Pět způsobů, jak se dostat na zakázané weby

 

Weby sociálních médií jako Facebook patří mezi hlavní součásti marketingových strategií mnoha společností. Stránky jako YouTube zase představují příležitosti k vizuálnímu sdílení informací o produktech a službách. Služby rychlých zpráv (instant messaging) a chatu, jako je G-chat, jsou bezplatnými a efektivními způsoby komunikace zaměstnanců.

„Jsem přesvědčen, že obecně určuje pravidla oblast působnosti firmy,“ uvedl Dave Torre, zakladatel a technologický ředitel konzultační IT firmy Atomic Fission. „Budete-li pracovat na ministerstvu obrany, nemyslím si, že by bylo kdykoli akceptovatelné, abyste navštěvovali weby sociálních sítí ze zabezpečeného počítače. Pokud však budete pracovat v marketingovém oddělení, nebude vám k tomu ani zdaleka stačit 15 minut denně. Jako manažer IT musíte samozřejmě používat zdravý rozum a odpovědět si na otázku: Jak vypadá naše organizace a jak jsou tyto moderní internetové nástroje pro naše uživatele důležité?“

„Samozřejmě že stále existují weby, které v kanceláři obvykle nemají žádné legitimní místo, jako například herní, které často bývají stejně problematické jako pornografické,“ popisuje Torre. Uvedl, že mu často volají klienti hledající pomoc poté, co zaměstnanci navštívili herní stránky a byli zasaženi staženým malwarem.

Naneštěstí však blokování některých webů, jako jsou třeba herní, nefunguje vždy. „Horliví zaměstnanci mohou (a také to dělají) najít způsoby, jak zákaz přístupu ke svým oblíbeným stránkám v práci obejít, takže potenciálně vystavují vaši síť, data a dokonce i duševní vlastnictví riziku,“ uvedl Hugh Thompson, ředitel bezpečnostních strategií společnosti People Security.

„Některá obcházení pravidel mohou být nebezpečná, protože mohou vytvořit kanál, kterým by odtékala data neřízeným a nemonitorovaným způsobem. Tak způsobí nižší účinnost některých obranných systémů, jako jsou například systémy DLP (ochrana před ztrátou dat).

V následujících odstavcích uvádíme zde pět nejčastějších technik – jednoduchých i pokročilejších –, které mohou být vašimi zaměstnanci použity pro přístup k webům, jež si nepřejete, aby navštěvovali v pracovní době.

 

1: Zapsání IP adresy namísto názvu domény

„V některých případech může IP adresa blokovaného webu projít kontrolami, které se zaměřují na název domény,“ uvedl Thompson. „Existuje mnoho webů, které vám poskytnou přímou IP adresu vaší oblíbené on-line lokality.“

Například zkuste použít stránky baremetal.com, kde lze nalézt IP adresu téměř libovolného webu. Zadejte takovou IP adresu do svého prohlížeče a zobrazí se vám stránky, aniž musíte zadávat název domény.

Oprava: „Starším typem řešení by bylo použít nějaký druh databáze obsahující blacklist IP adres,“ tvrdí Torre. „Mnoho firem to tak v současnosti řeší. Mnohem lepším způsobem je však adresy IP a URL ignorovat a zkoumat data samotné webové stránky. Je to sice o něco náročnější na prostředky, ale zároveň mnohem efektivnější. Je to totiž mnohem přesnější, protože stránky jako Google a Yahoo mohou zobrazovat data i z jiných webů. Zdrojový server může být téměř vždy uveden na white listu (seznam povolených položek), takže to může vyvolat falešnou důvěru vůči škodlivému nebo nežádoucímu obsahu. Zkoumání obsahu řádek po řádku nezávisle na jeho původu lze v tomto případě opravdu doporučit.“

 

2: Hledání verze z paměti cache

„Obsah mnoha webů lze také zobrazit pomocí přístupu k verzím uloženým v paměti cache některých vyhledávačů, jako je třeba Google,“ varuje Thompson. „Ty totiž ukládají příslušné stránky do vyrovnávací paměti pravidelně – a to v podstatě znamená, že ukládají obsah odpovídajícího webu na svých serverech. Na verzi v paměti cache lze přejít například v Googlu po zobrazení výsledků vyhledávání kliknutím na odkaz „Archiv“, a přitom se stále nacházíte na adrese patřící společnosti Google, která může být podnikovým administrátorem nezablokována.

Jinými slovy, pokud zaměstnanec hledá zakázaný web prostřednictvím Googlu, nabídnou výsledky dotazu často verzi webu z paměti cache. Zákazy webů tedy někdy lze obejít zobrazením verzí z paměti cache.

„Z perspektivy zabezpečení, když uživatel surfuje po webové stránce z paměti cache, komunikuje klientský počítač s provozovatelem paměti cache, a nikoli s původním serverem,“ vysvětluje Torre.

 

3: Skrývání se za šifrování

Zadání řetězce HTTPS před adresu webu často poskytne oříznutou verzi zakázaného webu – postup lze použít jako další techniku pro získání nepovoleného přístupu.

„Existuje také SSH (Secure Socket Layer) či šifrované SOCKS – všechny tyto různé alternativní kanály se na málo inteligentních síťových zařízeních maskují jako webové přenosy,“ varuje Torre. „Pracují na portech 80 nebo 443 a fungují na základě předpokladu, že síťová zařízení budou předpokládat, že se jedná o webové přenosy – tím zajistí na tomto kanálu svou neviditelnost. Jakmile nejste vidět, můžete si dělat, cokoli chcete…“

Oprava: „Toto byl velký problém a žhavé téma na loňské konferenci RSA,“ uvádí Thompson. „Je-li obsah šifrován prostřednictvím tunelu SSL, který začíná na počítači A uživatele a končí na serveru B vně firmy, je velmi obtížné provádět kontrolu.“

Thompson uvedl, že mnoho společností nyní volí webové proxy a gatewaye, které dovolují analýzu tohoto typu obsahu vytvořením přerušení na cestě. Torre dává podobnou radu.

„Kromě výjimky zařazení in-line či transparentní HTTPS proxy brány nelze přenosy uvnitř šifrovaných relací kontrolovat. Prostě to není možné,“ zdůrazňuje Torre. „Jediným způsobem, jak problém vyřešit, je vložit něco do trasy, co zakončí relaci a vytvoří novou.“

 

4: Použití proxy serverů a dalších nástrojů pro zajištění soukromí

„Další technikou obcházení nastavených podnikových pravidel ohledně přístupu k webovým serverům je použití proxy serverů,“ tvrdí Thompson. „Zaměstnanci mohou nastavit svůj prohlížeč tak, aby jejich webové dotazy procházely šifrovaným tunelem na externí server, který jim pak může poskytnout neomezený on-line přístup.“

Například GhostFox představuje rozšíření prohlížeče Firefox, které nabízí pod kolonkou URL adresy browseru ještě další pole pro privátní přístup, kde si mohou uživatelé vybrat příslušné proxy pro zajištění soukromí.

Torre uvedl, že si sám také povšiml nárůstu použití nástrojů jako Hamachi, což je VPN nástroj pro vytváření přímého tunelu, či řešení Tor, což je „cibulovitý“ router  směrující internetová připojení přes řadu anonymních relays. Ačkoli byly toto nástroje vytvářeny se záměrem ochrany soukromí, jsou také používány lidmi, kteří chtějí skrýt své internetové aktivity před zaměstnavateli.

„Je to hra na kočku a na myš. Ať už mluvíte o Hamachi nebo Toru, lidé skrývají přenosy pomocí šifrování. Mnoho filtrovacích zařízení podnikové třídy má velmi omezenou schopnost vidět do šifrovaných kanálů,“ prohlašuje Torre.

Oprava: „Je-li proxy server nešifrovaný, potom jej můžete kontrolovat blokováním připojení proxy na vašem firewalu a sledováním obsahu webových stránek,“ tvrdí Torre. „Jsou-li však přenosy šifrovány pomocí nástroje jako Tor, stává se řízení přístupu obtížným, ne-li dokonce nemožným.“

„Existují způsoby identifikace nástroje Tor pomocí systémů, jako jsou IDS (systémy detekce narušení),“ radí Torre. „Pamatujte ale, že nástroje typu Tor a Hamachi jsou vysoce decentralizované a pracují způsobem peer-to-peer, což činí ze sledování blacklistů IP adres nekonečnou dřinu.“

 

5: Používání chytrých telefonů

„Využívání chytrých telefonů pro připojení ke Twitteru a Facebooku je zcela běžné,“ uvádí Thompson. Přestože užití osobních smartphonů obvykle nepřináší ohrožení podnikových počítačů, může jít o porušení zásad, dojde-li k přístupu na blokované weby. V některých případech mohou být blokovány weby Facebook a YouTube z důvodu zachování vysoké produktivity práce.

Přístup na tyto servery z chytrých telefonů během práce se ve své podstatě totiž fakticky nijak neliší od přístupu z firemního počítače, protože v obou případech se plýtvá pracovní dobou.

Oprava: Pokud není zařízení poskytováno zaměstnavatelem, jsou zde možnosti zabezpečení omezeny. „Zařízení jako BlackBerry, vlastněná a spravovaná firmou, mohou být omezena prostřednictvím zásad pro skupiny a pomocí proxy serverů – prakticky stejným způsobem, jako se to provádí u notebooků a stolních počítačů,“ vysvětluje Thompson.

„U zařízení bez možnosti správy a u přístrojů vlastněných samotnými zaměstnanci nelze udělat nic jiného než nedovolit přítomnost takových zařízení v budově. Pokud chtějí uživatelé přistupovat k webu z osobních přístrojů, nelze je prakticky ničím zastavit.“

„Je velmi obtížné blokovat chytré telefony a osobní notebooky, které se připojují k příslušným zakázaným stránkám přes Wi-Fi a přes sítě mobilních operátorů, protože tyto přenosy probíhají zcela jinou trasou a  nepřijdou do styku s vaší infrastrukturou,“ tvrdí Torre.

Torre uvedl, že v některých organizacích s extrémní úrovní zabezpečení, jako jsou například vládní agentury pracující s velmi citlivými informacemi, lze zvážit použití radiofrekvenčních firewallů nebo rušiček signálů. To je však hraniční opatření. Je nutno předpokládat, že chytré telefony jsou neomezitelné, dokud zaměstnanci s dobrým chováním sami nezačnou chtít plnit firemní pravidla a dodržovat je.

„Zde vám mohou pomoci spíše zásady pro pracoviště,“ dodává. Thompson upozorňuje, že úsilí zaměstnanců přistupovat k blokovaným webům často primárně nezahrnuje zlý záměr. „Ironicky je mnoho zaměstnanců motivováno k překonání restrikcí úmyslem dělat svou práci lépe,“ poznamenává.

„Může to být odeslání firemního dokumentu e-mailem na svůj účet Gmailu za účelem toho, že na něm bude dále pracovat z domova, nebo použití sítě LinkedIn k udržení kontaktu s potenciálními klienty. Tato přestoupení pravidel související se zvýšenou produktivitou vašich zaměstnanců jsou jasným znamením toho, že musíte odvést lepší práci při harmonizaci korporátních zásad s potřebami zaměstnanců.“

Pět způsobů, jak se dostat na zakázané weby (1) | Security World.cz.

Reklamy

Zanechat Odpověď

Vyplňte detaily níže nebo klikněte na ikonu pro přihlášení:

WordPress.com Logo

Komentujete pomocí vašeho WordPress.com účtu. Odhlásit / Změnit )

Twitter picture

Komentujete pomocí vašeho Twitter účtu. Odhlásit / Změnit )

Facebook photo

Komentujete pomocí vašeho Facebook účtu. Odhlásit / Změnit )

Google+ photo

Komentujete pomocí vašeho Google+ účtu. Odhlásit / Změnit )

Připojování k %s