V poslední době vidím podobná zpravodajství jako v níže odkázaném videu nějak často. A pokaždé mi otázka duševní způsobilosti správců serverů přichází na mysl. Nemohu se tomu nějak ubránit. Ale věc je, samozřejmě, složitější.
Bret Baier: Sources say Clinton server hacked by foreign intelligence agencies
Jsou správci serverů politiků a celebrit opravdu nekompetentní?
Vždy po přečetení nebo zhlédnutí zpravodajství podobnému tomuto se ptám, jestli si opravdu všechny celebrity a zejména politici najímají na správu svých kritických dat nekompetentní osoby. Otázka se aktuálně téměř vnucuje. Protože pokud je pravda, co tvrdí zdroje z FBI, na „tajném“ poštovním serveru Hillary Clintonové se vystřídalo nejméně 5 zahraničních agentur.
První otázkou je, jak se FBI dozvěděla, že se jednalo o konkurenční agentury? Pokud vyhodnocuji vektor útoku nebo čistím napadený server, informace o jeho zdroji pro mě končí u IP adres TOR serverů nebo nějakých veřejně přístupných proxy serverů. Pokud pomineme spekulace o možnostech kontroly sítí TOR americkými tajnými službami (které považuji za dezinformaci), nabízejí se nám v zásadě pouze dvě možnosti:
- Jedná se pouze o předvolební prohlášení pro tisk, které má z FBI udělat vševědoucího ochránce USA. Budiž. Upřímně doufám, že se jedná pouze o takovýto žvást.
- Druhá možnost je podstatně znepokojivější. FBI opravdu analyzovalo vektor, případně vektory útoku. Znají je a ví, které zpravodajské agentury je znají také. Zároveň ale nejsou tyto vektory útoku veřejně známé. Potom by je totiž mohl použít kdokoli! To je opravdu ta horší varianta, co říkáte? (Stejné to bylo i se zranitelností HeartBleed, kterou CIA využívala několik roků.)
Pokud se o problém s napadeným serverem začnete zajímat blíže, záhy skončíte v neuvěřitelném informačním proplatenci. Malou ochutnávku najdete třeba [1] na Wikipedii nebo [2] zde, na webu shrnujícím fakta o Clintonových.
Z informací ve výše uvedených zdrojích vyplývá, že nejprve byl server spravován naprostým amatérem, později jakousi počítačovou firmou. Rozumné jednání od amatéra asi nelze očekávat. U počítačové společnosti bych ale předpokládal, že server dokáží zabezpečit. (I když, zabezpečit Windows s Exchange, to je téměř oxymóron, zejména u historických verzí.)
Přesněji řešeno, od odborníků bych očekával, že dokáží server obalit bezpečnostní a sledovací infrastrukturou, a na pokusy o útoky přiměřeně reagovat. Nemusíte být přece špičkový bezpečnostní expert, aby vám bylo jasné, že server s takovýmto explozivním obsahem je pro útočníky lákavá lahůdka! Samostatný server v datovém centru proti dostatečně motivovaným útočníkům s neomezeným rozpočtem spolehlivě zabezpečíte jen stěží.
Pokud jej však umístíte do demilitarizované zóny, obalíte jej IDS/IPS systémem, a monitorujete dění, vaše možnosti se značně zvyšují i proti takovýmto dobráčkům. Minimálně získáte dokonalý přehled, a dozvíte se o pokusech, i o úspěšných útocích. Jejich následky potom můžete relativně úspěšně eliminovat, a opakování útoku znemožnit. (Ani se zde nezmiňuji o kvalifikované správě samotného serveru. To je naprostá samozřejmost.)
Jediné, co mohu v oblasti zabezpečení pochválit je, že byl podle informací vždy používán fyzický server. To jediné, co snad mohli udělat ještě hůře, bylo umístit server na nějaký veřejný cloud v Číně. Pak už bych si myslel, že ta počítačová společnost je expoziturou 6. agentury … (To byl jen nepříliš podařený pokus o vtip.)
Co z těchto faktů vyplývá?
Netvrdím, že běžné servery musí být zabezpečovány takovouto infrastrukturou. Ale pokud má politik, v tomto případě Hillary Clintonová, alespoň v minimální míře pud sebezáchovy, musí přece takováto základní opatření, u dat pro ni takto nebezpečných, schválit.
Proč došlo k takovémuto trestuhodně lehkomyslnému postupu je mi záhadou. Šetřilo se? To nepovažuji za vůbec možné. Peníze, které by to stálo, jsou pro rodinu Clintonů pouhou kapkou v moři. A šlo tady přece opravdu o hodně! Jednalo se o nekompetentnost administrátorů? Zveřejněné informace tomu nasvědčují. Za své praxe jsem viděl příšerné věci spáchané tzv. „odborníky“. Myslím tím odborníky na nestydaté čerpání peněz od zákazníka, a to za pokud možno nulovou práci.
Definitivní závěr nelze udělat, nemáme k tomu dostatek spolehlivých informací. Stále mi ale hlava nebere, proč počítačové systémy, které obsahují natolik citlivá data, že fatálně ohrožují své majitele, bývají často tak zoufale špatně zabezpečeny. A to i v případech, kdy v zásadě o peníze nejde.
Příčinou zřejmě bude, že celebrity a politici přenechávají správu takovýchto systémů těm, komu důvěřují. Tedy svým kamarádům, namísto odborníkům. A výsledky tomu, bohužel, odpovídají.
Pokud jste se někdo dostal k bližším informacím o vektorech tohoto útoku, dejte mi vědět. Těším se také na vaše komentáře. :-).