Kompromitácia webmailu NBÚ
Server Blackhole.sk ako známe útočisko pre zverejneňovanie informácií o prienikoch (pre nechápavejších: anonymne zašlete informácie o svojom prieniku a oni to proste zverejnia), včera podvečer zverejnil hodnoverne znejúci popis prieniku na servery NBÚ.
Prvý pohľad na článok ma zarazil: NBÚ má webmail? Ups. Tohto slova sa osobne veľmi bojím. Mám zafixované riziko rýchlej kompromitácie takejto aplikácie. V momente ako niekoho napadne „spravme si prístup“ na čítanie mejlov v robote z domu, tak rotvajler trhá až kým na dreň neohlodá všetky sprosté zámienky a nezostanú čisté, skutočné a pádne dôvody. Zatiaľ také nezostali a rotvajler sa nažral a nápad zmizol.
Kompromitácia strojov sa skladá z dvoch rizík:
# poškodenie imidžu; úspešný, čiastočne úspešný, hypotetický, domnelý alebo dokonca nikdy neuskutočnený (lož) útok neuskutoční žiadne skutočné škody a často je realizovaný na najmenej podstatnej vrstve počítačovej siete, ktorý už pri svojej výstavbe „počíta“ s kompromitáciou. Celú rolu v poškodzovaní zohrá skôr medializácia takejto udalosti a pôsobí skôr neobjektívne ako objektívne pričom sa zavádzajú ekvivalencie alebo implikácie v zmysle „ak sa dajú napadnúť tu, tak potom, čo sa deje tam?“,
# skutočná škoda; záleží na hodnotení vlastníka, čo je skutočná škoda. Útočník môže považovať prienik za škodu, vlastník pohne ramenami a vytiahne zálohu. Objektívne sa škoda môže merať len nákladmi na asanovanie následkov prieniku. Často sú skutočnými škodami napr. prezradenie citlivých údajov, osobných informácií – proste veci, ktoré sa nedajú riešiť „obnovením“ stavu alebo odstránením problematických častí
V prípade NBÚ ide hlavne o poškodenie imidžu:
# zjavne postavili svoj mejlový systém ako nedôležitú súčasť organizácie, vyslovene povedané – mejly tam boli iba na „sprostosti“,
# zjavne niekto s právomocami sa rozhodol, že chce si čítať mejly „zvonku“ (toto rozhodnutie je to, ktoré je kritické a krúti sa mi pri tom hlava),
# zjavne sa v súlade s predošlým bodom vykonávatelia prispôsobili heslu „vyššia berie“ a proste to museli zrealizovať a zrejme dodávateľ urobil svoju „čiernu skrinku“ a tú odovzdal ako zákazku,
# situácia je proste taká, že všetci naozaj dobrí admini (čiže nie premakaní linuxáci ale skôr premýšľaví ľudia, ktorí nerobia iba to, čo sa im povie) nie sú v štátnych úradoch a tí, čo tam sú majú skôr úroveň „vyvíjam sa“ a keď niečo nevieme, máme dodávateľa. Toto je daný stav a bohužiaľ sa tak rýchlo nezmení. Je samozrejmé, že je to potom sústo pre médiá (ale ani medializácia to nezmení) a hacker nerozoznáva a nehodnotí okolnosti, to je jasné tiež,
# mailový systém vďaka opatreniu nekomunikovať (poviem to rovno) pracovné záležitosti e-mailom, neobsahuje žiadne naozaj citlivé údaje a mejluje sa tam skôr neformálne (ja dúfam, že to chápu aj ľudia, ktorí si dnes a denne preposielajú chuj… firemnými mejlami), čo svojim spôsobom pri kompromitácií poškodzuje imidž ale nie je to nezvyklý jav (viem, čo si v domnení súkromia môže písať mejlami ktokoľvek),
Čo by som urobil ja?
# v prípade pochybností o bezpečnosti webmailu by som odmietol prevziať zaň zodpovednosť,
# v prípade realizácie prístupu k mejlu zamestnancami by som sa najprv vzdal akejkoľvek zodpovednosti za ich činnosť a zdôraznil by som riziká kompromitácie a preniesol by som zodpovednosť za rozhodnutie medzi bezpečnosťou mimo mňa,
# webmailový server by som nikdy neotvoril iným ako 80 portom (a to by som sa už triasol) :-)
# webmailový software by som vyberal veľmi dlho :-) a potom by som si nevybral nič ;-)
Čo týmto chcem povedať? Po nápade: chceme sa zhocikade dostať do svojho firemého mailu, by som dal naozaj najvyšším zodpovedným na zváženie:
# stojí nám ten prístup k schránke za možné poškodenie imidžu pri vedomí, že ŽIADNE IT riešenia resp. admini nedokážu kompromitácií nikdy zabrániť?
# naozaj je náš postoj „je to iba naše nedôležité mejlovanie“ správny aj z uhla pohľadu verejnosti?
A čo posmeškári z diskusií pod článkami o tejto udalosti?
Iba dostali zjavne zaujímavé sústo ale pod slovami „ale sú tam nekompetentní ľudia“ je vidieť iba škodoradosť pretože, pokiaľ by im skutočne išlo o ich dane a zmysluplné fungovanie takýchto organizácií, tak by sa tam už títo vševidiaci odborníci tlačili v húfoch, aby sa predviedli. Zvyčajne reptali vedia o problematike menej ako sa zdá z napísaných rečí :-)
Ktory webmail povazujes za najbezpecnejsi? Ja viem ja viem, ze by si si nevybral, ale skus to prosim…
[1] pre firmu alebo pre teba? nedostatocne podmienky :-)
ziadny webmail nemoze byt bezpecny pretoze akonahle sa presypaju medzi klientom a serverom hesla a tie idu cez internet…
nedefinoval si potrebnu mieru bezpecnosti obsahu mejlov, aku pozadujes.
takze len vseobecne:
pre firmu: to je komplikovana odpoved, ktora zalezi na existujucej infrastrukture a asi by som neinstaloval ZIADNY webmail
pre teba: ten, ktory sa ti paci, ja preferujem gmail.
Zas jeden argument, prečo pracovníci IT oddelenie nemajú prijímať manežerské rozhodnutia. Nechcú niesť zodpovednosť za chyby iných a v princípe ani nenesú zodpovednosť za hospodársky výsledok firmy.
Sympaťično, že Spravodaj sa týmto článkom stáva výnimkou na slovenskom webe, lebo toľko postbitkových informatických generálov, koľko sa ich rozbehlo proti nbú, mávajúcky pritom obligátnymi oranžovými mucholapkami, som veru už dávno nevidel. Karma plus. :)
[3] tym chces povedat, ze relevantne podklady (napr. webmail nenainstalujeme lebo hrozi kompromitacia) k rozhodnutiu vyznacne ovplyvnuju menezerske rozhodnutia lebo inak by to nebolo ono ;-)
„chceme sa zhocikade dostať do svojho firemého mailu“ … a preco by sme mali k mailu pristupovat iba v kancelarii? Na sluzobke, v terene nie??
Osobne by som webmail na 80 porte nenechal ani náhodou. (V tomto na Rony nezhodneme.) Webmail patrí, ak ho veľmi chceme na 443 port a podpis verejného klúča buď fyzicky rozdistribuovať, alebo si ho dať podpísať verejnou certifikačnou autoritou, ktorá má svoj podpis zabudovaný priamo do aplikácií (webových prehliadačov). Tým pádom je heslo zabezpečené na rovnakej úrovni ako heslo na ssh daemona. Ale i tak je tam riziko nevhodne zvoleného hesla.
O prieniku do NBU som zatiaľ nečítal.
[7] ale jasne, mas pravdu, SSL trochu pomoze :-) ja som iba v rychlosti zjednodusoval a eventuality typu SSL ano/nie som nebral ako merito problemu :-)
Ja by som proste neumoznoval otvarat interne firemne mailboxy „zvonku“. To je aj ked mas SSL dobra cesta pre unik udajov. Rozpitvavat to snad netreba :-)
[5] Chcem tým povedať, že konečné rozhodnutie o implementácii takej, alebo onakej informačnej fičúrinky,napríklad dnes diskutovaného webemailu, má byť rozhodnutie výkonného manažéra na základe podkladov IT oddelenia. Ušetrí sa tým hafo problémov pri akceptácii rieśenia zo strany podriadených (z pohľadu IT tých oných užívateľov, čo si furt vymýśľajú) a súčastne sa splní sen IT pracovníkov – za nič nebyť zodpovedný.
.
Takže, áno, podklady od IT by mali zásadne ovplyvňovať manažérske rozhodnutia, pretože inak je to cesta do horúcich pekiel. Napríklad práve tu spomínané rozhodnutie, čítať poštu z domu.
(interného auditora na nich, banda jedna vymýšľajúca :-)
[10] je nad slnko jasnejsie, ze webmail v NBU chceli hlavy a nie spodky. Tym padom tu mas menezerske rozhodnutie :-) akurat ze ked ti nieco hovori tvoj podriadeny, nie vzdy mas jeho vahy pri posudzovani uzitok vs. nebezpecenstvo. Jeden prehana a druhy bagatelizuje.
Problem bol ale v konecnom dosledku nie vo webmaile, cert ho ber. SSH ako sluzba nema byt na zvonku pristupnych serveroch vobec spustena, ak nam ide o utajenie. Resp. ved vzdy sa da cez sshd_config osetrit pristup len cez internu adresu.
Ja som rad ze to hackli pretoze som hned zistil tu istu chybu aj na nasom webmaily. :D A v logu Apache uz par testov na nu (dokonca sa aj raz ten utocnik trafil este ze to nevyuzil a mal tam len nieco neskodne – ziadne rm -rf). Vsetci tzv. admini nam odisli a co si teraz clovek neurobi sam to nema.
Asi by som mal ten webmail zrusit (instaloval ho kolega co zdrhol do novej (rozumej podstatne lepsie platenej) prace). Ked niekto chce postu, moze pouzivat IMAP alebo POP3.
na firemne maily treba ist bicyklom. U mna to funguje pomocou VPN smerom do firmy kryptovanym. az potom moze niekto nejake maily vobec citat
[13] a problem zostava: v samotnom zamestnancovi, ktory si nakoniec tie udaje zobrazi na masine, nad ktorou nemas ziadnu kontrolu.
[14] zamestnanci su pod hrozbou smrti upozorneni ze tie hesla si maju pamatat i ked su zlozite. kedze im to hovorim osobne predpokladam ze vaha mojej osobnosti (cez sto kg zivej vahy) prispieva k znizeniu bezpecnostneho rizika :-) zo strany zamestnancov.
Otvorene poviem, ze tato diskusia nikam nevedie. Naco rozoberate (ne)bezpecnost webmailu, ked samotne maily sa prenasaju v otvorenej forme a citat ich moze takmer ktokolvek?
Ak nedas k dispozicii webmail, tak vlastne stavias pancierove dvere na slamenu budu. Prve co zamestnanec bez webmailu spravi je, ze si automaticky bude forwardovat vsetku postu niekde na gmail. Potom to uz len bude „bezpecne“ .. ale mas pravdu ze sa tym vacsinou da vyhnut skandalom. Kazdopadne to ale nie je bezpecnost, len dojem bezpecnosti.
A co sa tyka VPN, ta je zvycajne ovela horsia ako vsetky webmaily dokopy. To je neskutocne nebezpecny nastroj. Najma v dnesnej dobe neefektivnej perimeter security … asi budem musiet zase o tom napisat nieco do blogu, ked si najdem cas.
[16] ved preto hovorim, ze by som nikdy dobrovolne nesuhlasil s pristupom k firemnym servrom cez mejl a pod. ono nejde ani tak o to, ze smtp je plain ako fakt, ze ludia by si mohli otvarat mailboxy „odkialkolvek“.
mas pravdu v kontexte je debata o webmaili offtopic.
co sa tyka forwardenia: k tomu su urcite este ine prostriedky, ktore to forwardenie obmedzuju :-) a spomenul si jasne: problem skandalu vzniknuteho preposlanim citlivej informacie je v inej rovine.
napis, bude lepsie citat nieco zaujimave ako clanky cucane z palca – co je koniec koncov aj tento moj ;-)
Co takto pristup na firemny mail cez VPN, Citrix a pod …
C.
[18] prijemny navrh, najma ked o dvoch vyssie mas vyjadrenie [16], kde sa uz VPN spomina ;-)
vsetkych by nas vsak VPN napadlo aj bez toho ;-)
a to som uz v [14] problem VPN spomenul ako odpoved na [13].
Clovece, ty si pocas citania prispevku prespal komentare, ze? :)
PGP anyone?
[20] ano, riesenia existuju, podstata unika. a ta je v tom, ze na zabezpecenie 1 systemu nasadis dalsich 10 systemov.
a zvysis moznost kompromitacie :)
pritom je to vsetko jednoduche: na prevadzku komplexu systemov potrebujes aj komplex ludi :-)
co z toho vyplyva? ziadny webmail, ziadny stroj dostupny zvonku, ziadne problemy :-)
nehovoriac o tom, ze skandal vyrobili media, nie kit kids :-)
PGP/GPG je sice fajn, ale nedosiahlo „critical mass“. Co znamena, ze „web of trust“ je prakticky nepouzitelne. Co zase znamena, ze vieme sice zarucit ze spravu poslal odosielatel a ze ju precita len prijemca, ale nevieme zarucit kto ten odosielatel a prijemca vlastne su („identity crisis“? .. pekny buzzword, nie? :-) ).
Aj ked take GPG je celkom fajn na „point-to-point“ zabezpecenie, „vo velkom“ sa to pouzit neda.
Takze zase nic.
Tak som si predsalen nasiel trocha casu:
http://storm.alert.sk/blog/security/nbusr-hacked.html