Správcova noční můra: pod palbou od vlastních lidí

Správce sítě města San Francisca Terry Childs je obžalován z vytvoření superhesla pro přepínače a routery městské optické WAN a z toho, že jej využívá, aby zabránil všem ostatním v přístupu k administrativním funkcím.

Správcova noční můra: pod palbou od vlastních lidí


 

Podle dostupných zpráv byl Childs přistižen při manipulaci se sítí a na vyrušení nadřízeným reagoval podrážděně. Výsledkem Childsových aktivit bylo to, že administrátoři nemohli přistupovat k routerům a switchům, ačkoli síť jako taková nadále fungovala. Childs byl obviněn za nepovolenou manipulaci a kauce za jeho propuštění byla stanovena na pět milionů dolarů.

Ani týden po incidentu město stále nezískalo ztracený přístup k zařízením a detaily případu jsou stále zamlžené. Několik věcí je však jasných. „Tohle se nemělo v organizaci takové velikosti vůbec nikdy stát," říká viceprezident konzultační společnosti Phaseit Cameron Laird.

„Potřeba chránit organizace před interními zaměstnanci se zlými úmysly zde byla dlouho před vynálezem počítačů," podotýká Laird. „Existují pravidla, na nichž lidé pracovali po několik století. Myslím, že je nejlépe vycházet z modelů, které vznikly v oborech, jež mají dlouhodobější zkušenosti než IT. K takovým patří například účetnictví či auditování, které mají za sebou několik set let fungování," dodává Laird. Některé ze zmíněných pravidel a principů - jako například kontrola přístupu - již byly do IT zavedeny. Jiné, jako třeba zásada minimálních oprávnění (kdy jsou uživateli svěřeny nejnižší možné pravomoci nutné k výkonu jeho práce), do IT teprve začínají pronikat, jiná, kupříkladu princip duální autorizace (který znamená, že jistá oprávnění jsou platná pouze při současném přihlášení dvou uživatelů z předem definovaných skupin), v IT zatím nejsou (až na pár výjimek) vůbec.

V Childsově případě bylo bohužel mnoho z těchto pravidel velkoryse ignorováno. Zprávy z incidentu navíc indikují, že přestože se o Childsově činnosti vědělo celou dobu, zodpovědní pracovníci na to nereagovali dostatečně rychle a rozhodně. Nejlepší volbou v takovém případě by bylo okamžité zablokování jeho přístupu do systému.

Dalším kamenem úrazu je, že město očividně nepřijalo zásadu minimálního oprávnění. Je jasné, že správce sítě potřebuje širokosáhlý přístup do spravovaného systému, to se však nerovná zcela neomezenému přístupu kamkoli. Jak je vidno, Childs měl možnost vytvořit superheslo a měnit práva ostatních administrátorů dle libosti. A ačkoli byly všechny jeho aktivity zaznamenávány do protokolu událostí, mělo to asi takový efekt jako zamčení vrat od stodoly až poté, co byl ukraden kůň.

Teoreticky by měli pracovníci na každé úrovni dostat jen taková oprávnění, která jsou k jejich práci potřeba. Jelikož to ovšem vyžaduje zvláštní sadu privilegií pro každého­ jednotlivého zaměstnance, až k těm opravdu nejníže postaveným, jde o prakticky špatně aplikovatelnou záležitost. Výsledkem je, že zaměstnance rozdělujeme do skupin podle stupně oprávnění, ať už některé pravomoci potřebují nebo ne.

Klíčem k zefektivnění tohoto procesu je pečlivá definice přístupu k vysoce kritickým funkcím, jakou je změna administrátorských pravomocí. Jelikož přístup k takovýmto citlivým mechanismům v podniku potřebuje jen hrstka lidí, je toto rozdělení obyčejně poměrně snadné.

„V organizaci jakékoli velikosti, natož v milionovém městě, opravdu nesmíte brát správu pravomocí na lehkou váhu," varuje Laird a poukazuje na příklad armády Spojených států, ústavu NASA a dalších organi­zací, kde je rovněž ke kritickým operacím potřeba­ více než jedna osoba. Klasickou situací je vypuštění jaderné hlavice. Při takové akci musejí být přítomni alespoň dva důstojníci s patřičnými klíči, kterými v zámku navíc otočí zároveň­. Potřeba asistence více lidí při provedení potenciálně nebezpečného úkonu znamená, že všichni  oprávnění musejí být zajedno, a riziko problémů je tak minimalizováno.

Mnoho z toho, co se událo v San Franciscu, spadá pod hlavičku správy identit (IM, Identity Management) a kontroly přístupu (AC, Access Control). Na trhu figuruje spousta společností s dobrými IM/AC balíčky, často je však větší důraz kladen na IM (nastavování a ochrana hesel), než AC (rozhodování o tom, co je vám prostřednictvím zadání hesla­ umožněno dělat). Činnost, jakou vytvoření superhesla je, by dozajista měla být chráněna­ více, než jen adekvátní úrovní oprávnění.





Komentáře