Disky - likvidujete data správně?

Většina organizací, jejichž procesy jsou závislé na IT, dnes implementuje v rámci své infrastruktury ochranné mechanismy pro zajištění důvěrnosti, integrity a dostupnosti dat, sítí, i dalších kritických systémů. Zabezpečení dat v produkčních systémech je tradičně věnována značná pozornost, jedním z aspektů, které však obvykle bývají opomíjeny, je bezpečnost dat spojená s vyřazovanými paměťovými médii. Ta jsou tak velmi často odprodávána specializovaným společnostem a bazarům, aniž by na nich obsažená data byla korektně zlikvidována. V rámci výzkumu zaměřeného na zjištění složitosti získání důvěrných dat neoprávněnou osobou analyzovali bezpečnostní specialisté ze společnosti Alef Nula několik pevných disků, původně užívaných v infrastruktuře jisté nadnárodní společnosti. Podařilo se jim při tom nalézt velké množství uživatelských i firemních dat, která by pro potenciálního útočníka nebo konkurenční společnost mohla mít extrémně vysokou hodnotu.

Úroveň bezpečnostního povědomí ve společnosti se neustále zvyšuje. Jedním z důvodů je vedle legislativních požadavků, kladených na některé organizace Zákonem o kybernetické bezpečnosti, případně snahy vybraných firem o získání certifikace dle určitého standardu, i zvýšená publicita, které se dostává kybernetickým útokům, a také skutečnost, že organizace jsou si dostatečně vědomy nezbytnosti korektně fungujícího IT pro zajištění svých činností. Procesní i technická bezpečnostní opatření se tak dnes stávají běžnou součástí informačního prostředí většiny organizací a jen výjimečně je možné se setkat s korporátní infrastrukturou, v níž není na úrovni sítě implementována ochrana firewallem, nebo v níž na koncových zařízeních není instalované nějaké antimalware řešení.

Vedle zajištění fungování systémů kritických pro zajištění hlavních procesů dané organizace je při zavádění bezpečnostních opatření zpravidla primárním zájmem také ochrana jejích dat. Ať už se jedná o informace o organizační struktuře, obchodní či výrobní tajemství nebo smlouvy s dodavateli a odběrateli, zachování důvěrnosti (a samozřejmě i integrity a dostupnosti) těchto dat je z pochopitelných důvodů pro danou organizaci nezbytné. V produkčním prostředí je za tímto účelem standardně implementována široká škála bezpečnostních opatření. Mimo něj – v rámci testovacích prostředí nebo u zařízení z produkčního prostředí vyřazených – však často není bezpečnost dat zohledněna vůbec a je tak možné setkat se s de-facto nezabezpečeným testovacím prostředím, které navíc obsahuje provozní data, nebo s vyřazeným zařízením, na němž se buď „ostrá“ data stále nacházejí, nebo z nějž byla smazána způsobem, který umožňuje jejich obnovení.

Při běžném smazání dat, které provádí například uživatelé při odstraňování souborů, nedochází k fyzickému přepsání původních dat, jen k označení paměťového prostoru, kde se daný soubor nacházel, za volný/k dispozici pro zápis jiných dat. Pomocí volně dostupných nástrojů je tak často možné jednoduchým způsobem takto „smazané“ soubory obnovit. Nejčastěji užívaný postup pro rychlou likvidaci všech dat na paměťových médiích je principiálně velmi podobný – dochází při něm k likvidaci informací o umístění souborů na disku, o diskových oddílech a souborovém systému, ale vlastní data obsažená v jednotlivých souborech jím v podstatě nejsou dotčena. Existují nástroje, které umožňují provést přepsání (i vícenásobné) celého paměťového média náhodnými nebo uživatelem nastavenými daty a zajistit tak neobnovitelnost původního obsahu. Popsaný postup je poměrně bezpečný, je nicméně velmi náročný na čas, což je důvodem jeho řídkého používání.


Vzhledem k relativně nízké ceně paměťových médií některé organizace při jejich vyřazování z aktivního užívání přistupují k jejich fyzické likvidaci. Značný počet organizací však paměťová média po smazání dat odprodává specializovaným firmám a bazarům k dalšímu použití. Přestože v některých případech jsou užity výše popsané techniky bezpečné likvidace dat, v mnoha případech jsou média odprodávána pouze po smazání/přepsání informací o diskových oddílech. Výjimečně je pak možné setkat se s paměťovým médiem, na němž nebyl před prodejem aplikován ani jeden z výše uvedených postupů a po jehož připojení jsou tak na něm obsažená data bez jakýchkoli specializovaných nástrojů volně čitelná.
V rámci výzkumného projektu s cílem zjistit složitost získání citlivých organizačních dat analyzovali bezpečnostní specialisté společnosti Alef Nula několik pevných disků odprodaných jistou nadnárodní společností se zastoupením v České Republice. Uvedené disky byly mazány pomocí výše uvedené ne-zcela bezpečné metody, v jednom případě pak byla data na pevném disku ponechána ve zcela čitelné podobě. Získání přístupu k datům z těchto médií pomocí specializovaných nástrojů tak bylo relativně jednoduché. Jak dokládají následující odstavce, obsažené informace byly citlivé jak z pohledu uživatelů systémů, z nichž disky pocházely, tak z pohledu dané organizace.

 

Z obsahu pevných disků bylo pochopitelně velmi jednoduché určit organizaci, v rámci níž byly užívány. Vzhledem k tomu, že se na nich nacházely mimo jiné i kopie obsahu e-mailových schránek, určení identity původních uživatelů i jejich zařazení v rámci organizace bylo obdobně triviální, stejně jako zjištění značné částí organizační struktury. Díky záznamům komunikace s externími subjekty a kopiím pracovních kalendářů bylo také možné odvodit pravděpodobnou provázanost dané organizace s externími společnostmi a vnitrofiremní i soukromé aktivity a vztahy jednotlivých uživatelů.
Mezi nejcitlivější objevená korporátní data patřily finanční nabídky a smlouvy se zákazníky a dodavateli, nalezené na pevném disku původně užívaném zástupcem středního managementu dané organizace, spolu s technickou dokumentací a informacemi o výrobních postupech a plánech. Mimo nich se na discích nacházely též faktury, reklamační protokoly a informace o SW i HW systémech užívaných v rámci infrastruktury organizace. Mezi daty byly dále také životopisy žadatelů o zaměstnání v organizaci. Za zmínku stojí, že dohromady pokrývala analyzovaná data dobu 10 let.

Nejcitlivější soukromá data tvořily osobní údaje uživatelů (která navíc podléhají zákonné ochraně dle zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů), smlouvy a informace o bankovních účtech. V rámci e-mailové schránky jednoho z uživatelů se rovněž nacházela zpráva se záznamem výplatní pásky. Uvedený záznam byl zašifrovaný, v těle doprovodného e-mailu byl však popsán postup generování hesla (libovolný útočník, který by znal uživatelské jméno dané osoby, by díky uvedenému návodu musel pro dešifrování vyzkoušet maximálně tisíc různých hesel) a uvedené opatření tak de-facto pozbývalo smyslu.

Obecně lze říci, že data z analyzovaných pevných disků by mohla být vysoce hodnotná jak pro potenciálního útočníka, tak pro de-facto libovolnou konkurenční organizaci. Uvedená problematika úzce souvisí s ochranou osobních údajů (viz shora uvedený zákon č. 101/2000 Sb., ve znění pozdějších předpisů), zejména pokud jde o povinnosti správce osobních údajů při jejich likvidaci. Nedodržení povinností správce osobních údajů v rámci likvidace osobních údajů může mj. vyústit v uložení sankcí, které citovaný zákon upravuje.

Zjištění specialistů společnosti Alef Nula by tak měla sloužit jako doklad potřeby vhodným způsobem chránit firemní data nejen v produkčním prostředí i mimo něj, a také nutnosti fyzicky likvidovat paměťová média při jejich vyřazování, nebo alespoň zajistit skutečně bezpečné smazání na nich obsažených dat.

Jan Kopřiva

CSIRT Coordinator