Norint atspėti bent vieną prisijungimo slaptažodį organizacijoje, dažnai nereikia jokių ypatingų įgūdžių – galima tiesiog internete rasti populiariausių slaptažodžių sąrašus ir jų sudarymo schemas. Deja, net vienos kompiuterinės darbo vietos slaptažodis, patekęs į piktavalių rankas, sukelia didelių problemų. Kaip pastebi „Blue Bridge“ vyriausiasis sistemų inžinierius-konsultantas Kęstutis Meškonis, kalbant apie slaptažodžius, nesvarbių smulkmenų nėra: tereikia vieno slaptažodžio nutekinimo, kad įsilaužėlis galėtų pradėti didinti savo privilegijas ir jau netrukus pradėtų šeimininkauti visoje infrastruktūroje ir sistemose kaip savo namuose.
Kaip dažniausiai atspėjami slaptažodžiai, kokios klaidos – apmaudžiausios juos valdant, kodėl dažniausias įsilaužėlių taikinys – populiarioji „Microsoft Active Directory“ aplinka bei kaip sumažinti duomenų ir kibernetinių atakų riziką stiprinant slaptažodžių valdymo politiką – pokalbis su K. Meškoniu.
Populiariausių slaptažodžių topai pasiteisina
„Bet kurioje didesnėje įmonėje išbandžius slaptažodį „Spalis2020“, atsidarys bent viena darbo vieta. Jeigu ne daugiau. Atliekant auditus tokių eksperimentų pasekmės dažnai tragikomiškos – pagal primityvias taisykles, bet tuo pat metu plačiai žinomų reikalavimų laikantis sukurti slaptažodžiai – daugelio kasdienybė. Ir darbuotojai, ir kartais net sistemų administratoriai galvoja, kad slaptažodžiai iš tikrųjų nematomi, todėl gali būti bet kokie. Svarbiausia – kad būtų lengva atsiminti“, – pasakoja K. Meškonis.
Apie tokį daugumos mąstymo modelį puikiai žinoma įsilaužėlių pasaulyje. „Sudaryti pagal žodyną, geolokaciniai, sezoniniai slaptažodžiai, tas pats slaptažodis kelioms sistemomis – nesenstanti klasika. Šie principai seniai perprasti ir sėkmingai naudojami bandant įsilaužti į sistemas. Įdomu tai, kad pastaruoju metu nebandoma atspėti vienos darbo vietos slaptažodžio, bet su tuo pačiu slaptažodžiu bandoma „atrakinti“ daugybę darbo vietų. Tokios atakos dažniausiai būna labai sėkmingos“, – komentuoja pašnekovas.
Dar didesnė staigmena yra ta, kad net laikantis geriausių praktikų, slaptažodžiai gali būti atspėti: „Slaptažodžiai saugomi sistemose dažnai mums to net nežinant, todėl pamatyti juos ten – vienas iš slaptažodžių vagių kelių. „Mimikatz“, „Mimipengui“ ir kitos technikos, skirtos „Windows“ ir „Linux“, išgauna slaptažodžius atviru tekstu tiesiog iš sistemos“, – pasakoja K. Meškonis.
Tikslas – užvaldyti aukščiausių teisių paskyras
Kartu su įsilaužimo technikomis, tarp populiariausių slaptažodžių išgavimo būdų yra ir socialinės inžinerijos metodai, kai naudotojams atsiunčiamas laiškas su prašymu suvesti savo slaptažodžius. Taip pat populiarus slaptažodžių išgavimas per prisijungimą prie bevielio Wi-Fi tinklo, nes jungdamiesi prie jo, naudotojai dažnai turi naudoti savo sistemų slaptažodį.
„Įsilaužėliams svarbu gauti bent vieną teisingą slaptažodį, net jei tai – paprasto naudotojo slaptažodis. Nes įsigavus į vieną įrenginį, daug lengviau pasidaryti tam tikrą karjerą sistemų viduje ir gauti kredencialus – priėjimą prie sistemų administratorių paskyrų. Kredencialai dažniausiai apima vartotojo vardą, slaptažodį ir kitą papildomą informaciją, tokią kaip „Windows“ domeno vardas ar duomenų bazės vardas. Užvaldžius šias paskyras įsilaužėliai praktiškai nebeaptinkami. Jeigu įsilaužę į paprasto naudotojo kompiuterį jie gana lengvai pastebimi ir veikia lėtai, tai įgavę administratoriaus teises, pradeda naudoti nebe savo, o legalius sistemų administratoriaus įrankius ir tokiu būdu gali veikti nepastebimai ilgą laiką – kopijuoti duomenis, išjungti antivirusinę įrangą, jungtis į serverius ir t. t. Statistika liudija, kad bandymas užvaldyti kredencialus – vienas populiariausių taip vadinamų poįsilaužiminių veiksmų“, – dėsto K. Meškonis.
Pasaulinė statistika liudija, kad pakilti nuo žemiausių iki aukščiausių teisių įsilaužėliai netrunka – procesas gali būti labai staigus. „Blue Bridge“ saugumo auditų patirtis rodo, kad užvaldyti aukščiausias teises prireikia nuo kelių valandų tik trijų dienų. Tiesa, per saugumo auditus specialistams nereikia būti atsargiems, jie daugiau „triukšmauja“ nei tikri įsilaužėliai, tačiau toks terminas leidžia įsivaizduoti, kaip greitai įsilaužėlis gali tapti nepastebimas“, – pabrėžia ekspertas.
Tarp dažniausių taikinių – „Microsoft Active Directory“
Slaptažodžių užvaldymą palengvina tarp viso pasaulio organizacijų itin populiari resursų valdymo sistema „Microsoft Active Directory“ (AD). „Viena vertus, AD išsprendė daugybę organizacijos problemų. Tai katalogų tarnyba (LDAP) sujungta su kitomis sistemomis, įgalinančiomis centralizuotą resursų, saugumo ir autentifikavimo valdymą. Tačiau tuo pat metu logiška ir tai, kad kuo daugiau informacijos vienoje vietoje, tuo didesnė rizika, kad ta vieta bus atakuojama pirmiausia“, – pastebi pašnekovas, pridurdamas, kad AD dažnai veikia kartu su viešojo ir privataus rakto infrastruktūra (angl. Public key infrastructure (PKI)), kurioje naudojami ne slaptažodžiai, bet sertifikatai: „Čia slypi dar vienas rimtas pavojus. Jeigu slaptažodžiai keičiami gana dažnai, tai su sertifikatu galima prisijungti du metus, tad jeigu prarandamas jis – grėsmė saugumui dar didesnė.“
Dar viena grėsmių grupė, susijusi su AD – vieningo prisijungimo (angl. Single Sign On (SSO)) galimybė. „SSO tai integruotas autentifikavimas, apimantis VPN ir Wi-Fi prieigas, saugumo arba tinklo įrangos administravimą, „Microsoft SQL“ duomenų bazes, klientų valdymo (CRM) ir finansų sistemas, el. paštą, slaptažodžių spintas ir t. t. Trumpai tariant – duomenų jūra, kurią paprasta pasiekti būtent dėl SSO“, – pabrėžia specialistas, pridurdamas, kad dėl visų šių priežasčių AD – daug patrauklesnis įsilaužimo kanalas, nei, pavyzdžiui, tinklo skenavimas, kuris užtrunka ilgiau ir yra daug sudėtingesnis.
Kaip apginti savo „Active Directory“?
Dalį su AD susijusių problemų identifikuoti ir išspręsti gali saugumo auditai. „Tai kompleksinės, specifinės paslaugos, leidžiančios pamatyti, kokia šiuo metu bendra saugumo bei konkrečiai AD padėtis. Galima rinktis ir tik AD skirtas apsaugos paslaugas, kurios leis pakelti saugos lygį tiesiog daugiau sužinojus apie šią sistemą ir jos galimybes“, – vardija K. Meškonis.
Tiems, kas naudojasi senomis Windows operacinių sistemų versijomis, bet negali jų atnaujinti, nes iškyla rizika pakenkti itin svarbiausioms sistemoms, gali rinktis sprendimus, skirtus „kompensuoti“ senesnių sistemų saugumo spragas.
Kiti AD iššūkiai tiesiogiai susiję su bendresne slaptažodžių valdymo politika. Dažniausiai šias problemas gali išspręsti tik pati organizacija, pasitelkusi nuoseklias technines priemones, procedūras ir discipliną.
Atkreipia dėmesį į elementarių taisyklių nesilaikymą
K. Meškonis įvardija kelias rekomendacijas, kurios padės išvengti dažniausiai pasitaikančių klaidų. „Tarp elementariausių priemonių – kurti mažiau komplikuotus, tačiau ilgesnius, mažiausiai 15 simbolių slaptažodžius, taikyti vienodą AD slaptažodžių politiką, kurios svarbiausias akcentas – draudimas administratoriams naudoti „amžinai galiojančius“ slaptažodžius. Apskritai, kiekviena sistema turi turėti savo originalų, nuolat keičiamą slaptažodį. Baimė „praganyti“ šį slaptažodį gana gaji, bet tam egzistuoja įrankiai ir sprendimai, padedantys slaptažodžius valdyti, keisti ir atstatyti“, – dėsto pašnekovas.
Kita eksperto rekomendacija – pašalinti pažeidžiamumus domenų serveriuose, ypatingai MS17-010 spragą, kuri pastebėta pernai. Taip pat reikėtų nepamiršti pasirūpinti tinkama katalogų prieigos konfigūracija, nes kitu atveju tokie katalogai tampa tikra prieinamų duomenų puota, kurioje galima rinktis bet ką – nuo darbuotojų asmens dokumentų kopijų iki bylų su svarbiausiais slaptažodžiais. „Geriausia tinklo katalogų išvis nelaikyti darbo vietose, o saugoti juos tik serveriuose. Tai, beje, labai svarbu ir pasikeitusių duomenų apsaugos reikalavimų kontekste“, – pabrėžia „Blue Bridge“ atstovas.
Pasirūpinus AD ir slaptažodžių politika, Kęstutis Meškonis ragina nepamiršti, kad kita pažeidžiama vieta – Wi-Fi tinklas. „Wi-Fi klientų autentifikavimui naudokite klientų sertifikatus ir klientų izoliaciją, uždrauskite „Ad-Hoc“ sujungimus, ribokite Wi-Fi administravimo prieigos pasiekiamumą. Kitaip – atsisėdus ant suoliuko su planšete ir prisijungus prie jūsų įmonės interneto bus galima sužinoti labai įdomios informacijos“, – perspėja K. Meškonis.
Sustiprinkite savo IT saugumą su „Blue Bridge“. Parašykite mums!