Internet a informační technologie jsou úzce propojeny s mnoha činnostmi reálného světa a stejně jako se v běžném světě vyskytují kriminálníci, i v elektronickém světě se pohybují různé živly, kterým jde pouze o vlastní prospěch. Při zajišťování stop a objasňování nastalé činnosti hrají klíčovou roli forenzní specialisté. Situaci v běžném světě lidem přibližují populární televizní seriály, ale obdobná pracoviště existují také pro analýzu stop zanechaných v kyberprostoru. Jedním z nich je FLAB, Forenzní LABoratoř, kterou provozuje sdružení CESNET.
Forenzní laboratoř FLAB vznikla v červnu 2011 jako podpůrné pracoviště bezpečnostního týmu CESNET-CERTS. Hlavní motivací bylo umožnit detailní analýzu závažných bezpečnostních incidentů týkajících se sítě CESNET2. Postupem času došlo i na prevenci bezpečnosti ve formě služby penetračních a zátěžových testů. Schopnosti a zkušenosti spolu s připraveným vybavením lze využít pro doplňkovou činnost, ať už jde o konzultace nebo technické zásahy. I když jsou služby pracoviště FLAB primárně určeny organizacím připojeným do sítě CESNET2, mohou je využít také externí zákazníci.
Při výskytu bezpečnostního incidentu ve světě IT se vynořují mnohé otázky, které je nutno zodpovědět. Typicky souvisejí s tím, co útočník na napadeném zařízení provedl, kdy k tomu došlo, jak se na zařízení dostal, která data jej zajímala, jaké soubory vytvořil, s jakými jinými zařízeními interagoval apod. Hledání odpovědí však vyžaduje znalosti, čas a většinou i speciální vybavení a nástroje – tím ale běžná organizace obvykle nedisponuje. Právě v těchto případech lze zadat analýzu bezpečnostního incidentu pracovišti FLAB.
Ze zkoumaných systémů lze hloubkovou analýzou získat množství informací, s jejichž pomocí je možné zejména zjistit vektor útoku (například spuštění malware nebo zneužití chyby), prokázat porušování směrnic a provozních řádů uživatelem nebo zmapovat nakládání se specifickými dokumenty.
V každém systému, serveru, aplikaci i síti mohou existovat zneužitelné chyby (tzv. zranitelnosti), které mohly vzniknout chybným návrhem, nesprávnou implementací nebo špatným nastavením daného systému včetně ochranných prvků. Pokud jsou objeveny, mohou být zneužity k porušení bezpečnosti výpočetního prostředí a může dojít k narušení důvěrnosti (k datům nebo systému má přístup někdo nepovolaný), integrity (systém byl neoprávněně pozměněn) nebo dostupnosti (systém se uživatelům jeví nefunkční).
Není však nutné čekat, až chybu objeví potenciální útočník. Specialisté FLAB preventivně systémy podrobují penetračním a zátěžovým testům, které simulují činnost reálného útočníka. Výsledkem je soupis nalezených zranitelností a vyhodnocení odolnosti testovaných systémů proti útoku, takže lze identifikovat slabá místa a navrhnout vhodné řešení. Testy je dobré po nějaké době, roce až dvou, zopakovat a přesvědčit se, zda realizovaná opatření bezpečnostní situaci zlepšila a zda se mezitím neobjevily chyby nové.
FLAB je obecně schopen poskytovat služby, pro které má k dispozici vybavení a znalosti získané v rámci plnění výše zmíněných základních služeb. Pracovníci se již věnovali také obnově dat, zkoumali nové technologie a zjišťovali jejich vlastnosti a získané poznatky uplatnili při prezentační činnosti. Po vzájemné dohodě lze tedy poskytnout i další doplňkové služby týkající se bezpečnosti informačních technologií.
V případě zájmu o výše uvedené služby nebo nezávazné konzultace kontaktujte pracovníky FLAB na adrese flab@cesnet.cz. Další informace naleznete na https://flab.cesnet.cz.
ALEŠ PADRTA,
CESNET