![]() Specializovaný týdeník o výpočetní technice |
|
![]() |
Seriál o bezpečnosti a informačním soukromí |
Část 13 - CW 23/97
Důvěrnost informacíAlena Hönigová
Motto: Dochází-li ve vaší organizaci k nevysvětlenému úniku informací, ověřte si, zda pracovníci vykonávající úklidové práce, fyzickou ostrahu a další vybrané funkce, nebyli v minulosti vyškoleni jako agenti.
Potřeba uchovat určité skutečnosti v tajnosti není nová: slavná Caesarova šifra měla za cíl bezpečně dopravit Caesarovy milostné dopisy Kleopatře již padesát let před Kristem. Utajení vojenských informací neztratilo nic na svém významu ani v moderní válce v Perském zálivu. Výrobní nebo obchodní společnost má prioritní zájem, aby nedošlo k vyzrazení návrhu nového výrobku nebo marketingové strategie. Důvěrnost dat je přirozeným požadavkem občana v dalších oblastech, ať již jsme majiteli akcií z procesu privatizace, pohybujeme se ve světě sázek nebo se účastníme demokratických voleb. Právo na soukromí je v moderním světě chápáno jako zákonné právo každého občana a každý pokus světových vlád narušit toto soukromí je od dob slavného Orwellova románu 1984 vnímán jako možné naplnění vize policejního státu, kdy oko Velkého Bratra dokáže sledovat dokonce i nevyslovenou myšlenku. O aktuálnosti problému svědčí americký rozpor mezi požadavkem jednotlivců a společnosti na ochranu informací a požadavkem vlády monitorovat tok informací v průběhu jejich elektronického přenosu. Zatímco jednotlivci a společnost vyžadují volné používání bezpečnostních technik (zejména silných kryptografických algoritmů), vláda ve jménu boje proti organizovanému zločinu a šíření drog prosazuje kontrolu.
Definice důvěrnosti Klasická definice bezpečnosti, uváděná často zkratkou CIA, uvádí důvěrnost (confidentiality) na prvním místě. Důvěrnost je přitom definována jako vlastnost, kdy informace nemůže být odhalena nebo zneužita neautorizovanou osobou. Priorita důvěrnosti v definici bezpečnosti vychází z vojenského pojetí bezpečnosti, ať už je aplikována u vojenských sil, diplomatických složek, zpravodajských služeb nebo právních institucí. I když komerční pojetí bezpečnosti klade obvykle větší důraz na integritu a dostupnost informací, existují aplikace, kde důvěrnost dat hraje prioritní roli. Tento problém jsme podrobněji diskutovali ve 3. dílu našeho seriálu.
Ztráta důvěrnosti Význam důvěrnosti v konkrétní aplikaci a požadovanou úroveň ochrany si obvykle uvědomíme až při analýze rizik. Měli bychom odpovědět např. na tyto otázky: Jaké následky pro organizaci může mít neautorizované zveřejnění citlivých dat, uložených v IS? Může ztráta důvěrnosti dat uložených v IS mít za následek oslabení konkurenční pozice firmy? Zpochybní zveřejnění důvěrných dat zachování služebního tajemství? Může zveřejnění dat způsobit politické nebo sociální problémy? Jestliže odpověď na některou z otázek je kladná, je nezbytné ohodnotit dosah a výši možné škody. Ztráta důvěrnosti může znamenat základní porušení zákona, ztrátu dobrého jména nebo vysokou finanční škodu. Potom je pro organizaci prvořadé prozkoumat hlouběji možné hrozby porušení důvěrnosti systému a přijmout vhodná protiopatření.
Hrozby porušení důvěrnosti V případě, že je důvěrnost zajištěna zabráněním přístupu k informacím, může dojít k průniku do příslušného přístupového mechanismu, jako je využití slabých míst ve fyzické ochraně kanálů, k vydávání se za někoho jiného (masquerading) nebo k nesprávnému použití certifikátů. Jinou možností je využití slabostí v implementaci ochranného mechanismu (např. určitému uživateli je po jeho žádosti o přístup k určitému souboru přístup udělen, ale uživatel změní jméno daného souboru a podaří se mu získat přístup k nově označenému souboru), nebo vložení trojského koně do důvěryhodného softwaru. Další hrozbou je proniknutí do služeb, na které bezpečnostní mechanismus spoléhá (např. nesprávné použití certifikátů nebo proniknutí do mechanismu integrity, použitého k ochraně certifikátů, nebo vydávání se za někoho jiného), dále využití systémových utilit, které mohou přímo nebo nepřímo zpřístupnit informace o systému, nebo existence skrytých kanálů. Jestliže je důvěrnost zajištěna určitou transformací nebo ukrytím informace, hrozbou je proniknutí do kryptografického mechanismu (kryptoanalýzou, útokem vybraným nezašifrovaným textem, pomocí ukradených klíčů), analýza provozu, analýza záhlaví datové jednotky protokolu (PDU), nebo existence skrytých kanálů.
Útoky proti důvěrnosti Mezi typické útoky proti důvěrnosti pasivního typu patří odposlech, zachycení dat, analýza provozu, kryptoanalýza, analýza záhlaví PDU pro nelegitimní účely nebo kopírování dat PDU do jiných systémů, než bylo původně určeno. Příkladem útoku aktivního typu je proniknutí do mechanismů, podporujících důvěrnost , ať už jde o autentizační mechanismy (např. vydávání se za autorizovaného uživatele), proniknutí do mechanismů na řízení přístupu, nebo zachycení klíčů. Dalším typem tohoto typu útoku je trojský kůň, existence skrytých kanálů nebo podvržené uplatnění kryptografických mechanismů.
Příklady útoků proti důvěrnosti Ve špatně zabezpečených systémech je malé riziko zjištění, že došlo k zachycení dat. Útočník obvykle zvažuje, zda touto cestou získaná informace stojí za výdaje spojené se zachycením dat, a za riziko, že bude dopaden. Tzv. "sniffers", čmuchalové, mohou ukrást ID a hesla, posílaná sítí v nezašifrovaném tvaru. Pokročilejší z nich mohou ukrást celé zprávy, jako např. e-mail nebo transakceWeb). Nepoučený uživatel chybně předpokládá, že např. zprávy, odesílané elektronickou poštou bez adekvátní ochrany, jsou ekvivalentem klasických dopisů. Vhodnější je v tomto případě porovnání s pohledem, který je také před dodáním otevřen a který si tudíž mohou přečíst poštovní zaměstnanci. Modifikovaný program pro přihlášení (login) může obsahovat trojského koně, který může požádat o jméno a heslo uživatele s cílem navázat na zprávu login incorrect a vyvolat správný program login. Vložená data mohou být využita k různému účelu. Jestliže útočník bude mít přístup ke kompilátoru, použitému pro program login, bude samozřejmě složitější takovou modifikaci zjistit.
Ochrana důvěrnosti Informace může být chráněna před prozrazením buď tak, že zajistíme přístup pouze autorizovaným osobám, nebo prezentací dat v takové podobě, že jejich sémantika je přístupná jen osobám, vlastnícím určité kritické informace. Běžně používanou technikou je šifrování, případně doplňování dat. Účinná ochrana důvěrnosti přitom vyžaduje ochranu důležitých kontrolních informací (např. kryptografických klíčů), která může být zajištěna i jinými mechanismy, než které byly použity k ochraně dat (kryptografické klíče mohou být chráněny fyzicky).
Vojenská bezpečnostní politika Jak bylo zmíněno již v dřívější části seriálu, vojenská bezpečnostní politika, reprezentovaná americkou vládou a americkým ministerstvem obrany, je založena na dvou principech: principu víceúrovňové bezpečnosti (MLS) a principu "need to know". Při MLS je informace klasifikována dle setříděného souboru úrovní citlivosti a jednotlivci jsou prověřeni na stejné úrovni. Prověření označuje odhad schopnosti jednotlivce uchovat tajemství. Je založeno na funkci dotyčné osoby v organizaci, na výsledcích uplatnění některých nástrojů současné psychologie, jako jsou osobnostní profily nebo psychotechnické analýzy a techniky. Osoby prověřené pro určitou klasifikační úroveň nemají oprávnění pro čtení informace klasifikované vyšším stupněm. Kromě toho má příslušná osoba povolen přístup k informacím pouze při uplatnění principu "need to know", tzn. je-li požadovaná informace nezbytná pro funkci, kterou zmíněná osoba v organizaci zastává. Tato vojenská bezpečnostní politika je základem modelu Bell La Padula (1973). Další souvislosti budou uvedeny v části seriálu zabývající se klasifikací informací.
Seriál je rovněž dostupný na www.idg.cz/computerworld/bvsk/
| COMPUTERWORLD - seriál o bezpečnosti | COMPUTERWORLD | IDG CZ homepage | |