Je naše práce na vzdálené ploše v bezpečí?

Vloni časopis Forbes publikoval článek, ve kterém na jednotlivých příkladech argumentoval, že s použitím správných nástrojů může libovolnou firmu řídit i ten, kdo do ní nikdy nevkročil. Ať už jde o nadsázku, nebo ne, pro nás je podstatné, že článek také vyjmenovává několik zaměstnaneckých pozic (takových, které najdeme v každé společnosti), které mohou vykonávat své povolání na dálku. Patří k nim kromě šéfa firmy a projektových manažerů také kreativci a třeba IT podpora. Před rokem ale nikdo netušil, že pracovat na dálku se budeme muset naučit všichni, a to poměrně rychle. 

Při čtení onoho článku si však čtenář mohl povšimnout zajímavého úkazu. Když u každého jednotlivého povolání autor pojednává o oněch správných nástrojích, které umožňují efektivní vykonávání práce na dálku, ve všech případech se zde vyskytuje hrstka společných. Takových, které jsou užitečné, ba možná nutné pro každého pracujícího uživatele. Jedním z nich je cloud, dalším komunikátor a tím posledním je vzdálená plocha.

Vzdálená plocha zažívá novou renesanci

Možnost připojit se na dálku k firemnímu počítači nebo pracovní stanici se v kontextu článku může jevit na první pohled překvapivě. Přece jen, vlastní počítač má dnes doma každý uživatel, přístup k souborům máme díky úložištím odkudkoliv. Tak k jakému užitku by nám vzdálená plocha asi tak mohla být? Zmíním jen tři důvody: licence programů, výkon a bezpečnost. 

Velké množství profesionálního softwaru je licencováno tak, že se právně vztahuje k počítači, na kterém je nainstalováno, a takový software tedy není přenosný mezi zařízeními. Při cenovkách nástrojů pro grafiky, střihače nebo jiné profesionály je nemyslitelné, aby firma dokupovala další licenci jen proto, že tito lidé musejí pracovat z domu. S tím souvisí i druhý jmenovaný důvod, výkon. Nejen tito uživatelé ke své práci potřebují velkou výpočetní kapacitu. Vzdálené připojení k pracovní stanici je pro ně mnohem smysluplnější něž se snažit tvořit složitou 3D grafiku doma s výkonem notebooku. 

A nakonec ona bezpečnost. Téměř každému zaměstnanci se pod ruku dostanou firemní dokumenty, výsledky projektů nebo jiná data, kterých si společnost cení natolik, že je odmítá uložit jinam než na vlastní servery. Tato data musejí zůstat v bezpečí a pod kontrolou, což na obecně hůře chráněném počítači řadového zaměstnance rozhodně nejsou. Při používání vzdálené plochy se typicky přenáší jen obraz ze zdrojového počítače, a tak soubory a data zůstávají v chráněném firemním prostředí. Jenže i připojení a přenos obrazu je určitý datový tok, a jelikož platí staré pořekadlo, že to, co je v pohybu, je vidět z větší dálky, může být most mezi vaším počítačem a firemním serverem zároveň vstupní branou problémů.

Současné útoky cílí na Windows

Na začátku dubna americká kyberbezpečnostní společnost SANS Institute vydala prohlášení a statistiku, podle které se od března 2020, a tedy od počátku pandemických opatření, zvýšil zájem hackerských skupin o protokoly vzdálených ploch (takzvaných Remote Desktop Protocol) celosvětově o 30 %. Hackeři tak logicky využívají situace. 

Největší nárůst pokusů o průniky se ale týkal specificky jednoho z RDP protokolů. Přesněji toho, který známe ze systémů Windows. Toto řešení, nativně distribuované s operačním systémem, představuje pro útočníky nejlákavější sousto. V počeštěných „desítkách“ ho můžeme najít pod jednoduchým jménem Vzdálená plocha. Proč se útočí především na něj? Jako součást oblíbeného operačního systému ho využívá velké množství firem a jde o jednoduchý a levný nástroj, jak přes grafické rozhraní ovládat vzdálený počítač. Především právě kvůli popularitě je častým cílem hackerů. 

Důvodem také je, že již v minulosti tento protokol pro jeho nedostatečnou ochranu odborníci kritizovali. Ta je nyní na vyšší úrovni, ale protokol už útočníci dobře znají a nyní do svých pokusů zapojují nové možnosti automatizovaných, takzvaných brute-force útoků. Při těch automatizované skripty zkoušejí různorodé kombinace uživatelských hesel a přihlašovacích ID ve snaze otevřít si přístup do sítě. Brute-forcing není nijak zvlášť sofistikovaný způsob útoku, jeho síla však tkví ve vysokém podílu automatizace. Analýza společnosti Kaspersky hovoří o 100 až 150 tisících pokusech o průnik za jediný únorový den. Ke konci března, bezprostředně po zavedení pandemických opatření, se denní útoky v globálním měřítku už vyhouply k jednomu milionu. 

Úspěšnost průniku je statisticky malá, ale algoritmy se vylepšují a na straně hackerů stojí nejvýznamnější spojenec: čas. I když restrikce opadnou a část uživatelů se vrátí do firem, a tedy do lépe zabezpečeného prostředí firemních sítí, mnoho zaměstnanců bude pracovat z domu i nadále.

Zabezpečení vzdálené plochy poněkud obecně

Ať už firma využívá ke vzdálené práci libovolnou platformu, jsou doporučení odborníků podobná. Je žádoucí použít k ochraně serverů unikátní a dlouhé heslo s náhodnými znaky. Naprostou samozřejmostí je také začlenění co nejvíce vrstev pro multifaktorovou autentizaci, to znamená kromě sítě samotné zabezpečit také všechna zařízení, která k ní mají přístup, od pracovních stanic po koncové přístroje.Také se doporučuje ke službě přistupovat jen skrz zabezpečenou firemní VPN síť. 

Pro potřeby vyššího bezpečí při práci s RDP společnost Microsoft nabízí možnost nastavit bránu, která implementuje další možnosti autentizace. V případě, že pro vás nyní neexistuje možnost nastavit firemní VPN, je vhodné povolit přístup ze vzdálené plochy jen omezenému množství uživatelů, popřípadě alespoň pro tento typ připojení omezit práva a přístup k některým funkcím a souborům. Tím případným útočníkům ještě zkomplikujete přístup ke svým cenným datům.  

Spouštět vzdálenou plochu přes vlastní VPN ale může být pro mnohé společnosti obtížné, neboť mnoho uživatelů se do vnitrofiremních sítí připojuje z dynamické IP adresy. Problémem, který Windows RDP stále pálí, tkví v zabezpečení portu 3389, který je dedikovaný právě pro službu vzdálené plochy. Pokud se jeho prostřednictvím dá připojit bez dostatečné autentizace, je pro útočníky velmi snadné ho objevit a útoky cílit přes něj. Je možné ho po dobu neužívání vzdálené plochy zavřít, ale v takovém případě ztrácí síť svou pružnost a připojit se k ní může pracovník jen v tom případě, že se dopředu domluví s adminem sítě.

Bez rizik to není dost dobře možné

Je třeba si uvědomit, že každá služba vzdálené plochy, ať už funguje na bázi VPN, nebo cloudu, představuje určité nezanedbatelné bezpečnostní riziko. Existuje mnoho alternativ v podobě aplikací třetích stran, které se honosí známkou vysoké ochrany, ale v historii každé z nich najdeme pomyslné černé puntíky z dob, kdy se útočníkům podařilo prolomit i jejich zabezpečení.  

Typickým příkladem je nenáročné a uživatelsky přívětivé řešení TeamViewer, které si získává čím dál větší oblibu mezi malými a středními firmami. I s pokročilým šifrováním, připojením prostřednictvím cloudové platformy a dvoufázovým ověřováním jsme se v roce 2016 a 2017 mohli setkat hned s několika zprávami o úspěšných útocích na firmy, které aplikaci v té době používaly. 

Podobným příkladem může být Google Remote Desktop. Multiplatformní řešení pro fungování vyžaduje prostředí prohlížeče Chrome, je propojené s jednotlivými uživatelskými účty Google, funguje přes zabezpečený cloud a k autentizaci každého připojení vyžaduje zadání PINu. V roce 2018 však samotný webový prohlížeč Chrome získal aktualizaci, po které se mohl nový uživatel pojmenovaný jen jako Guest User připojit s administrátorskými právy do již probíhajícího přenosu bez zadání hesla. Na tuto zero-day zranitelnost se naštěstí rázem přišlo a byla opravena. 

V podobném duchu bychom mohli pokračovat. Naštěstí stejně tak jako sílí množství a razance útoků sílí i ochrana jednotlivých protokolů. Nedá se tedy říct, že by současná situace nahrávala do karet jen zločincům. Vždyť za poslední měsíce jsme svědky nebývalého rozvoje nástrojů pro vzdálenou spolupráci a mezi nimi i těch, které mají zprostředkovat spojení a přenos grafického prostředí mezi pracovní stanicí a koncovým uživatelem. Investice do těchto platforem jsou vyšší než kdy dřív a s vlastním řešením už přišla většina velkých technologických firem. Podle většiny expertů jsou nástroje, které máme k dispozici, po bezpečnostní stránce dostatečné. Jen je třeba být obezřetný a neponechat nic náhodě.