Specializovan² t²denφk o v²poΦetnφ technice
o Internetu
(CW 28/96)

PoΦet pr∙nik∙ do poΦφtaΦov²ch sφtφ roste

TΘma o hackerech, crackerech - verbe₧i, kterß si brousφ zuby na vaÜe cennß podnikovß data, je dosti obehranΘ. P°esto si pustφme jeÜt∞ jeden Ülßgr tohoto stylu. A to zejmΘna proto, ₧e ·daje organizace CERT (Computer Emergency Response Team) jsou alarmujφcφ. PoΦet nahlßÜen²ch pr∙nik∙ do nejr∙zn∞jÜφch informaΦnφch systΘm∙ roste, ale co je mo₧nß jeÜt∞ horÜφ, pouze velmi malß Φßst z tohoto poΦtu je hlßÜena. D∙vod je velmi jednoduch² u komerΦnφch subjekt∙, jako jsou nap°. banky, by p°φpadnΘ zprßvy o naruÜenφ poΦφtaΦovΘ sφt∞ mohly vΘst k odvrßcenφ zßkaznφk∙. U americk²ch vlßdnφch ·°ad∙ by mohl takov² p°φpad n∞koho stßt teplΘ mφsteΦko, nebo se ·°ady bojφ negativnφ odezvy ve°ejnosti. V podstat∞ se tedy na povrch dostane jen zlomek ·daj∙ o naruÜitelφch, v∞tÜinou pouze v p°φpad∞, ₧e se je poda°φ dopadnout. A to je zatφm v∞c opravdu z°φdkavß, i kdy₧ p°φpady ·sp∞ÜnΘho polapenφ kybernetick²ch zloΦinc∙ jsou stßle Φast∞jÜφ. A takΘ jsou Φast∞ji halasn∞ prezentovßny, aby policie ukßzala, ₧e nenφ bezmocnß. Jen₧e chycen²mi kriminßlnφky jsou zatφm pouze mladφci, kte°φ nabourßvajφ systΘmy "z hecu" nebo prost∞ pro zßbavu. ╚ili nic p°φliÜ spoleΦensky nebezpeΦnΘho, ₧ßdnφ pr∙myslovφ Üpi≤ni, nebo dokonce vojenskΘ kontrarozv∞dky. Jen₧e podle p°edpoklad∙ CERTu velkß v∞tÜina pr∙nik∙ z∙stane neodhalena a naruÜitel∙m se poda°φ zφskat po₧adovanΘ informace. Kdo tyto informace po₧aduje, co za n∞ platφ, to dnes nikdo nenφ schopen odhadnout, nato₧ zve°ejnit. K velkΘ radosti ji₧n∞jÜφ Φßsti naÜeho sv∞ta majφ zejmΘna USA umφst∞ny svΘ servery p°φstupnΘ pro ve°ejnost. P°φstupnΘ fyzicky, nebo¥ pro vstupy do systΘm∙ existujφ brßny, zalo₧enΘ stßle v∞tÜinou pouze na jednoduchΘm hesle. Pro zkuÜenΘho sφ¥a°e s trochou Φasu nenφ problΘm tyto brßny p°ekonat, a ₧ivotn∞ d∙le₧itß data jsou na dosah ruky. A cφlem ·toku nemusφ b²t jen vlastnφ zφskßnφ dat, kybernetik je takΘ m∙₧e nenßvratn∞ zniΦit. A v takovΘm p°φpad∞ u₧ zb²vajφ opravdu jen oΦi pro plßΦ.

Cel² problΘm nelze shodit ze stolu tφm, ₧e prost∞ vitßlnφ informace nebudou na sφ¥ov²ch serverech umφst∞ny. Pokud toti₧ tyto informace nepot°ebujete nynφ, je tΘm∞° jistΘ, ₧e velice brzo nastane doba, kdy budete muset sdφlet d∙le₧itΘ informace po celΘm sv∞t∞. Potom se budete muset vß₧n∞ zamyslet nad tφm, jak tyto informace znep°φstupnφte pro okolnφ sv∞t.

Neexistuje stoprocentnφ obrana

Bylo ji₧ n∞kolikrßt napsßno, ₧e i tu nejdokonalejÜφ ochranu lze obejφt jeÜt∞ dokonalejÜφm ·tokem. Je jen otßzkou Φasu a pen∞z, kdy se poda°φ prorazit sebelepÜφ ochrann² val nebo Üifrovacφ metodu. Existujφ vÜak rozhodn∞ metody, jak se na p°φpadn² ·tok p°ipravit co nejlΘpe a mo₧nost pr∙niku snφ₧it na co nejmenÜφ ·rove≥. Mßlo podnikov²ch mana₧er∙ se vÜak tΘto problematice dostateΦn∞ v∞nuje. Je sice pravda, ₧e mnoho z nich vßhß nap°. s p°ipojenφm na Internet prßv∞ kv∙li bezpeΦnosti, ale jejich obavy jsou v∞tÜinou zalo₧eny na obecnΘ ned∙v∞°e, ne na faktech. Potom staΦφ, kdy₧ n∞jak² v²robce o svΘm produktu prohlßsφ, ₧e je stoprocentn∞ bezpeΦn², a IS mana₧er ho s klidn²m sv∞domφm nasadφ. Pak se jen nestaΦφ divit p°i p°φpadn²ch problΘmech. JeÜt∞ horÜφ jsou ovÜem p°φpady, kdy si podnik na server po°φdφ produkt, podporujφcφ p°im∞°enou mφru bezpeΦnosti, ale nevyu₧ije jeho mo₧nostφ.

To je takΘ zßv∞r zkoumßnφ CERTu: nedostatek pozornosti administrßtor∙ sφtφ v∞novan² bezpeΦnosti server∙. Ono toti₧ i sebedelÜφ a sebezapeklit∞jÜφ heslo je jen vlaÜsk²m o°φÜkem, Φekajφcφm na rozlousknutφ. A bu∩te si jisti, ₧e ti, kte°φ majφ opravdu zßjem dostat se na vaÜe data, si ten sprßvn² louskßΦek najdou. Proto je nutnΘ vÜude, kde to podmφnky dovolujφ, nasadit skuteΦnΘ ochrannΘ mechanismy. To jsou Üifrovacφ metody, ve°ejnΘ klφΦe a dalÜφ zp∙soby zabezpeΦenφ nejen vlastnφho p°φstupu k dat∙m, ale nejlΘpe i dat.

JistΘ je, ₧e pokus∙ o naruÜenφ cizφch systΘm∙ neubude, spφÜe naopak. Doufejme, ₧e p°ibude t∞ch ne·sp∞Ün²ch, kterΘ ztroskotajφ na dostateΦn∞ vybudovanΘ a udr₧ovanΘ obran∞.