Előző cikkünkben rávilágítottunk, mekkora károkat okoztak már a kiemelt azonosítókat használó lopások, vagyis, hogy milyen következményekkel jár a privileged identity theft nevű jelenség létezése. Az elmúlt közel két évtized hét legnagyobb adatlopásában szerepet játszott, érdemes tehát felmérni, miért kedvelt a módszer a támadók körében, és hogyan képes hatalmas károkat okozni az érintett szervezeteknek.

Az első kérdésre van egyszerű válasz. Azért élnek ezzel a lehetőséggel a kiberbűnözők, mert a legmagasabb jogosultsággal bíró felhasználói fiókok megszerzésével gyakorlatilag korlátlan hozzáférést kapnak a kiszemelt vállalat összes, távolról elérhető erőforrásához. Ebből könnyen levonható a következtetés: ha valaki jogosulatlanul elér értékes információkat egy szervezetben, akkor ennek birtokában számos, ártalmas tevékenységet végezhet. Megzsarolhatja az érintetteket, eladhatja az orvul szerzett bizalmas információkat másnak, szélsőséges esetben akár tönkre is teheti anyagilag a célpontot.

Kiemelt jogosultságok – rések a pajzson

Ezeknek a kellemetlen helyzeteknek az elkerüléséhez vezető út első lépéseként meg kell vizsgálni a kiemelt jogosultságokat, és azt, hogy kik rendelkeznek vele az adott szervezetnél. A privilegizált felhasználói fiókok szolgálnak arra, hogy az egyes rendszerekben a különböző adminisztratív, karbantartási és egyéb műveletek elvégezhetők legyenek. Ahhoz, hogy létrehozzanak egy felhasználói fiókot, új jelszót generáljanak valakinek, vagy telepítsenek egy szoftverfrissítést, ezekre a kiemelt jogosultságokra van szükség. A tipikus kiemelt jogosultságok közé tartozik például a Unix root, a Windows administrator vagy az adminisztrátori hozzáférés egy adatbázishoz.

Ezek a hozzáférések azonban biztonsági szempontból több problémával is rendelkeznek.

– Teljes körű jogosultságot biztosítanak: mivel ezek a jogosultságok gyakorlatilag mindenhatók, ha valaki megszerzi a hozzá tartozó jelszót, szinte bármit megtehet.
– Megosztottak: az összes olyan munkatárs, akinek adminisztratív feladata van az adott rendszerben, rendelkezik a hozzáféréshez szükséges azonosítóval.
– A felhasználók nem beazonosíthatók: mivel akár húsz munkatárs is használhatja ugyanazt a rendszergazdai fiókot, nincs egyéni elszámoltathatósága a kollégáknak.
– Nem auditálhatók: a felhasználók tevékenységének nyomon követése legjobb esetben is rendkívül körülményes, de gyakran teljesen lehetetlen.
– Nélkülözhetetlenek: nem lehet eltekinteni ezektől, ugyanis az IT csapatok, ide értve a szerződéses partnereket és szoftvergyártókat is, kiemelt jogosultságú hozzáférés nélkül nem lennének képesek ellátni a feladataikat.

Kitárjuk az ajtót a hackereknek?

Napjaink több trendje is a kiemelt felhasználói fiókokra utazó hackerek kezére játszik. Az egyik ilyen jelenség a shadow IT, vagyis az árnyékinformatika. A szervezetnél hivatalosan kiépített, üzemeltetett és fejlesztett IT infrastruktúra mellett ugyanis gyakran spontán létrejön egy másodlagos rendszer is, mely többnyire a felhasználók külön utas megoldásaiból áll össze. Használata hivatalosan nem jóváhagyott, legjobb esetben is inkább csak megtűrt jelenségről van szó.

Nincsen olyan 21. századi, irodában dolgozó munkavállaló, akinek ne lapulna okostelefon a zsebében, amivel, ha teheti, felcsatlakozik a céges Wi-Fi hálózatra. Ezek az eszközök máris biztonsági kihívást jelentenek, ráadásul olyat, amiről nem feltétlenül tudnak a rendszerüzemeltetők. De nem csupán hardverről van szó a shadow IT kapcsán. Ide kell érteni a szoftveres „különakciókat” is, vagyis azt, hogy az alkalmazottak hivatalosan nem engedélyezett alkalmazás(oka)t telepítenek és használnak az eszközeiken.

Ezek kockázatairól szintén nem feltétlenül van tudomása a rendszerüzemeltetőknek. Ahogy azt sem tudják, hogy az árnyékinformatika keretei között pontosan ki is ér el egy erőforrást. Lehet az akár külső fél vagy alkalmazott, aki alapesetben kiemelt jogosultságokkal rendelkezik – csak éppen nem abban a biztonságosnak kialakított környezetben dolgozik, amiben kellene.

Ugyancsak veszélyt jelent a szervezetekre a kódolásmentes vagy kevés programozást igénylő platformok (no-code development platform - NCDP, low-code development platform - LCDP) terjedése. Utóbbiak gyorsítják a programozók munkáját, akik végeláthatatlan kódsorok begépelése helyett/mellett grafikus felületen fejlesztenek szoftvereket. Előbbi megoldásokhoz pedig gyakran még programozóra sincsen szükség: egy, minimális IT érzékkel rendelkező felhasználó is össze tud rakni egyszerűbb alkalmazásokat ezeknek a platformoknak a segítségével.

Az egyszerűség azonban nem ritkán a biztonságosság rovására megy. Az alkalmazásokba „bedrótozott”, kényelmes funkcionalitást nyújtó felhasználónév/jelszó párosok, amik néha még csak nem is titkosítottan tárolódnak, olyan sebezhetőséget jelentenek a támadóknak, melyeket előszeretettel fordítanak a javukra.

Ha engedjük, biztosan bejönnek

Hogyan mérik fel a terepet a kiberbűnözők, milyen külső és belső felderítőeszközöket alkalmaznak, miként férnek hozzá magasabb jogosultsággal bíró felhasználói fiókokhoz? Néhány fontos kérdés, amit szintén meg kell válaszolni ahhoz, hogy hatékony védelmet lehessen ellenük kiépíteni. Cikksorozatunk következő részében megvizsgáljuk az online támadók eszköztárát és lehetőségeit.