Správa hesel

Dnešní článek bude trochu kratší, avšak o to důležitější. Chci se s vámi podělit o způsob, jak nakládáme s hesly k naším zákazníkům. Je to velice důležitá věc, protože každá IT firma vlastní „klíče“ od veškerých dat a systémů všech svých zákazníků. Pokud to nedělá svědomitě, může tím své zákazníky poškodit, nebo zlikvidovat (ztráta dat, zastavení systémů, únik tajných informací). Myslím, každý zákazník by se měl zeptat svého IT správce, jak hlídá/nakládá s hesly k jeho systémům.

Nejdříve však pro „odlehčení“ atmosféry popíši, s čím jsem se už setkal.

S čím jsem se setkal

Používání jednoho hesla na vše

Jednou jsme přibírali pod správu zákazníka, který nedostal od svého bývalého IT správce žádná hesla. Není to o tom, že by se přebrání IT správy bez hesel nedalo udělat. Jen to proces zpomalí. Do některých systémů je třeba se „nabourat“ a některá zařízení restartovat do továrního nastavení. Následně zkusit zrekonstruovat nastavení. V tomto případě se mi však přes SNMP podařilo vyčíst konfiguraci switche a z ní získat heslo k jeho administraci. Shodou náhod to bylo univerzální heslo, které odemklo všechno – i účet doménového administrátora!

Podobný je i případ u dalšího zákazníka, kde správce nastavil do multifunkční tiskárny účet doménového administrátora. Nejspíše proto, aby mohla tiskárna skenovat přes SMB do všech složek na serveru. Samozřejmě nebyl problém si heslo z tiskárny vytáhnout. Obzvlášť, je-li k rozhraní administrace tiskárny ponecháno výchozí heslo. 😊

Nejspíše ani v jednom případě administrátor nevěděl, že se dá heslo ze zařízení vytáhnout. Na to se však nemůžete spoléhat. Raději počítejte, že všechna hesla je možné zjistit. Zároveň není možné používat ke všemu 1 stejné heslo. Počítačový virus to možná zastaví, ale lidského útočníka nikoliv. Takové firmy pak fungují jen díky tomu, že se je ještě nikdo nepokusil nabourat.

Používání jednoho hesla u více zákazníků

Minulý rok jsme přebírali firmu, která byla nespokojená se svým bývalým externím IT správcem. Vše proběhlo v přátelském duchu. Dostali jsme nový účet doménového administrátora. Předali nám hesla ke všem ostatním zařízením. Při auditu jsem na jednom serveru narazil v plánovači úloh na uložené heslo k jejich firemnímu uživatelskému účtu. Ze zvědavosti jsem heslo vytáhl (abych věděl, jak komplexní hesla používají). Jelikož jsem byl hodně zvědavý, zkusil jsem, zdali náhodou nebude fungovat toto heslo i u jiných zákazníků této IT společnosti. Neuvěříte mi, na co jsem přišel. Ta firma používala stejné heslo pro doménové administrátory napříč svými zákazníky. Myslím, že už to není třeba dále komentovat. Btw. to heslo máme dodnes a je stále platné. Takže jestli se v těchto řádcích někdo poznal, raději si hesla změňte. 😊

Tuším, že takových „provinilců“ bude více. Nejednou se nám stalo, že nám nějaká firma nebyla schopná poskytnout heslo pro správu ihned, ale až po pár dnech. Že by to heslo museli nejdříve změnit, než nám ho dají?

Myslím, že k takovému jednání se firmy uchylují proto, že nemají žádný nástroj pro správu hesel. Jenže nějakým způsobem mezi sebou hesla sdílet potřebují. Tak pak prostě existují 4 hlavní hesla, která všude používají. Je to však nebezpečné pro zákazníka. Heslo někde uteče – např. jej zadají na kompromitovaném počítači, někdo ho odpozoruje přes rameno, nebo jej někde omylem uloží. Zároveň nevím, jak řeší situaci, když z firmy odchází někdo, kdo to heslo zná. Není podle mne pak reálné jej na stovkách míst změnit (zvlášť když se ani neví, kde všude je).

Správa hesel v Excelu a správci hesel

Už jsem potkal více IT outsourcing firem a interních IT oddělení, co sdílí/spravují hesla v Excelu. Popravdě jsem to nejprve považoval za divné mi to, protože k takovým účelům nebyl Excel zrovna navržen. Koukal jsem však na sílu šifrování Excelových souborů a ta je od verze Excel 2007 (XLSX formát) přijatelná, takže v tomto ohledu asi nemám co namítnout – samozřejmě pokud použijete silné heslo. Nevýhody však vidím v tom, že neexistuje audit přístupů k heslům. Soubor (tudíž všechna hesla) lze jednoduše zkopírovat a nedají se řídit oprávnění.

Dále si dokáži představit správu hesel v password manageru (ideální pro jednotlivce). Aplikace jsou určené přímo pro správu hesel, adekvátně k tomu je nastavena úroveň šifrování databáze. Alternativou pak může být nějaký online password manager (hesla jsou v cloudu a vy k nim máte vždy přístup). Myslím, že to jsou fajn varianty. Mějte však na paměti, že to neznamená, že jste naprosto v bezpečí.

Například pokud máte otevřený password manager, může vám „master password“ (heslo potřebné k odemčení databáze hesel) vyčíst jiná aplikace (např. https://github.com/HarmJ0y/KeeThief). V kombinaci s Bash Bunny získám heslo i samotnou databázi za 20 sekund. 😊 Jeden hacknutý online password manager jsme tu už taky měli – OneLogin. A mobilní aplikace pro správu hesel také nedopadly nejlépe – 9 Popular Password Manager Apps Found Leaking Your Secrets. Je třeba opatrnosti.

Jak spravujeme hesla my

Správu hesel jsem bral vždy vážně. Přišlo by mi neprofesionální používat slabá a neunikátní hesla.  Proto u všech zákazníků používáme unikátní a komplexní (náhodná) hesla, která jsou různá pro každý účet, zařízení nebo webovou stránku. V současné době máme v databázi přes 2.500 unikátních hesel. Abychom to zvládli, používáme k tomu samozřejmě nástroj.

Zde si dovolím ještě jednu malou odbočku. Pro útočníka/penetračního testera není nic krásnějšího než „recyklace“ hesel (používání stejného/šablonovitého hesla na více místech). Za poslední roky došlo k velkému počtu úniků přihlašovacích údajů ze známých služeb (MySpace, Adobe, Badoo, Mall.cz, Dropbox, LinkedIn, Last.Fm, Badoo, Tumblr a další). Když pak známe něčí e-mailovou adresu, tak v uniklých databázích zkusíme dohledat i heslo. Toto heslo pak testujeme oproti dalším službám a věřte mi, že to funguje – vše zabere jen pár desítek minut.

Zda jsou vaše přihlašovací údaje volně na internetu si snadno zkontrolujte sami na stránce: Have I Been Pwned?

Již od počátku PATRON-IT používáme Secret Server od firmy Thycotic. Jedná se o webovou aplikaci pro správu hesel, kterou máme hostovanou na vlastním serveru (nechci dávat takto citlivá data do cloudu).

Výhody práce se Secret Serverem:

• Každý máme do Secret Serveru své přihlašovací údaje.
• Auditujeme, kdo k jakým heslům přistupuje (Thycotic má i nadstavbový modul analýzy chování a detekce zneužití „Privileged Behavior Analytics“, ten však zatím nemáme).
• Každý má přístup pouze k heslům, které ke své práci potřebuje.
• Není možné běžnou cestou zkopírovat celou databázi.
• Umožňuje uživatele spojit na RDP či SSH serveru, aniž by mu zobrazil heslo (má Proxy moduly). V případě Proxy modulů umí nahrávat video RDP session a text SSH session (nahrávání však také vyžaduje addon).
• Umí sám měnit hesla k řadě služeb (Windows, Active Directory, LDAP, SSH, telnet …). To se hodí například pro pravidelnou změnu hesel (např. 1 x měsíčně) nebo nárazově (např. při odchodu zaměstnance).

Závěr

Pokud se vám Secret Server líbí, vyzkoušejte si bezplatnou verzi Secret Server Free. Jen je omezená funkcionalitou a počtem uložených hesel. Placená verze už je poměrně drahá. 🙁 Thycotic před pár lety přešel na partnerský prodej (dříve distribuoval napřímo) a několikanásobně zdražil.

Pokud by se vám hodil i systém pro dokumentaci, podívejte se na ITGlue. Mají systém pro vedení dokumentace, který zahrnuje i správu hesel. Jednu chvíli jsem nad ním taky uvažoval.

Jak řešíte správu hesel vy? Máte také nějaké „veselé“ historky ze svého okolí?

EDIT 19.3.2018: Nasadili jsme nový systém pro správu hesel, přečtěte si co umí: Správa hesel 2: nasadili jsme nový systém pro správu hesel