Zabezpečenie koncových zariadení

Pri budovaní prostredia, ktoré spĺňa požiadavky nariadenia GDPR netreba opomenúť aj zabezpečenie koncových staníc užívateľov a súvisiaceho vybavenia. To zahŕňa hlavne desktopy a notebooky. Je dôležité si uvedomiť, že systém je tak bezpečný aký je jeho najslabší článok. Nutnosť je zabezpečiť celý reťazec, od hardvéru, biosu až po softvérové vybavenie.

  1. Fyzické zabezpečenie

Znamená zabezpečenie voči odcudzeniu, neoprávnenej zmeny hardvérovej konfigurácie v zmysle pridania či odobrania hardvérových komponentov. Tieto opatrenia uviesť do súladu s kontrolou dohľadu, riadením prístupu a kontrolou a evidenciou osôb, ktoré majú k zariadeniam prístup. Úlohu fyzického zabezpečenia môžu plniť aj zámkové systémy typu Kensington. Jeho výhodou je všeobecná rozšírenosť a jednoduchosť používania. Nevýhoda je neexistencia všeobecného odomykacieho kľúča. Systém hlavného kľúča u jednotlivých výrobcov tohto štandardu buď neexistuje alebo je obmedzený len na určitý počet zámkov v skupine, čo vyplýva z návrhu celého riešenia.

Medzi vhodné riešenia patria aj proprietárne systémy jednotlivých výrobcov. Zaujímavou možnosťou sú elektromagnetické zámky na zamknutie šasi desktopu, kombinované s čidlom na otvorenie šasi. Tieto zámky sú ovládané buď lokálne cez bios alebo centrálne pomocou nástrojov hromadnej správy.

Ekonomicky priaznivý je variant uzamknutia desktopu pomocou klasického visiaceho zámku. Výhoda takéhoto riešenia je jeho ľahká údržba a nahraditeľnosť. Nevýhoda mechanických uzamykacích systémov je možnosť prekonania, či už násilnou cestou alebo otvorením bez použitia originálneho kľúča, tzv. Bumping.[1]

  1. Zabezpečenie firmvérovej výbavy a nemennosti konfigurácie

Každá koncová stanica má svoju softvérovú výbavu na úrovni hardvéru, nazýva sa BIOS.[2] V súčasnosti založená na technológií EFI/UEFI.[3]

BIOS zabezpečuje primárne funkcie PC pri jeho behu. Tvorí základnú vrstvu, ktorá umožňuje zavedenie vyššej softvérovej vrstvy, teda operačného systému. Keďže BIOS má priamy vplyv na operačný systém musí byť zabezpečený. Zabezpečenie formou hesla, kde jedno heslo slúži na prístup ku konfiguračnému rozhraniu BIOS a druhé k povoleniu štartu a zavedenia operačného systému. Ak nie je ochrana BIOSu heslom aktívna útočník môže ľubovoľne meniť jeho nastavenia, rovnako aj spustiť neautorizovaný operačný systém z externého média.

Binárny kód BIOSu je zväčša digitálne podpísaný výrobcom zariadenia. Pri jeho aktualizácií sa overuje platnosť digitálneho podpisu. Ďalšou z ochrán je ochrana proti modifikácií biosu a nahratí škodlivého kódu. Takáto modifikácia  je nebezpečná, pretože je z prostredia operačného systému ťažko zistiteľná. Modifikácie môžu obsahovať maskovacie techniky, ktoré skryjú neoprávnený zber a odosielanie dát zo zariadenia.

Technológia, ktorá takýmto modifikáciám vie zabrániť, kontroluje a vynucuje integritu firmvérovej výbavy. Príkladom1 je HP Sure Start. Zariadenie ňou vybavené má k dispozícií nezávislý kontrolný mechanizmus, ktorý pri štarte a behu operačného systému preveruje integritu BIOSu. V prípade zistenej nekonzistencie prebehne vynútený reštart a nasleduje oprava BIOSu zo zabezpečenej kópie. Všetko bez zásahu užívateľa. Toto riešenie dokáže opraviť BIOS aj v prípade jeho poškodenia počas aktualizácie.

  1. Zabezpečenie na úrovni operačného systému

Operačný systém vyžaduje tiež dôkladné zabezpečenie a nastavenie. Autentifikácia užívateľov, šifrovanie dát na interných a externých nosičoch, zabezpečenie komunikačných protokolov, priebežný audit stavu systému a jeho nadväznosť na ďalšie systémy ako je riešenie tlačového prostredia a obehu dokumentov, je nevyhnutnou súčasťou riešenia.

  1. Zabezpečenie prenosných zariadení

Mobilný telefón sa  stal integrálnou súčasťou našich životov. Napriek tomu veľa používateľov nemá svoj mobil zabezpečený heslom, PIN kódom alebo odtlačkom prsta. Každé odcudzené prenosné zariadenie (mobil, tablet, notebook) je zdrojom veľkého množstva citlivých informácií nielen o samotnom užívateľovi, ale aj o iných osobách (súkromné konverzácie, e-maily, fotografie, poznámky, prístupové heslá a i.). Štvormiestny PIN kód je nedostatočný, keďže pri použití tzv. brutálneho útoku uhádne útočník správnu kombináciu veľmi rýchlo. Lepší variant je šesťmiestny PIN kód. Rovnako nie je vhodné používať uzamknutie telefónu gestom, ktoré má jednoduchý tvar. Výrazne lepší spôsob zabezpečenia je kombinácia uzamknutia pomocou biometrického údaju (odtlačok prsta, sken dúhovky, tváre) a silného hesla alebo PINu.

Ďalším krokom k bezpečnosti zariadenia je šifrovanie obsahu v zariadení. Šifrovanie je účinné len vtedy, ak je zariadenie zamknuté. Pri pripojení odomknutého zariadenia k PC je obsah zariadenia dostupný.

Jedna zo základných zásad je inštalovať aplikácie len z oficiálnych obchodov jednotlivých platforiem. Veľkým rizikom je sprístupnenie vývojárskeho módu, ktorý umožňuje inštaláciu aj aplikácií z neznámych zdrojov. Takto sa môže do zariadenia dostať škodlivý kód a softvér. Jedno z pravidiel v organizácií by malo zakazovať inštaláciu aplikácií z neznámych a neoverených zdrojov.

[1] Bumping – dynamická metóda otvorenia. Staršie typy zámkov je možné otvoriť pomocou použitia špeciálneho kľúča, bez známky poškodenia.

[2] BIOS – Basic Input Output System

[3] EFI – Extensible Firmware Interface, UEFI – Universal Extensible Firmware Interface

 

Autor:

Bc. Marcel Švec

Junior consultant

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *