ne. Pak se někdo bojí c...

>>> Číst a vkládat komentáře <<<

Tip - Konference: Mobilní řešení pro byznys - 21.9.2017!


Otázky a odpovědi z IT: Diskusní portál Bizio.cz
Pozoruhodné IT produkty pro rok 2017
Věříme, že v tomto přehledu pozoruhodných produktů najdete ty, které vám pomohou ve vaší práci v IT.




Anketa


©2011-2017 BusinessIT.cz, ISSN 1805-0522 | Názvy použité v textech mohou být ochrannými známkami příslušných vlastníků.
Provozovatel: Bispiral, s.r.o., kontakt: BusinessIT(at)Bispiral.com | Inzerce: Best Online Media, s.r.o., zuzana@online-media.cz
Používáme účetní program Money S3
O vydavateli | Pravidla webu BusinessIT.cz a ochrana soukromí | pg(119)