Je zvláštní, že ještě více než po sto letech od potopení parolodi Titanik cítím potřebu vysvětlovat, že nemá smysl pokoušet se stavět nepotopitelné lodě. Nebojte se, nespletl jsem si téma našeho seriálu. Řeč nebude o bezpečnosti mořeplavby , ale o bezpečnosti počítačových systémů. Přesto uvidíte, že paralela v myšlení některých techniků i manažerů je tu silná.
Pokud se pohybujete v oboru IT určitě už jste někdy stáli před zadáním (a nebo ho možná někomu zadávali), upravit počítačovou síť tak, aby do ní nemohl proniknout nikdo nepovolaný. Myšlenka jistě přitažlivá a na první pohled správná… a neuskutečnitelná. Existuje jev označovaný jako „paradox žalářníka“, kdy se tvrdí, že vězeň vždy dokáže žalářníkovi uniknout, protože se soustředí pouze na jednu variantu útěku, zatímco žalářník se musí snažit sledovat všechny myslitelné možnosti zároveň. S přihlédnutím k pověstnému Murphyho zákonu, že „může-li se něco pokazit, pak se to pokazí, a nemůže-li se něco pokazit, pokazí se to stejně“ pak nezbývá než se smířit se skutečností, že každá síť se dříve či později setká s úspěšným narušením.
Jestliže tedy nemůžeme zabránit narušení sítě, co, pokud vůbec něco, má ještě smysl podnikat? K této otázce se ještě budeme z různých úhlů pohledu v dalších dílech vracet, nejprve si ale udělejme jasno: rozhodně není vše ztraceno. Jako ve všech případech silových konfliktů (a kyberprostor byl nedávno mezinárodně uznán za další regulérní typ válčiště) se můžeme – a máme – poučit z historie. A zde máme spoustu vodítek ještě z předpočítačového světa a historie konfliktů jeho tajných služeb. Všichni opravdu velcí stratégové rozvoje tajných služeb vždy, kromě primárních bezpečnostních pravidel, investovali hodně úsilí i do toho, aby se dozvěděli o tom, že jejich špionážní síť byla narušena. Pojďme se tedy zachovat stejně.
Začnu řečnickou otázkou: myslíte, že by se kradlo, kdyby byl každý zloděj během pár týdnů vypátrán, odsouzen a jeho majetek zabaven? Přihořívá! Pokud nemůžeme zabránit narušení sítě, pojďme podniknout opatření, abychom se o narušení s co největší jistotou a co nejdříve dozvěděli. A znovu nás vojáci předběhli: už jste slyšeli pojem „pasivní radiolokátor“? Po letech platnosti doktríny, že první úder je veden tak, aby vyřadil radiolokaci protivníka, protože každý radiolokátor se už samotným svým provozem prozrazuje a snadno si ověřím, zda jsem jej skutečně vyřadil, a následně už snadno ovládnu vzdušný prostor, se začínají používat radiolokátory, které „jen“ poslouchají různé signály vyzařované protivníkem, případně odrazy od jiných radiových vysílačů.
Dosaďme si za „klasický“ radiolokátor to, co samozřejmě musíme v síti mít: tedy různé firewally, autentizační a antivirové servery a vynucovače politiky, jejichž vyřazení nebo obejití je pochopitelně prvním cílem každého hackera. Pak bychom tedy měli do sítě umisťovat další prvky, o jejichž existenci nemusí (a neměl by) nikdo nepovolaný vědět. To, zda jsou přítomny či aktivní, nelze prakticky (kromě fyzické prohlídky) zjistit. Jejich smyslem je sbírat a zpracovávat informace umožňující nám zjistit, že (a nejlépe i kde) se v naší síti děje něco neobvyklého.
Samozřejmě to, že se děje něco neobvyklého, nemusí vždy znamena,t že jde o úspěšné nebo úmyslné a zlovolné narušení. Může jít o nepozorného úředníka, který rozklikl e-mail obsahující virus; dítě zaměstnance, které využívá naší rychlou síť k on-line hraní, nebo účetního, který má dva dny v měsíci neobvyklý objem přenášených dat, protože musel před uzávěrkou rychle dohledávat nesrovnalost v číslech. Ale může jít i o reálný útok. Jak si s tím poradit?
Zahraji si na Šeherezádu a vysvětlení, jak aposteriorní bezpečnost prakticky realizovat, si nechám na příští díl, abychom se tomutoto důležitému bezpečnostnímu konceptu mohli věnovat dostatečně podrobně. A jako zajímavost na závěr si zkuste odhadnout, jak dlouho podle Cisco Annual Security Report zůstává škodlivý kód v řadě firem aktivní a neodhalený? Je to až neuvěřitelných 200 dní. Za tu dobu už se dá ledacos provést, nemyslíte?