Osobiście doświadczyłem takiej sytuacji, kiedy po kolejnej zmianie hasła bankowego – które to nowe hasło nie mogło być takie samo jak 11 (słownie: jedenaście!) poprzednich – kilkakrotnie nie udało mi się zalogować do systemu. Resetowanie hasła w takim przypadku było trudne nawet z umową w ręku – w sumie system bankowy wie lepiej, kto ja jestem. Oczywiście rozumiem rosnące zagrożenie ze strony cyberprzestępców, ale nie przesuwajmy wymagań na skraj absurdu. A tak było w moim przypadku, bo chwilę później dostałem do wypełnienia formularz bankowy, w którym musiałem wpisać hasło [sic!], a skan dokumentu odesłać mailem.

Jak pokazuje doświadczenie, najlepiej działają najprymitywniejsze metody oszustów, a z kolei najdoskonalsze zabezpieczenia jedynie doprowadzają normalnych użytkowników do szaleństwa. Właściwie to już powoli niczego nie można zrobić bez użycia jakiegoś hasła oraz loginu. I dotyczy to coraz bardziej absurdalnych czynności. Nie wiem, czy jest to swoisty wyścig na posiadanie największej liczby kont użytkowników, czy jakiś inny diabeł, wiem natomiast, że coraz więcej aplikacji wymaga coraz większej liczby haseł, które ostatecznie albo lądują w notatniku na komputerze, albo to samo hasło jest stosowane wszędzie, gdzie się da.

Sam mam problem z zapamiętaniem dziwnych loginów, tworzonych przez system według sobie tylko znanego klucza, wprowadzaniem haseł „maskowanych”, a następnie zatwierdzaniu w aplikacji lub przepisywaniu kodu z SMS-a. W zasadzie normą jest również zapamiętywanie loginów i haseł w przeglądarkach internetowych, które za nas wypełnią odpowiednie pola, a nam wystarczy tylko kliknąć „zaloguj”. W efekcie takiego postępowania, kiedy zgubimy komputer lub, co gorsza, ukradną go nam, to odpowiednio: albo nie możemy się nigdzie zalogować (bo oczywiście tych haseł nie pamiętamy), albo ktoś może się za nas zalogować wszędzie (wystarczy, że się dostanie do naszego komputera).

Musimy zacząć zdawać sobie sprawę, że mnożenie rozmaitych zabezpieczeń w pewnym momencie prowadzi użytkowników do poczynań zupełnie odwrotnych od zamierzonych. Konieczność pamiętania niezliczonych loginów, haseł, PIN-ów i telekodów powoduje, że coraz częściej jesteśmy zmuszeni do stosowania domorosłych rozwiązań wspomagających naszą pamięć. A dla tych najbardziej wytrwałych pozostaje lecytyna albo wyciąg z miłorzębu japońskiego.

Autor jest przewodniczącym Rady Nadzorczej Engave.

Artykuł Zabezpieczenia, które nie zabezpieczają pochodzi z serwisu CRN.

Artykuł Ponad 80 proc. haseł na Linkedin złamanych pochodzi z serwisu CRN.

Problemy z hasłami

O trudnościach związanych z zarządzaniem hasłami i skomplikowaną polityką ich zabezpieczania krążą już anegdoty i legendy. Jedną z podstawowych metod poradzenia sobie z tym problemem, promowanych przez Dell Software, jest wykorzystanie dwuskładnikowej autoryzacji 2FA (two factor authentication). Podejście to uwzględnia dwa elementy: wiedzę (coś, co użytkownik zna, np. PIN lub nazwa użytkownika) i posiadanie (coś, czym dysponuje, np. token sprzętowy generujący dynamiczne jednorazowe hasła OTP).

Do kompleksowego zarządzania hasłami Dell Software proponuje rozwiązanie o nazwie Password Manager. Daje ono administratorom możliwość spełnienia założeń polityki bezpieczeństwa w zakresie zarządzania hasłami, w tym wykonywania takich czynności jak odblokowywanie kont, resetowania hasła czy wymuszanie na użytkownikach jego zmiany. Przygotowana w ten sposób infrastruktura z powodzeniem przejdzie testy prowadzone podczas audytu bezpieczeństwa i będzie zgodna z takimi regulacjami jak SOX, HIPAA czy PCI. Zapewnia wprowadzenie wyrafinowanych mechanizmów ochrony haseł, bez obawy przed zwiększeniem liczby zgłoszeń do obsługi technicznej, np. w kwestii resetowania haseł.

Password Manager umożliwia zdefiniowanie tzw. bezpiecznych pytań, m.in dzięki którym każdy użytkownik systemu IT – przez samoobsługowy portal – będzie w stanie sam odzyskać swoje hasło. W efekcie maleją koszty obsługi serwisowej, a jednocześnie skraca się czas ewentualnej bezproduktywności pracowników. Rozwiązanie to działa w systemach operacyjnych Microsoft, ale także Unix i Linux.

Uwierzytelnianie z tokenem

Dell Software zapewnia integrację Password Managera z innym ciekawym oprogramowaniem – serwerem autoryzacyjnym Dell Defender. Głównym jego celem jest udostępnianie prostych mechanizmów 2FA.

Inżynierowie firmy Perceptus przygotowali w swoim laboratorium referencyjną konfigurację integrującą oba wymienione produkty. Wygodnym dodatkowym narzędziem autoryzacyjnym do procesów odzyskania hasła okazały się tokeny SMS-owe. Użytkownik, który chce odblokować swoje hasło domenowe do stacji roboczej, dostaje jednorazowe hasło OTP (One Time Password) na telefon przypisany do swojego konta. Proces ten może zastąpić metodę autoryzacji bazującą na bezpiecznych pytaniach. W ten sposób w firmie wdrażana jest dwuskładnikowa autoryzacja wykorzystująca klasyczne hasło SMS. To prosty i skuteczny sposób na zwiększenie bezpieczeństwa, zakładający rozdzielenie poświadczeń tożsamości i odpowiedzialnych za nie mechanizmów. Dell Software oferuje również możliwość skorzystania z darmowej aplikacji do tworzenia kodów OTP, zgodnych ze standardem OATH dla urządzeń mobilnych z systemami Android oraz Windows Phone.

Jedną z alternatywnych metod autoryzacyjnych może być także wykorzystanie sprzętowych tokenów. Perceptus wybrał do tego zyskujące coraz większą popularność tokeny w standardzie OATH, produkowane przez szwajcarską firmę NagraID Security. Rozwiązanie NagraID Security Display Card oferowane jest w postaci wygodnej w użyciu karty (o wymiarach standardowej karty kredytowej). Ma własne zasilanie, jest wyposażone w kontrastowy, sześcioznakowy wbudowany wyświetlacz LCD i przycisk aktywacyjny. Po przyciśnięciu przycisku na wyświetlaczu ukazuje się kod jednorazowy, generowany według odpowiedniego algorytmu.

Token NagraID Security przypisywany jest w Defenderze do danych użytkownika domenowego, przez administratora lub za pomocą portalu samoobsługowego. Po przeprowadzeniu synchronizacji użytkownik końcowy może odblokować swoje konto lub wymusić zamianę zapomnianego hasła po dokonaniu dodatkowej autoryzacji kodem z karty NagraID.

Oprogramowanie Defender zapewnia nie tylko integrację z Password Managerem. Udostępnia wtyczki przeznaczone do instalacji w urządzeniach końcowych. Dzięki temu możliwe staje się rozszerzenie klasycznych mechanizmów logowania do systemu operacyjnego o model 2FA (kod SMS lub tokeny sprzętowe). To bardzo interesująca alternatywa, np. wobec infrastruktury klucza publicznego (PKI) jako sposobu na dwuskładnikową autoryzację.

Zabezpieczanie przez szyfrowanie sprzętowe

Definicje uprawnień, hasła, a nawet wykorzystywane przez Password Managera odpowiedzi na pytania awaryjne, są zapisane w repozytorium (którym najczęściej jest serwer Active Directory) lub w relacyjnej bazie. Dlatego zaleca się również ich zabezpieczenie za pomocą szyfrowania. Inżynierowie Perceptusa proponują użycie w tym celu tzw. sprzętowych modułów bezpieczeństwa (Hardware Security Modules), które zapewniają ochronę infrastruktury IT przed dostępem niepowołanych osób.

Zdaniem specjalistów Perceptusa kluczowe dla zwrotu z takiej inwestycji jest użycie HSM, nie tylko, jak to zazwyczaj bywa, do budowy wewnętrznej infrastruktury PKI. Proponują zatem zastosowanie HSM do integracji na dwóch poziomach – Microsoft Active Directory Rights Management Services oraz zastosowania szyfrowania bazy danych z bezpiecznie przechowywanymi kluczami dzięki użyciu mechanizmu Extensible Key Management (SQLEKM). W ten sposób wszystkie wrażliwe dane administracyjne konfigurowalne w Defenderze będą bezpiecznie przechowywane.

Przemysław Sobczyk

opiekun laboratorium bezpieczeństwa CBR, Perceptus

Perceptus jest integratorem zajmującym się zaawansowanymi technologiami bezpieczeństwa IT. Ale aktywnie współpracujemy także z integratorami specjalizującymi się w innych dziedzinach. Wszystkie przedstawione rozwiązania mamy fizycznie wdrożone, zintegrowane i przetestowane w siedzibie firmy (Park Naukowo-Technologiczny w Nowym Kisielinie), gdzie mieści się nasze laboratorium. Jesteśmy świadomi, że – biorąc pod uwagę obszar, w którym się poruszamy – opisane rozwiązania mogą być obce, a niekiedy bardzo złożone dla osób, które nie są ekspertami. Dlatego z chęcią udostępniamy naszą infrastrukturę oraz dzielimy się wiedzą i doświadczeniem z zainteresowanymi partnerami i ich klientami.

Do realizacji modelu ochrony z wykorzystaniem modułów HSM Perceptus proponuje rozwiązanie Utimaco CryptoServer, w postaci instalowanej w serwerach karty PCIe lub oddzielnego urządzenia podłączanego bezpośrednio do sieci. Mając do dyspozycji model sieciowy, inżynierowie firmy Perceptus rekomendują rozważenie kwestii wykorzystania HSM do obsługi szyfrowania HTTPS. Dell podkreśla, że pojawiają się hakerzy wykorzystujący szyfrowane połączenie do ukrywania złośliwego oprogramowania przed firewallami korporacyjnymi. Te i inne dziury w zabezpieczeniach powstają w związku ze stosowaniem kluczy w serwerach WWW w formie plików, zamiast wykorzystania do tego celu HSM.

Audyt zmian

Kolejnym elementem wielowarstwowej architektury bezpieczeństwa, jaką oferuje Dell Software, jest system monitoringu zmian w systemach IT – Change Auditor. Jest to potężna platforma audytu systemu Windows, zwiększająca bezpieczeństwo przez natychmiastowe raportowanie, m.in. kto dokonał zmiany, kiedy, gdzie i z której stacji roboczej.

Elastyczny mechanizm powiadomień o zmianach inicjuje przesyłanie standardowych powiadomień na e-mail lub do urządzeń przenośnych w celu podjęcia natychmiastowych działań. Zapewnia zatem administratorowi możliwość reagowania na zagrożenia, nawet gdy nie znajduje się on w siedzibie firmy. Change Auditor wyposażony jest w moduły audytowania zmian w oprogramowaniu Active Directory, Exchange, SQL Server, Lync i VMware vCenter. Może też śledzić aktywność użytkowników związaną z uwierzytelnianiem się ich na stacjach roboczych.

Dodatkowe informacje:

Przemysław Sobczyk,

Information Security Officer, Perceptus,

p.sobczyk@perceptus.pl

Artykuł powstał we współpracy z firmą Perceptus.

Artykuł Bezpieczeństwo haseł jest bezcenne – dla wszystkich pochodzi z serwisu CRN.

PMP zapewnia wielopoziomowe bezpieczeństwo haseł zgromadzonych w repozytorium. Są one szyfrowane najpierw w aplikacji zarządzającej, a następnie ponownie – w zawierającej je bazie danych. Do szyfrowania zastosowano jeden z najsilniejszych znanych algorytmów – AES-256. PMP jest również zgodny ze standardem FIPS 140–2.

Zastosowany w PMP mechanizm umożliwia korzystanie z różnych metod identyfikacji użytkowników logujących się do systemu. Administratorzy mają do dyspozycji silny lokalny system uwierzytelniania z algorytmem SHA1, ale mogą też zintegrować to oprogramowanie z zewnętrznymi magazynami tożsamości (AD, LDAP lub RADIUS). Zapewniono też autoryzację kart smart i wsparcie dla modelu Single Sign-On z wykorzystaniem języka SAML 2.0. Opcje te mogą być uzupełniane przez różne metody dwuskładnikowego uwierzytelniania, takie jak PhoneFactor, RSA SecurID i jednorazowe hasło.

Zawsze spójne dane

Password Manager Pro jest wyposażony w różne opcje zabezpieczeń, które zapewniają integralność przechowywanych danych. Komunikacja między interfejsem użytkownika a serwerem PMP jest szyfrowana (protokół HTTPS).

Bezpieczny zdalny dostęp do panelu administracyjnego zapewniony jest w ten sposób, że sesje Windows RDP, SSH i Telnet można uruchomić w dowolnej przeglądarce, kompatybilnej z HTML5, bez stosowania dodatkowych wtyczek. W przypadku haseł Application-to-Application program udostępnia interfejs web API, dzięki któremu aplikacje komunikują się ze sobą za pośrednictwem protokołu HTTPS.

Password Manager Pro zapewnia też nadawanie użytkownikom różnych ról. Zawarto w nim zestaw bazujących na dobrych praktykach narzędzi do współużytkowania haseł. Poza tym autoryzowani użytkownicy mogą zostać zmuszeni przez aplikację do przejścia przez mechanizm kontroli dostępu do haseł bazujący na wnioskach o dostęp i akceptacjach. W ramach egzekwowania polityki bezpieczeństwa firmy można automatycznie wymusić okresowe zmiany haseł i przypisać unikalne hasła do różnych zasobów.

Audyt, kontrola i alerty w czasie rzeczywistym

Jedną z najbardziej docenianych przez użytkowników funkcji w menedżerze haseł jest wykrywanie nieuprawnionego korzystania z firmowej infrastruktury. Administratorzy mogą sprawdzić, kto ma dostęp do zasobów oraz kiedy i co dokładnie zrobił użytkownik, korzystając z uprzywilejowanego dostępu. PMP w czasie rzeczywistym generuje alarmy i powiadomienia o różnych zdarzeniach. Moduł audytu umożliwia także wysłanie trapów SNMP i wiadomości Syslog.

Sesje uprzywilejowane (Windows RDP, SSH i Telnet) rozpoczęte w PMP mogą być zapisywane, przechowywane i odtwarzane. Istnieje również opcja śledzenia sesji na żywo i przerwania jej w przypadku wykrycia podejrzanej działalności.

PMP zapewnia także wysoką dostępność repozytorium danych dzięki zastosowaniu serwera redundantnego. Serwery główny i zapasowy mogą być zainstalowane w różnych miejscach. Program oferuje również tworzenie kopii zapasowych bazy danych w czasie rzeczywistym i w wybranych przez administratora okresach.

Dodatkowe informacje:

Damian Sieradzon,

IT Security Product Manager, MWT Solutions,

damian.sieradzon@mwtsolutions.pl

Artykuł powstał we współpracy z firmami ManageEngine i MWT Solutions.

Artykuł Password Manager Pro – dziel i rządź hasłami pochodzi z serwisu CRN.

Nadawca e-maila z propozycją sprzedaży wyjaśnił, że jako cel ataku wybrał Chomikuj.pl, bo ostatnio zrobiło się o nim głośno z powodu pozwu, jaki ma wystosować wobec serwisu Polska Izba Książki. Zarzuca mu łamanie praw autorskich. W odpowiedzi Chomikuj.pl pozwał do sądu PIK. Pierwsza rozprawa miała odbyć się 6 sierpnia, ale została przełożona na listopad ze względu na sezon urlopowy – poinformował rzecznik Chomikuj.pl. Jak widać wymiar sprawiedliwości w Polsce nadal jest nierychliwy. Piotr Hałasiewicz dodał, że jego firma dotąd nie otrzymała pozwu od PIK.

Artykuł Wielka kradzież na Chomikuj.pl pochodzi z serwisu CRN.