Nem minden cleartext, ami annak tűnik...

Az jutott eszembe, hogy mindenki azon lovagol, hogy „a szerencsétlenek, cleartext-ben tárolták a jelszavakat” – holott ez nem biztos, lehet, hogy csak gyenge, visszaállítható kódolással (ne lovagoljunk azon, hogy az ugyanolyan, mintha cleartext lenne).

Úgyhogy vettem a kedvenc 29 rekordos blokkomat, és MD5 után betoltam a kódokat a hashkiller online-ba.

Nem igazán számítottam eredményre, de:

BAZINGAAAA, hát ezek vissza lettek állítva!

Milyen következtetést lehet ebből levonni?

Ezeknél a usereknél az adott forrásrendszer MD5-ben tárolta a jelszavakat, és a csúnyabácsi/csúnyanéni megszerezve az adatbázist, visszaállította a jelszavakat pl. a hashkiller online-on, vagy offline, és aztán feltöltötte.

Jó, mi?

Nem, annyira nem.

Eszembe jutott, hogy ha már MD5-tel megnéztem, akkor meg kellene nézni unalmas SHA1-el is (ezt egy konferencián hallottam, amikor rákérdeztem, kiderült, hogy sótlanra gondolt). Nosza, ugyanezekből a jelszavakból unalmas SHA1, majd be vele a hashkillerbe!

Bmeg, ez is BAZINGAAA*

Na jó, de akkor mit jelent ez?

Szerintem a legvalószínűbb, hogy legalább KÉT olyan rendszerből is történt szivárgás korábban, illetve azok a kedves felhasználók, akiknél az MD5 és az SHA1 is megtalálható a haskiller-en (ergó a jelszavukat az egyik forrásrendszerben MD5-ben, a másikban pedig SHA1-ben is tárolták) – a két rendszerben ugyanazt a jelszót használták.

Igazából ez borítékolható volt, de legalább a feltételezés mellé lett gyártva valami konkrét alap is.

*: (az évszámot hagyjuk ki ebből, az ugye eleve alap, hogy megvan mindkét kódolásban)

“Komoly biztonsági incidens egy magyar kormányzati informatikai rendszerben” – azaz 2018.01.14.-én publikálódott egy jóféle hazai breach – legalábbis így adta le a hírt az ITCafe - https://itcafe.hu/hir/hack_magyar_kormanyzat.html).

A PasteBin megosztóra került fel egy lista, amelyben magyar magánszemélyek, szervezetek és kormányzati intézmények „kiszivárgott” hozzáférései találhatók - több, mint 6000 rekord.

Account Takeover (ATO) – megjegyzendő hárombetűs

Az account takeover a szervezethez kapcsolódó, a szervezet felhasználói által igénybe vett belső és külső szolgáltatások hozzáféréseinek kompromittálódását jelenti.

Az incidens során egy vagy több, külső vagy belső rendszerhez hozzáférő felhasználó bejelentkezési azonosítója és jelszava illetéktelen kézbe jut, bizalmassága súlyosan sérül.

Account takeover esetén a kiszivárgott hozzáférés segítségével illetéktelen személyek is hozzáférhetnek az adott szolgáltatáshoz vagy rendszerhez. Az eseményből más incidensek is következhetnek, mivel a felhasználók jellemzően azonos vagy csak nagyon kismértékben eltérő jelszavakat használnak az egyes szolgáltatásokhoz, tehát ha egy hozzáférés kompromittálódik, lehetséges, hogy más szolgáltatásokba is be tud jelentkezni az illetéktelen személy.

Még súlyosabbá válhat a probléma, ha a szervezeten belül, a belső rendszerekhez történő hozzáférésekhez használja a felhasználó a kiszivárgott jelszót, és a belső jelszócsere folyamatok hosszú átfutásúak (90-180 nap) – vagy egyáltalán nincsenek.

Kell-e most félnünk és aggódnunk?

Esemény után már minek aggódni? Akkor már csak az eseménykezel... eseményelnyelő... NA! ...eseményutáni tabletta segít. 

A listában található jelszavakkal nem is igen szeretnék foglalkozni, várom „Kripto” Norbi kolléga statisztikázását, viszont azért érdemes megnézni kicsit közelebbről ezt a listát.

A lista szerintem a „Public Combo List” kategóriába tartozik, mert bőségesen tartalmaz már korábban is megjelent/publikálódott hozzáférési adatokat.

Megnehezíti az ellenőrzést, hogy sajnos (na jó, nem sajnos) az ingyenesen használható „Have I been Pwned - https://haveibeenpwned.com/” oldalra már betöltésre került a több, mint 6000 rekordot tartalmazó lista, szóval a tömeges ellenőrzésre kiválóan használható recon-ng modul elvileg mindenre „Breach found” üzenettel tér vissza – illetőleg nálam valamiért mégse (mintha csak a korábbi breacheket látná, és a mostani adatokat nem kapná meg API-n keresztül).

 https://haveibeenpwned.com

TOP 20 domain

Azért gyanús nekem a Public Combo List dolog, mert nagyon változatos a domainek eloszlása, és sok olyan domain címet tartalmaz, amely igazából ma már nem használt – főleg ha a kormányzati domaineket nézzük.

A kormányzati domainek zöme már nem aktuális, a szervezetek kb. ötször átalakultak, stb.

gov.hu domainek

Nyilván az is nagyon gyanús, hogy sok cím (főleg a gmail, hotmail, freemail címek közül) már sok publikus breach listában megjelent – ez tipikusan a Combo List sajátossága, azaz a korábban megjelent listákból állítják össze az „új” lista gerincét.

A 119 hotmail.com-os címből 53 már korábbi breachekben is szerepelt, akár többen is. A 138db yahoo.com-os címből 63 szerepelt már korábbi breachekben (összesen valami 180db yahoo-s cím van a listában. Az 1700db gmail-es címből 519 szerepelt korábbi listákban.

63 yahoo.com végű cím már korábbi listákban is szerepelt

Nade mért teszik ezt? Miért kerültek ebbe bele már korábbi szivárgások adatai?

Mert nincs betyárbecsület, azért. :)

A feketepiacon a Combo Listák értéke a legkisebb, a vásárlók úgy is vannak vele, hogy a 80% 20%-nak 20%-a lehet új, eddig még nem megjelent account, a többi meg szemét, vagy korábban már ezerszer megjelent rekord.

Százezres, milliós Combo Listákat vásárolnak a csúnyabácsik és nénik, szóval a 6000-res Combo lista szerintem nemigen érhet túl sokat, kivéve, ha valid és új adatokat is tartalmaz (márpedig újat tartalmaz, a validságát meg ugye nemigen akarnám ellenőrizni, ha egy berletért ekkora hercehurca volt, akkor ezért alighanem kerékbetörnének.

Ami még érdekes a Combo Listák esetében, hogy többször láttam már, hogy teljesen valótlan jelszavak szerepelnek az ilyen listákban. Szintén a betyárbecsület rovására kell írni: egyszerűbb egy korábban már meglévő email címhez (vagy LinkedIn-ről legyűjtött címekhez) random jelszót generálni és ezekkel felhízlalni a listát (ezért érnek a kombó listák keveset a kiberdarkpiacokon).

Viszonylag egyszerűen kiszúrhatók az ilyen jelszavak, egy átlagos magyar felhasználó ritkán használ olyan jelszót, hogy „RX4%6!3.vs+!aQD” :) Sajnos. Aki végig pörgeti ezt a listát, látni fogja, hogy jelen listában gyanúsan „szép” jelszavak találhatók (mármint tényleg jómagyarjelszavak).

Dr. WHO

PP barátom (professzionális Incident Responder) kiszúrta, hogy a listában meglehetősen sok a doktor – „dr”, „dr.” kezdetű cím, szóval, ha nem valami kamarai oldalról származnak az adatok, akkor lehetséges, hogy a Complex Jogtár online adatbázisából valamikor kiszivárgott hozzáférések lehetnek ezek a „doktorok” (380 db).

Egy ismerős ismerőse - aki szerepel a listán megerősítette,- hogy azt a jelszót, amellyel a listában szerepel, a Jogtárban használta, kb. 5 évvel ezelőtt.

Annyival még kiegészítenem a doktorokat, hogy a 380 „dr.”-ból azért 57 doktor egyéb, már régebbi breachben is szerepelt 

A jelszavakon végigszaladva 85 olyan hozzáférést lehet találni, amely feltehetőleg de nem megerősítve a BruxInfo-ból származhat. Érdekes, hogy sok esetben azonos, vagy nagyon mintakövető jelszavak vannak ezeknél a hozzáféréseknél, pl. brux0707 - brux0909 - esetleg valami default jelszavak lennének, amiket a rendszer létrehoz?

Szintén sok hozzáférés köthető egy kamatkalkulátor alkalmazáshoz, lehet, hogy a kamatkalkulator.hu? - Szerintem a következő napokban egyre több forrás lesz majd meghatározható.

De mire jók ezek a kombó listák?

Úgy néz ki a dolog, hogy a csúnyabácsik és csúnyanénik összevásárolnak/letöltenek/megszereznek mindenféle accountokat tartalmazó listákat, azokat aztán betöltik jóféle szoftverekbe (pl. Sentry MBA) – és elkezdik tolni az összes közösségi oldal bejelentkezésére, webmail loginokra, stb.

Aztán ha 2M rekordból összejön 2000-4000 sikeres bejelentkezés (tehát a 2M rekordos listából van 2000-4000 valid), akkor nagyon örülnek, és onnan már jóféle adatokhoz férnek hozzá, megszemélyesítést csinálhatnak, „személyiségtolvajlást” és hasonló kiberbűn-dolgokat.

Sentry MBA - próbálkozom, tehát vagyok

Ami vicces, hogy a Sentry MBA-hoz megírt Facebook, Linkedin, GMail, stb. próbálgató komponensek mellé a piacokon mindenféle egyéb szolgáltatás próbálgatását is lehetővé tevő kiegészítőket lehet vásárolni (Amazon, Netflix, PayPal, stb.), néha a 2M accountos lista árának sokszorosáért.

Szóval összefoglalva éppen ideje volt már egy hazai érintettségű breachnek, és azért a januári Sajnálatos Kiber Események – SKE alapján jó évnek nézünk elébe.

Kíváncsian várom, idén érkezik-e még valami hasonló, kifejezetten ultraszodómikus sérülékenység, vagy ezzel a csodával kifújt a 2017-es esztendő?

Sabri Haddouche mutatott be egy elegánsnak éppen nem nevezhető, de a maga nemében zseniális bypass történetet, amellyel "átverhető" a levelezőszerver vagy az email védelmi megoldás email spoofing védelme.

A jól beállított email védelmi megoldások blokkolják az olyan leveleket, ahol a levél feladója ugyanaz a domaint használja, mint amelyet a rendszernek meg kell védenie (protected/internal domain).

Azonban a trükk jelen esetben az, hogy a támadó meg sem kíséreli a feladó email címét meghamisítani.

Egyszerűen úgy formázza meg a címet, hogy ha az email kliens megjeleníti a levelet, úgy tűnjön, mintha a szervezeten belülről érkezett volna.

Példa:

A <kovacs.gusztav@securenetworx.hu; @hackerdomain.com> cím a levelezőkliensben kovacs.gusztav@securenetworx.hu feladónak fog látszani.

Durvább példa, Base-64 alapon:

A <=?utf-8?b?dWx0cmFzem9kb21pa3VzLmhpYmFAc2VjdXJlbmV0d29yeC5odQ==?==?utf-8?Q?=0A=00?=@hackerdomain.com> cím a levelező kliensben ultraszodomikus.hiba@securenetworx.hu feladónak fog látszani.

Egészen elképesztő, hogy a karakterkódolások és a vezérlőkarakterek 2017-ben még mindig ilyen galibát tudnak okozni.

Még jobb hír, hogy bizonyos levelező kliensek esetén az email header From mezőjének manipulálása XSS és kódfuttatásra is lehetőséget ad, csak hogy jó legyen. 

Mit lehet tenni?

A Mailsploit oldalán (https://www.mailsploit.com) le tudjátok tesztelni, hogy a levelező kliensetek (de aki lusta, az nézze meg az érintett eszközök listáját itt: https://docs.google.com/spreadsheets/d/1jkb_ZybbAoUA43K902lL-sB7c1HMQ78-fhQ8nowJCQk/edit#gid=0 - és adja hozzá a Zimbra Desktop Mac OS X-et, valamint a Zimbra webmailjét is a listához xD, megalol).

Elvileg az értesített gyártók javítást ígértek, szóval érdemes figyelemmel kísérni a levelezőkliensünk gyártóját, és telepíteni a javításokat. És persze a jóféle phishing-hullámra is érdemes lesz felkészülni.

Itt az ideje, hogy az IT és a biztonsági szakmán belül elterjedt és gyakori tetoválásokat összegyűjtsük és közelebbről megvizsgálva a képi világukat, leírjuk, milyen jelentéssel bírnak, mit is jelképeznek, kik és hogyan, hol viselik őket.

1-89-19-68

A hackerek kedvelt tetoválása.

A számok a periódusos rendszer elemein keresztül a HACKER feliratot adják ki (H-1 Hidrogén, AC-89 Aktínium, K-19 Kálium, ER-68 Erbium).

Az öt pont jelentheti a feketekalapos hacker börtönviseltségét (bérletvásárlás után), etikus hacker esetében azonban az éles projekteken edződést és a field tapasztalatot szimbolizálja.

Más értelmezésben az éles projekt során az etikus hackert (középső pont) bekeríti saját projektvezetője és salese, az ügyfél projektvezetője és az ügyfél biztonsági vezetője.  

Vörös háromszög a bal mellbimbó körül, „People, Process, Technology” felirattal az éleken

ITIL- és IT governance menedzserek viselik. Ha a háromszög szabályos, a menedzser eljutott a Zen állapotba, és megvilágosult.

Stilizált 7-es számjegy

A hét különösen fontos, mágikus szám a magyar szakrális világképben - hét gyermek, hét király, hétfejű sárkány- de azon jóval túl is mutat.

A hét nem más, mint a dinamikus három és a statikus négy összege, Isten számaként pedig a szakrális hármas és a földi négyes együttes értéke. A hetessel jelképezik a világmindenség struktúráját, az idő ciklikus törvényét, a hét napjait, az ünnepek időtartamát, a hangsor hét hangját és az ultit.

A „Hetes” vagy számmal kiírva a „7” a hálózati mérnökök jele, amely egyértelműen a világmindenség teljességére és egészére: az OSI modellre utal.

Egyes körökben a szimbólum kissé morfolódott, szerepelhet a 7/2 (7/3) vagy 7/7 jelképként, ilyen esetben a második tag mindig a viselője OSI-modellben betöltött helyét mutatja: switch és router üzemeltetők esetében pl. 7/2 vagy 7/3, míg alkalmazás-üzemeltetők esetében a 7/7 jelzés is elfogadott.

A 2016-os Sysadmin Day Kongregációs Gyűlése kategorikusan elhatárolódott a felhasználói desktop support munkatársak 7/8 jelölése elől, ők továbbra is az alkalmazásréteg jelét varrathatják magukra.

Árbocos, kibontott vitorlázatú hajó

Frissen kinevezett, kezdő CISO vagy IBF.

Árbocos, süllyedő hajó levont vitorlázattal

CISO vagy IBF, legalább öt év gyakorlattal.

Árbocos, süllyedő hajó, levont vitorlázattal és lebocsátott mentőcsónakkal

Jellemzően olyan személy viseli, aki CISO posztról menekült át belső ellenőrnek.

</BODY><HEAD>

Junior webfejlesztő

</HEAD><BODY>

Szenior webfejlesztő, legalább fél éves gyakorlattal

802.11

A 802.11 a Wi-Fi kommunikáció protokoll szabványának száma. A tetoválást csak olyan Wi-Fi mérnökök viselhetik, akik építettek már 20 Wi-Fi AP-nál nagyobb hálózatot, amely legalább a projekt átadásakor egyszer működött.

A tetoválás elhelyezkedése szigorúan kötött, minél magasabban van a tetoválás, a személy annál nagyobb kompetenciával rendelkezik a Wi-Fi területén. (FortiWiFi mérnökök egyébként legfeljebb vádliig tetoválhatják)

Joker

Általában vádlin vagy lábszáron viselt tetoválás, a tanúsító auditorok jelképe.

A HA-HA felirat rovásokból áll össze, minden egyes rovás egy-egy sikertelen tanúsítást jelképez.

Majom

Kína keleti határvidékén tudnak egy szikláról, ami a világ kezdete óta a nap- és holdsugarak találkozási helye.

Egy nap aztán ez a szikla megduzzadt, kettévált, és egy kőtojást hozott a világra.  Nagy vihar támadt, megremegett a Világmindenség. A kőtojás ekkor megrepedt, és belsejéből egy kőmajom lépett ki, aki mind az öt érzékszervvel bírt és a halhatatlanságot kereste.

Hosszas kutatása során járt a föld mélyén, a levegőben, tengerek és óceánok fenekén, míg végül teste megváltozott: emberivé lett 

– a majom tehát a belső ellenőr szimbóluma.

Guy Fawkes / Anonymous maszk

Script kiddie-k között elterjedt tetoválás, másik megjelenési formája junior hackerek esetében a pálcikasárkány.

INSERT COIN

A kőművesdekoltázs fölé varrt INSERT COIN tetoválást kizárólag a tanácsadók és interim projektmenedzserek viselik.

A SensePost kutatói (majd a Talos is) felfedeztek egy triviális lehetőséget, amely segítségével a Word alkalmazásban megnyíló dokumentumból makrók nélkül lehet kódot futtatni.

A sérülékenység a Microsoft alkalmazások közötti adatcserét megvalósító Dynamic Data Exchange (DDE) protokolból ered. Normál működés során az alkalmazás a DDE-n keresztül tesz elérhetővé adatokat más Microsoft alkalmazások számára, de a SensePost kutatói egyéb „nem kívánt” felhasználási lehetőséget is találtak, mégpedig, hogy a DDE utasítás beilleszthető a Word dokumentumba, mint dokumentum mező.

A mezőként beillesztett DDE utasítás a dokumentum megnyitásakor automatikusan (frissül) lefut, tehát ha a DDE utasításban egy külső alkalmazást hívunk meg, akkor az a dokumentum megnyitásával meghívásra és futtatásra kerül.

DDEAUTO beillesztése mint dinamikus mező

Nincs makró riasztás, makró engedélyeztetés.

Szerencsére a Word kéri a felhasználó jóváhagyását a mező frissítésére – tehát ebben az esetben is szükség van a felhasználó interakciójára a sikeres támadáshoz.

Vagy

Ismerős üzenet, frissítsük a dinamikus mezőt!

Azonban a makró engedélyeztetés és a dinamikus mező frissítési engedélye között jelentős különbség van: a makró sok esetben megszólaltatja a felhasználó fejében a vészcsengőt (jó esetben), viszont a mező frissítése még nem feltétlen ébreszt gyanút a felhasználóban.  

A dinamikus mezők frissítése szerintem sokkal gyakoribb (tartalomjegyzék, lábléc adatok, template doksik esetén a Document Property adatok beolvasása és megjelenítése, stb.). A felhasználók hozzászoktak, hogy megnyitáskor a Word frissíti a dinamikus adatokat az adott dokumentumban – jelen esetben viszont a DDE elindítja a rosszindulatú kódot vagy PowerShell scriptet.

Szintén a sérülékenység kihasználását teszi egyszerűbbé a nagyvállalati környezetekben megszokott email szűrő szabály, ami a levelezéssel beérkező dokumentumokat - makró kódok észlelésekor - elblokkolja vagy karanténozza.

Ez a védelmi funkció a DDE-alapú, „macro-less” dokumentumok esetén nem működik, a levélszűrő át fogja engedni a levelet és a levéllel együtt a csatolmányként érkező dokumentumot.

Onnantól megint minden a felhasználón múlik.

Malware védelem és sandboxing

A vírusvédelmi rendszerek esetében érdekes eredmény tapasztalható, az általam összerakott doksi (amely egy számológépet indít el) 7/61-el végzett a VirusTotal-on.

A vizsgát fájl nem malware, a találatot jelző motorok a DDE-alapú CMD.EXE hívás miatt jeleznek (meg nyilván amiatt, hogy a bejelző motorok Bitdefender 3td party-k :))

A sandbox-hívők most persze döngethetik a mellüket, mennyire fontos a tényleges viselkedés-vizsgálat, hiszen, ha tényleg megvizsgálná valami a fájlt, akkor láthatná, hogy nem káros tartalmú, csak egy számológépet indít el – felesleges ezért jeleznie.

Őket kicsit lehűteném, hogy néhány sandbox malware-nek (néhány pedig gyanúsnak) ismeri fel a mintaállományt, holott káros tevékenységet igazából nem végez.

FireEye AX

VxStream Sandbox

Na jó, nincs igazam egyébként, az ilyen hívásokra szerintem is jeleznie kell egy sandboxnak, mert az ilyen kódfuttatás semmiképpen nem számít normálisnak és kívánatosnak.

Hogyan lehet védekezni?

User awareness

A legfontosabb a user awareness, a felhasználói biztonságtudatosság mindnek előtt!

Ha a felhasználó kritikusan áll hozzá az ismeretlen, kapott dokumentumok dinamikus mezőfrissítési kéréséhez, és nem kattint, hanem értesíti a megfelelő személyt, akkor nem történik baj.

Yara

Akinek esetleg olyan jóféle email vagy webszűrő eszköze van, amely tud Yara szabályokkal állományokat feldolgozni, a Yara elég jó hatékonysággal fogja felismerni a dokumentumban a DDE hívást, és ilyen találat esetén el lehet blokkolni a letöltést vagy az email továbbítást.

Fájl alapú DLP megoldás

Meglepő, de ahogy Godó Jani felhívta a figyelmemet, a fájl alapú adatszivárgás védelmi megoldások is képesek védelemt biztosítani. Nem erre vannak kitalálva, de simán beállítható ilyen szabály is. Ez olyan, hogy a kenyérpirítóval is lehet szöget beverni - néha a teljesen más területen alkalmazott megoldások is működőképesek lehetnek :)

McAfee DLP - mivel beleolvas a fájlokba, így lehet szabályt is konfigurálni az ilyen tartalom blokkolására

CDR

Jó lehetőségnek tűnt a CDR, azaz a Content Disarm and Reconstruction eljárás, amikor is a védelmi komponens szétszedi a fájlt, kiszedi belőle az aktív kódokat, majd újra összerakja az aktív kódok nélkül.

Sajnos az általam tesztelt három CDR benne hagyta a DDE hívást a fájlban, az elvileg megtisztított dokumentum továbbra is működőképes maradt (remélem ez nem általános, de kezdek aggódni).

Egy nagy túrót szanitizáltad a fájlt :(

Fájlkonverzió

A fájlkonverzió jó megoldás lehetne, vannak olyan védelmi eszközök, amelyek a csatolmányokat átkonvertálva továbbítják a felhasználónak, egy .docx->PDF konverzió során természetesen a makrók mellett a DDE h0vások is eltűnnek. Sajnos ez a módszer a legtöbb vállalat esetében értelemszerűen nem alkalmazható a felhasználók ellenállása miatt.

Használj Mac-et! A Mac-en nincs malware! 

Hát, az hagyján, hogy van, de a DDE is ugyanúgy alkalmas a kódfuttatásra Mac OS X esetében, akár csak ha makró lenne :)

Jó, a calc.exe nemigen fog Mac-en elindulni, de látható, hogy a DDE működik

Patch

A Microsoft nem ítéli kritikusnak a sérülékenységet, és a következő Word verzióra ígéri a javítást.

Olvassátok el a SensePost eredeti cikkét, és nézzétek meg a SensePost videóját!

Nehéz idők járnak a Kaspersky-re, a tegnapi napon megjelenő szak(?)cikkek alapján a Kaspersy backoffice rendszerébe betörő izraeli hekkerek, az amerikai hekkerek után kémkedő orosz hekkereket találtak a rendszerben. John le Carré térj vissza és ragadj tollat!  

Az az egész Kaspersky-ügyről eszembe jutott, hogy ha igaz a feltételezés, miszerint az oroszok sikeresen kompromittálták Kaspersky-t (és az USA kormányzata valós indok alapján tiltotta ki a Kaspersky termékeket a kormányzati rendszerekből, nem pedig valamiféle piszkos gazdasági hadviselés terve alapján), akkor ideje magasabb fokozatba kapcsolni a paranoida-modult, és megvizsgálni, vajon milyen védelmi rendszerek és komponensek használnak Kaspersky-beépülőket?

A feltételezetten kompromittált gyártó feltételezetten kompromittált termékei feltételezetten kompromittálják azokat a megoldásokat, amelyek 3td party modulként használják a feltételezetten kompromittált gyártó feltételezetten kompromittált termékeit?

Szóval...őőő, hát pl. használ valaki pl. CheckPoint UTM/tűzfal megoldást, amelyben Kaspersky AV motor adja az átjáró-szintű malware és vírusvédelmet?

Mert, ha a CheckPoint eszközben egy feltételezetten kompromittált gyártó feltételezetten kompromittált terméke működik, akkor a CheckPoint feltételezetten kompromittált lenne?

Szóval, ha igazak a hírek, akkor az oroszok már nem csak a spájzban, de a CheckPoint tűzfalban is ott vannak?

Aki esetleg igennel válaszol, vagy magasnak ítéli a kockázatot (és persze van Kaspersky komponens aktiválva az eszközében), itt kap segítséget, hogyan tudja ki kapcsolni a Kaspersky modult a CheckPoint tűzfalból: 

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk118539

Persze, ha a feltételezetten kompromittált Kaspersky feltételezetten kompromittált modulja hagyja magát kikapcsolni, mert az is lehet, hogy csak úgy tesz, mintha kikapcsolódott volna, de közben továbbra is végzi bűnös és ártó tevékenységét és továbbra is mindent jelent a Kremlbe.

Érdemes kicsit elgondolkodni.

Vajon, hogy fog hatni a Kaspersky-eset az olyan security vendorokra, akik 3td party komponensként használják a gyártó megoldásait?

Vajon, milyen eszközöket használunk, amelyben Kaspersky-komponens működik?

Vajon, mi lesz az eredménye, ha az ügyfelek kikapcsolják a Kaspersky AV modult a tűzfalból vagy a web- és email szűrőből, amelyben ez a motor adta a vírus és malware védelmet?

Vajon, mi lesz az eredménye, ha a nagy email szolgáltatók kikapcsolják a malware és vírusvédelmet – tartva attól, hogy azon keresztül az oroszok ki-be járnak rendszereikbe?

Érdemes kicsit elgondolkodni, mielőtt cselekszel.

Update: Kicsit beelőztek, az SG-n megjelent most egy hasonló témájú cikk, legalábbis alaptémában ebben az irányban mozog.

Sokat gondolkodtam azon, hogy a mostani helyzet – hívószóval élve: KIBERBIZTONSÁGI helyzet – kinek áll az érdekében, illetve ki és mennyire érdekelt abban, hogy a helyet javuljon, vagy romoljon? (nyilván csak romlik)

A felhasználónak, legyen bármilyen furcsa is, nem áll érdekében, hogy az Internet biztonságosabb legyen. Fura ezt kimondani, de így van. Persze, hatalmas elvárások azok vannak:

A biztonság nem valósítható meg korlátozás és kontroll nélkül - viszont a kényelem és a korlátozás nehezen összeférő fogalmak. 

Szóval lehet mondani, hogy érdek, na az lenne - de mivel ezért nemigen akarnak tenni (illetve nem akarnak korlátokat és kontrollt elfogadni), ez hasonló ahoz, hogy ötöslottót akarnak nyerni, de egy szelvényt sem hajlandók megvásárolni vagy legalább az öt számot beikszelni (miért nem elég csak a három??!). 

Ez nem csak az otthoni felhasználókra igaz, a legtöbb vállalati védelmi megoldás legfontosabb alappillére, hogy a felhasználóknak (és persze az üzemeltetőknek) ne kelljen „foglalkozni” vele.

„Nem lehet ezt és ezt bevezetni, mert a felhasználók felakasztanak” – ezt nagyon sokszor hallom, halljuk. (A sales repertoárjában mindig is előkelő key selling point a „nem kell vele foglalkozni, leteszitek és működik” kijelentés, pontosan azért, mert szóban tökéletesen kiszolgálja ezt az igényt.)

A vállalat, a szervezet sok esetben az egyszeri madám álláspontjára helyezkedik: 

Azaz a felhasználók nehogy zúgolódjanak, de azért a security meg az üzemeltetés védje meg a felhasználókat és az adatokat. Az érdek gyakran alárendelődik a felhasználók kényelmének, elvárásának – holott nem a felhasználóé a megvédendő infrastruktúrális és adatvagyon, hanem a szervezeté.

A security vendorok esetében kicsit olyan érzésem van, mint a fegyvernepperek, fegyvergyártók – és ezzel együtt nyilván a védelmi arzenálok gyártóival kapcsolatban: Ha valakiknek, nekik aztán (mint profitorientált vállalat) nem áll érdekében a biztonságos Internet (bocs).

Abból élnek, hogy egy vélt/valós/hájpolt fenyegetettségekre adjanak választ, tehát a csökkenő fenyegetettség, a biztonságos Internet nekik üzletileg nem áll érdekükben. 

Ezzel együtt nyilván azok a vállalkozások, akik a védelmi rendszereket (mint profitorientált vállalkozás) eladják, maguk sem érdekeltek a helyzet változásában, ha alacsony a fenyegetettség, ki a fene ruházna be a méregdrága védelmi rendszerekbe?

A saját portámon körülnézve, azt kell mondanom, hogy a tanácsadóknak (mint profitorientált vállalkozás) sem érdeke az alacsony fenyegetettségi szint, egy békés és biztonságos KIBERHELYZETben ki a fene lenne kíváncsi a tanácsainkra és venné igénybe a szolgáltatásainkat? Én például rendszeresen prédikálok a csúcsosszárnyú ázsiai flamingófarm beruházási előnyeiről, mégse érdekel senkit. 

Ha Internet szolgáltatókról beszélünk, na jó, inkább ne is beszéljünk róluk, sajnos a legtöbb esetben számukra a KIBERVÉDELEM a spam-szűrésnél és a spamassasin-nál megált, tisztelet a kivételnek (mert azért akadnak). Nyilván, az ISP-k esetében a fenyegetettséget a DOS/DDoS jelenti leginkább, webszervereseknél kicsit más a helyzet, de ők is igyekeznek mindent a felhasználóra áttolni, meg is van ennek a látható eredménye.

Az SG-cikk bemutatja, hogy a kormányzat, hogy viszonyul a biztonságos Internethez, erről nem is igen akarnék írni, bizonyos szektoraiban a kormányzatnak ugye nagyon-nagyon nem érdeke, másik oldalról viszont a felhasználói sapkában a kormányzat semmiben nem különbözik az otthoni vagy vállalati felhasználótól (még akkor sem, ha törvényi kötelezettségek állnak fent).

Szóval úgy néz ki, lehet, hogy igazából senkinek nem (racionális) érdeke a biztonságos Internet.

Vagyis...

Érdemes azért az embert keresni.

Ugyanis perszonálisan sokszázezer kolléga, gyártói mérnök, fejlesztő, tanácsadó, evangelista, kutató, szakértő, stb. dolgozik azon, hogy az Internet ne hasonlítson a vadnyugatra. Egyre kevesebb sikerrel, de minden nap ezen munkálkodnak, és óriási köszönet érte mindenkinek, aki ebben tevékenykedik!

De ha holnap megjelenne egy hír, miszerint Zacher Gábor és Csernus Imre új vállalkozása alkohol- és gandzsanagykerben utazik, csak megvonnám a vállam.

A korabeli GDPR kapcsán Könyves "CISO" Kálmán hiába mondotta a pápai auditornak:

A korábbi adatklasszifikációval foglalkozó cikkünk miatt jónéhány üzenetet kaptunk, amelyek azt taglalták, miszerint hülye az, aki a klasszifikációt és a fájlok megcímkézését a felhasználókra bízza, sokkal hülyébb, mint a felhasználó, aki egyébként is hülye.

A népi bölcselettel kezdeném a reflektálást: Olcsó húsnak, hülye felhasználónak híg az awarenesse.

Nem tudok egyetérteni az olyan kijelentéssel, hogy azért nem lehet a klasszifikációt a felhasználóra bízni, mert inkompetens, meg hogy honnan is tudná, hogy mi van abban a fájlban, és azt hova kell besorolni.

Ez a kijelentés azért nem lehet igaz, mert a felhasználó dolgozik az adatokkal, és nem az adat a felhasználóval.

Azon lehet vitatkozni, hogy 

• nem akarjuk még ezt is a felhasználó nyakába varrni,
• túlterheltek a felhasználók és emiatt hibázhatnak a címkézésnél és félrejelölnek valamit,
• bonyolítja a folyamatokat,
• azért vannak adatgazdák, hogy végezzék el a besorolást,
• Vettünk csilliárdért DLP-t, az majd megcsinálja automatikusan.

A felhasználóktól való félelem – pontosabban, a felhasználói felzúdulások generálta belső politikai csatározások valóban óvra intheti a felelőst, viszont azt is figyelembe kell venni, hogy a szervezet számára (nem csak a GDPR kapcsán, de nyilván most ez a legnagyobb drive) kiemelten fontos területről van szó.

Minden változás problémás, de a tudatossági oktatások nem véletlenül (lennének) fontosak:

• ha a felhasználó megérti, mi a szerepe ebben a folyamatban,
• hogy szemben az automatikus eszközök általa nem befolyásolható besorolással, a felhasználói címkézés sokkal több lehetőséget ad az kezébe (mondjuk nem blokkolódik el a kimenő levele azért mert az automata félreismert valamit),
• hogy ő maga hatással (saját kontroll) lehet az adattranszfer folyamatokra

 szerintem szívesebben válik kvázi irányítóvá, mint egy láthatatlan és automata folyamat és preventív kontroll tehetetlen elszenvedőjévé.

A felhasználói túlterhelésből/oda nem figyelésből fakadó rossz besorolás valóban előfordulhat, viszont mivel a rossz címkét érvényesítő felhasználó, vagy az adathoz hozzáférő, azzal dolgozó másik felhasználó képes az átcímkézésre (reklasszifikáció!) – sokkal valószínűbb, hogy a következő hozzáféréskor, megnyitáskor, stb. képes a klasszifikáción és a címkén változtatni, szemben az automatával, amely majd valamikor, talán fél évente vagy évente egyszer majd végignyalja a fájlshareket és talán módosítja a besorolást.

Kicsit úgy érdemes ezt felfogni, mint az opensource fejlesztéseket: a jogosultsággal rendelkezők közössége  képes javításokat ajánlani, vagy maguk is képesek elvégezni azokat.

Egy másik érv a manuális címkézés mellett, hogy tapasztalatom szerint a vizualizációs jegyek az adott dokumentumban óhatatlanul is arra késztetik a felhasználót, hogy gondolkozzon el azon, helyes-e a dokumentum besorolása?

Ne felejtsük el, a címkék nem csak metaadatban, de a dokumentum fejléc-lábléc részében is elhelyeződnek.

„- Vajon a Gyula mi a frászért jelölte ezt a dokumentumot GDPR-nak/Internal Only-nak, amikor CSAK ez és ez van benne?” – hangozhat el egy reklasszifikációt felvető gondolat :) - amelyet vagy követ egy Gyulához intézett kérdés, vagy nem, de megtörténhet az átcimkézés/reklasszifikáció, vagy éppen megerősítést nyerve helyben hagyódik a besorolás.

Automata eszköz esetében a következő reklasszifikációs kérdés hangzana el:

„- Mi a krva anyjáért szpat ez a bzi fs már megint?!” – majd a felhasználó a security csoportról hasonló kedves gondolattal emlékezne meg, azokról, akik a nyakába szabadították ezt a bzi fst (már megint).

Nyilván azzal is lehet segíteni a felhasználónak, illetőleg azzal is el lehet kerülni a folyamatok túlbonyolítását, ha a dokumentumsablonok már eleve a megfelelő címkével vannak ellátva. Ilyenkor, ha valaki a „Bizalmas szerződéssablon” template-ből dolgozik, abból készít új dokumentumot, nyilván már nem kell még egyszer megcímkéznie a kész dokumentumot.

Az adatgazdákkal kapcsolatban az a poénom jut csak eszembe, amit a DLP és adatklasszifikációs tréningeken mindig elsütök: A DLP projektmegbeszélésen általában azt jelölik adatgazdának, aki utolsónak ér be a meetingre.

Nyilván arra vonatkozik az axióma, hogy nagyon egyszerű egy osztályvezető/főosztályvezető/csoportvezető nyakába varrni az adatgazda szerepkört: - Ő a góré, ő felel az adatért!

Ez azonban szerintem rossz megközelítés.

Adatgazdának jelölni ugyanis csak olyan személyt lehet, aki az adatról a lehető legtöbbet tudja, és a legtöbb információval rendelkezik a sértetlenség-bizalmasság-rendelkezésreállás szentháromság vonatkozásában az adat rendeltetésszerű, üzemszerű keletkezéséről, felhasználásáról, esetleges továbbitásáról, megosztásáról.

Namost van, ahol ez a személy véletlenül az adott területi vezető, de nem minden esetben - viszont azt nehéz tagadni, hogy pl. egy új, létrehozott dokumentum esetében az adott felhasználó rendelkezik ezen információkkal. Lehet, hogy nem minddel, de hogy általában az adat/fájl létrehozójánál több információ áll rendelkezésre, mint egy "kijelölt adatgazdánál" az szinte bizonyos.

A DLP rendszerek és automatikus discovery eszközökkel kapcsolatban továbbra is az a véleményem, hogy a hosszú futásidő, a keresések által okozott többletterhelés az eszközökön, valamint a tökéletlen adatfelismerők és validátorok használata miatt nagyon javasolt alapos teszteket végezni a bevezetés előtt – szemben egy felhasználó-hajtotta címkézővel, ahol igazából nincs szükség nagyon alapos tesztekre (és amúgy is általában faék egyszerűek).

Nyilván a címkézők esetében ellenérvként ott van, hogy a bevezetés az agentek vagy Office beépülők miatt ki kell tolni az alkalmazást a munkaállomásokra, és van, ahol ez is igen fájdalmas tud lenni.

A legfontosabb azonban az, hogy ha a felhasználót hülyének, inkompetensnek tartjuk arra, hogy eldöntse egy fájl besorolását – akkor érdemes azon elgondolkodni, hogy ezek szerint hülyékre és inkompetensekre bíztuk a vállalat legnagyobb értékét: az adatvagyont.

Ez tehát nem lehet érv a felhasználói adatklasszifikáció ellen!

Egy olyan kivételes adathordozó eszköz került a Secret Junkie tesztasztalára, amelynél előny, ami más adathordozóknál hátrány: adott idő után ez a tároló ugyanis elfelejti (megsemmisíti) a rajta tárolt adatokat.

Self-destruct adattóroló? De miért?

Létezik egy speciális, légréselt (air-gaped) környezetek esetén használt fogalom, a cross-domain-data-transfer, amely a zárt és védett hálózatba befelé, vagy a zárt és védett hálózatból kifelé irányuló adatforgalmat jelenti.

Arról van szó, hogy ha van nekünk egy zárt és a normál hálózattól leválasztott/szeparált/izolált hálózatunk, akkor az abba befelé irányuló hálózati forgalmat még csak-csak tudjuk egyirányúsítani – tehát csak egyutas, befelé irányuló adatforgalmat engedélyezni a számára (erre szolgálnak az adatdiódák), nade a zárt hálózatban keletkező – és gyakran szigorúan titkos, nemzetbiztonságilak minősített vagy egyenesen „Emberek fognak meghalni, ha ez illetéktelen kézbe kerül” típusú – adatok esetében is szükséges az adat kiléptetése, kihozatala a zárt környezetből – hiszen az adat nem önmagáért jön létre, hanem hogy dolgozzanak vele.

Szóval ilyen esetekben mindig mindenki vakarja a fejét:

- Duplázzuk meg az adatdiódát, és legyen egy csak kifelé vezető szál?

- Vagy milyen adathordozón lehet ezeket az ott keletkezett dokumentumokat kihozni és biztonságosan szállítva átvinni egy másik hálózati környezetbe?

- Oké, hogy kihozzuk, de az adathordozót megfelelően le kell üríteni, nem férhet hozzá senki az adatokhoz, wipeolni kell, ledarálni?

- Vagy mit csináljuk az adathordozóval?

Az ilyen cross-domain funkciók támogatására készült a svéd Advenica speciális pendrive eszköze, amely legfontosabb tulajdonsága, hogy a felprogramozásának megfelelően bizonyos idő után megsemmisíti a rajta tárolt adatokat.

Az üzenet öt másodpercen belül megsemmisíti önmagát

A SecuriRAM esetében nem fordulhat elő, hogy az eszközön kihozott dokumentumok törlése után az adatok helyreállíthatók lennének: az eszköz ugyanis „felejtős” volatilis memóriában tárolja a rámásolt adatokat, amely memória a programozott timernek megfelelően elfelejtődik (megsemmisül), majd tuti-ami-tuti, meg felül is íródik.

Advenica SecuriRAM

A hagyományos tárolók esetében non-volatile memóriák kerülnek felhasználásra, ilyen tárolók vannak a szabvány pendrive eszközökben, de ilyen „nem felejtős” memória flash, az SD kártya, MMC, stb.

Ezeknél a hagyományos eszközöknél a normális és elvárt működés, hogy energiaforrás nélkül is megőrzik a tárolt adatokat, míg ezzel szempen a volatilis memóriák esetében az az elvárt működés, hogy tartalmukat csak addig őrzik meg, amíg „áram alatt vannak”. Gondoljunk a számítógépünk memóriájára – abban is csak addig találhatók meg az adatok, amíg nem szűnik meg a memória modul energiaellátása.

Az Advenica SecuriRAM egy pendrive formájú eszköz, de rendelkezik saját energiaellátással, egy beépített akkumulátorral, amelye az USB porthoz csatlakoztatva tölthető.

A saját áramforrásnak köszönhetően a „felejtős” memóriába másolt adatok és dokumentumok az akkumulátor töltöttségi állapotától függően egész addig megmaradnak és elérhetők, amíg az akksi le nem merül. Ha lemerül, az eszköz elfelejti a tárolt adatokat, mintha sose-lettek-volna (hiszen nem is kerültek permanens tárolásra).

Jópofa biztonsági funkciók: timer, pánik gomb

Az eszköz alapból 24 órás adatmegőrzéssel rendelhető, de extra díjért gyakorlatilag bármilyen megőrzési intervallummal rendelhető, mondjuk akár 30 percessel: a rámásolt adatok 30 perc után elfelejtődnek (mintha SLV: sose-lettek-volna).

Az eszközön található két gomb is: a két gomb bizonyos ideig tartó együttes lenyomása aktiválja a felejtés – és tuti, ami tuti a zéroizációt, azaz a sok nullával történő automatikus felülírást is.

Nem csak pánik esetén tesz a manuálisan indikált felejtés jó szolgálatot, de mennyivel egyszerűbb így helyreállíthatatlanul leüríteni az eszközt, mint több lépcsős wipe eljárással megtisztítani?

Na jó, de miért jó mindez?

Azért mert lehetőség van a zárt hálózatból „Emberek fognak meghalni, ha illetéktelen kézbe kerül” típusú dokumentumokat és adatokat úgy kihozni, hogy ezek az adatok bizonyos idő után automatikusan megsemmisülnek – és nem maradnak rajta az adathordozón, sőt nem állíthatók helyre az adathordozóról.

Nem felejtődik az eszközön, nem kell wipe-olni, nem kell azon aggódni, hogy elhagyták az eszközt (nyilván a megfelelő titkosításról érdemes gondoskodni!): az eszköz a programozásának megfelelően el fogja felejteni a tárolt adatokat és ezek az adatok nem helyreállíthatók (mivel soha nem rögzültek permanensen, sőt még felül is íródott az adatterület).

A cross-domain eszközök családjába tartozó SecuriRAM tehát kiválóan alkalmas tehát a zárt hálózatokból történő kifelé irányuló adatmozgatásra: egy magas védelmi szintű hálózatból lehet a segítségével úgy adatokat kihozni, hogy az adathordozóval nem kell törődni: helyreállíthatatlanul elfelejtődik a rajta tárolt adattartalom.

És a hátrányok

Sajnos az eszköz 64MB tárolókapacitással érhető el: ezen jó eséllyel elférnek a bizalmas dokumentumok és adatok – de azért ez az eszköz nem alkalmas arra, hogy sokszáz megányi adatot mozgassanak rajta.

Csak FAT fájlrendszert támogat, igaz, ez a 64MB tárolókapacitás mellett nem feltétlenül hátrány, de jó vele tisztába lenni.

A GDPR kapcsán számos esetben felmerült az a kérdés, hogy ha nem tudjuk meghatározni valahogy, mely adatok tartoznak a hatóköre alá – azaz, mely fájlok tartalmaznak személyes adatokat – akkor hogyan követjük nyomon ezeket az adatokat, illetve hogyan tudunk védelmi intézkedéseket biztosítani ezekkel az állományokkal kapcsolatban.

Nyilván nem csak a GDP szempontjából fontos, hogy valamilyen módon besoroljuk az a százhetvenmillió fájlt, amelyek a fájlszervereinken és a felhasználók munkaállomásain találhatók: bármilyen adatszivárgásvédelmi megoldás bevezetéséhez is erre van szükség, tehát az adatklasszifikáció kiemelt fontosságú ezekben a projektekben.

Az adatklasszifikáció ugye nem más, mint az adat valamely szempontok szerinti osztályba sorolása, annak érdekében, hogy az adott adatosztályra megfelelő védelmi (és természetesen tárolási és felhasználási) intézkedések legyenek hozhatók.

És akkor már ott is tartunk az adatvagyon leltár misztikus témakörénél...

A DLP gyártók előszeretettel hangsúlyozzák, hogy az ő rendszerükben van eDiscovery/Discovery/Crawler/stb. modul, amely automatikusan végigmegy a megadott tárterületeken (és adatbázisokban) és a felprogramozásának megfelelően megtalálja és feltárja a szenzitív adatokat, és amelyeket akkor már meg is fog tudni védeni.

Ez a kijelentés igaz, de fenntartásokkal kezelendő. 

Automatikus adatklasszifikáció

Az automatikus adatklasszifikáció során az adatfelismerő/feltáró modul valamilyen adatfelismerésen alapulva találja meg az érzékeny adatokat és jelöli meg a DLP számára, mint védendő információt.

Adatfelismerési lehetőségek:

• Kulcsszavas felismerés (ha az adott adatban/fájlban szerepel az „alma” ÉS/VAGY a „körte” LEGALÁBB háromszor, a szabály illeszkedik és az adat megfelel a kulcsszavas szabálynak)
  
  
• Reguláris (regexp) felismerés (pl. durva IP cím felismerő kifejezés: \b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\b – de ez illeszkedik az 1.1.1.1-re is)
  
  
• Reguláris felismerés, algoritmusos validációval (az előző példából kiindulva, az illeszkedés pontatlan, de egy algoritmussal validálható, hogy a regexp-el felismert string valóban IP cím-e, például bankkártya-szám esetében Luhn-algoritmus a validátor),
  
  
• Gépi tanulás (ismertessük meg a rendszerrel, hogy néz ki egy árajánlat, aztán ismertessük meg a rendszerrel, hogy néz ki ami nem árajánlat, és akkor a rendszer képes lesz felismerni az árajánlatot)
• Indexelés és digitális lenyomatolás (a felismerendő adatról hash lenyomatok képződnek, és a rendszer innentől részleges egyezéseket és képes lesz majd észlelni, csak ugye előbb meg kell mondani a rendszernek, milyen fájlokat és adatokat indexeljen vagy lenyomatoljon!!)
  
  
• Illetve ezek kombinációja.

Nagytömegű adatmennyiség esetén kézenfekvő módszernek tűnik az automatikus klasszifikáció, hiszen felprogramozzuk a rendszert, elengedjük, és már meg is van az adatklasszifikáció, a DLP rendszer már tudja is milyen adatokat kell megvédeni.

Az első probléma ezzel kapcsolatban az, hogy a felismerések meglehetősen pontatlanok, illetőleg a rendszer betanítása se nem egyszerű, se nem gyors. Ráadásul, valakinek meg kell tanítania a rendszert, de ki lesz az, aki az összes szenzitív információt felméri a szervezeten belül, majd leképezi az adatfelismerő rendszer számára?

A második probléma az automatikus rendszerrel kapcsolatban, hogy naponta irdatlan tömegű új állomány és adat képződik egy nagy szervezeten belül, amelyek nem feltétlenül fognak egyezni a már felprogramozott adatfelismerésekkel, viszont arra nincs lehetőség, hogy az adatfelismerő komponens folyamatosan tunningolásra, finomításra, bővítésre kerüljön. Ennek az lesz az eredménye, hogy lesznek olyan adatok, amelyeket a rendszer nem lesz képes felismerni és emiatt majd megvédeni.

A harmadik probléma az adatklasszifikációval a reklasszifikációs folyamat maga: azaz a rendszernek periodikusan újra és újra ellenőriznie kell az adott fájlokat, tartalmaznak-e még olyan szenzitív adatokat, amelyekre valamely adatfelismerő szabály egyezik. Ez tehát egy soha véget nem érő történet, egy kedves barátom nemrégiben fejezett be egy nagyvállalatnál egy adatklasszifikációs projektet, amely csaknem 1 évig tartott, és most kezdheti előröl: 1 év alatt annyi új adat keletkezett és annyira megváltozott az adatstruktúra, hogy reklasszifikálni kell az adatvagyonleltárt.

A negyedik probléma műszaki jellegű: az adatok és fájlok feltárása nagy terhelést tesz a fájlszerverekre, el lehet képzelni, hogy amikor egy discovery fut, minden egyes fájlt a rendszer átrángat magához, szétszedi, kinyeri belőle és megpróbálja felismerni az adattartalmat. A hálózatosok rémálma különben, még akkor is, ha a jobb rendszerekben lehet paraméterezni a sebességet és a feldolgozást. (És akkor még nem is beszéltünk az irdatlan tömegű, képi formátumú adatról: szkennelt PDF és JPG állományok, amelyekhez már a rendszernek OCR komponenssel is kell rendelkeznie.)

Manuális adatklasszifikáció

Nem kell megijedni, nem arról van szó, hogy a CISO-nak kézzel, minden egyes fájlt be kell sorolnia, nem.

A manuális klasszifikáció lényege, hogy az egyes fájlok besorolását nem egy automata rendszer végzi, hanem az a személy, aki a legjobban ismeri annak a fájlnak a tartalmát – az a személy, aki létrehozta vagy dolgozik vele.

A felhasználó.

Ezek az önálló klasszifikációs (labeling, tagging) rendszerek beépülnek a felhasználók Office alkalmazásaiba és a Windowsba és segítségével a felhasználó az általa létrehozott, megnyitott, módosított dokumentumokat és akár emaileket.

Microsoft Azure Information Protection (Word komponens, címke és alcímke kategóriák)

Microsoft Azure Information Protection (Word komponens, GDPR-ra címkézve)

Boldon James Classifier (Word komponens, "Nyilvános" minősítés

Természetesen a tagging/labeling rendszerek csak fájlokkal tudnak dolgozni, adatbázisokban nincs lehetőség címkéket elhelyezni (az automata, DLP discovery rendszerek többsége képes adatbázisokból is tanulni, illetve onnan származó adatokat felismerni).

A labeling rendszereknek az előnye, hogy (elvileg) sokkal pontosabb klasszifikációt eredményeznek: maga a felhasználó - aki az adott állománnyal dolgozik – sorolja be az adatot valamely adatosztályba. A reklasszifikáció is sokkal gyorsabb és pontosabb, ha a dokumentum már nem tartalmaz szenzitív információkat, a felhasználó egyszerűen átteszi egy másik adatosztályba a dokumentumot.

Az ilyen tagging/labeling rendszerek beépülhetnek Exchange szerverbe, Officeba, Outlookba, OWA-ba, SharePointba, és persze az Explorer-be – nyilván attól függően, hogy melyik gyártóval kerül a szervezet kapcsolatba.

Boldon James Classifier (Explorer komponens)

Boldon James Classifier (Explorer komponens, ikonvizualizáció)

A labeling/tagging rendszerek összekapcsolhatók a jobb DLP megoldásokkal (nem véletlenül, a labeling vendorok és a DLP vendorok szoros barátságot ápolnak), képesek felismerni a fájlokra tett címkéket, és ezek alapján védelmi intézkedéseket foganatosítani.

A címkéző rendszerek többnyire a fájlok metaadataiba helyezik el a jelöléseket, gyártótól függően azonban van lehetőség az alternate data stream (ADS) használatára is: az olyan rendszerek, amelyek támogatják az ADS-t, bármilyen fájlt képesek megtaggelni, míg a csak metaadattal dolgozók csak olyan fájlokat tudnak megjelölni, amelyeknek van hozzáférhető metaadat blokkja – praktikusan az Office és PDF dokumentumokra korlátozódnak.

A DLP és content filter eszközök képesek tehát észlelni ezeket a címkéket, és egyszerű szabályokkal kontrolálni az ilyen fájlok mozgását (pl: az Internal Only címkéjű fájlok nem hagyhatják el a szervezetet, míg a GDRP jelölésű fájlok email vagy web továbbítása naplózásra és vizsgálatra kerül.).

Boldon James Classifier (Outlook komponens, "Titkos" minősítésű levél/csatolmány küldésének blokkolása) 

A legtöbb labeling rendszer rendelkezik valamilyen CLI-alapú komponenssel (vagy saját alkalmazás, vagy PowerShell), amely összekapcsolható a DLP rendszerekkel és automatikus adatklasszifikáló rendszerekkel.

Microsoft Azure Information Protection (PowerShell klasszifikáció)

Ilyen integráció esetén ha a DLP rendszer Discovery komponense valamely felprogramozott rutin alapján felismer szenzitív adatot egy dokumentumban, képes meghívni a labeling rendszer CLI-interfészét, amely a megfelelő címkével fogja ellátni az adott dokumentumot.

Ez az integráció a reklasszifikációt teszi manuálissá: a DLP rendszer automatikus modulja által felismert (vélt vagy valós szenzitív adat) adatot a címkéző rendszer automatikusan megtaggeli, de ha a felhasználó nem ért egyet a besorolással, a dokumentumot szerkesztés/módosítás közben átsorolhatja másik adatosztályba (amelyre a DLP rendszer más védelmi szabályt fog már foganatosítani).

Microsoft Azure Information Protection (PowerShell komponens, adatleltár készítése mappából)

Látható, hogy a labeling rendszerek nem védelmi megoldások, nem arra készültek, hogy megvédjék az adott fájlt (bár vannak gyártók, akik még védelmi funkciókat is biztosítanak), de a védelmi rendszerek keze alá dolgozva növelik a védelmi rendszerek hatékonyságát és csökkentik a pontatlan felismerésekből származó false-positive arányt.

A legnagyobb értéke azonban (szerintem) a labeling rendszereknek az, hogy NEM az IT biztonsági vagy üzemeltetési területnek kell az adatosztályozással foglalkoznia, az adatokat besorolnia vagy reklasszifikálnia: ezt a feladat (és felelősség!) átterhelhető arra a személyre aki a legpontosabban meg tudja mondani, mit tartalmaz az adott fájl: a fájlal dolgozó felhasználóra.