Zarządzanie tożsamością - wprowadzenie do problemu Wojciech Dworakowski Identity XIV Seminarium
Tożsamo samość elektroniczna Odwzorowanie osoby w systemie informatycznym użytkownik, klient, współpracownik, dostawca... 2
Tożsamo samość elektroniczna Konto w systemie operacyjnym komputera, bazie danych, aplikacji,... Wpis w systemie katalogowym (Active Directory, OID, NDS, LDAP,...) Rekord w aplikacji HR (baza danych, plik testowy,...) Rekord w systemie CRM Pozycja w książce adresowej Adres e-mail?... 3
Złożoność zagadnienia - funkcjonalnośc Zakładanie użytkownika Usuwanie użytkownika Udzielanie/zabieranie dostępu do zasobów Kontrola dostępu do zasobów Uwierzytelnianie Zarządzanie hasłami Kontrola i raportowanie... 4
Typowe problemy Udostępnianie informacji Bezpieczeństwo informacji Pozostawione konta użytkowników, którzy odeszli z firmy/działu Brak stosowania zasady najmniejszych przywilejów dostęp do usług przydzielany ad-hoc bez głębszej analizy potrzeb (użytkownik mówi, że ma działać ) Administratorzy muszą wykonać wiele operacji aby udostępnić pracownikowi potrzebne mu usługi Nowy pracownik długo musi czekać na udostępnienie niezbędnej dla niego funkcjonalności Stosunkowo łatwo jest oszukać administratorów i uzyskać większe przywileje brak ścisłych procedur nadawania przywilejów 5
Przyczyny problemów Systemy informatyczne są ciągle żywe. Modyfikacje przywilejów są potrzebne niemal codziennie. Powoduje to generowanie bałaganu związanego z tożsamością użytkowników Brak ściśle wyznaczonej odpowiedzialności i odpowiedniego odwzorowania jej w systemie informatycznym 6
Złożoność zagadnienia - heterogeniczność W typowej instytucji użytkownik korzysta z wielu systemów informatycznych Konto lub zapis o osobie (tożsamość elektroniczna) jest odwzorowywane w wielu miejscach Systemy operacyjne Bazy danych Wpisy w kartotekach Systemy te są dostarczane przez wielu producentów Rozwiązania HR Bazy danych Sytemy operacyjne 7
Funkcjonalność + heterogeniczność Zakładanie użytkownika Usuwanie użytkownika Udzielanie/zabieranie dostępu do zasobów Kontrola dostępu do zasobów Uwierzytelnianie Zarządzanie hasłami Kontrola i raportowanie... 8
IdM Zakładanie użytkownika Usuwanie użytkownika Udzielanie/zabieranie dostępu do zasobów Kontrola dostępu do zasobów Uwierzytelnianie IdM Zarządzanie hasłami Kontrola i raportowanie... 9
IdM Z le c e u ży n i e za tk o w ło nika żenia Prośba o dostęp do usługi Ak cep tac ja IdM 10
Tożsamość elektroniczna a bezpieczeństwo Uwierzytelnianie Proste hasła łatwo przejąć czyjąś tożsamość Wiele haseł do różnych systemów na pewno będą proste Single Sign-On Ułatwienie (również dla intruza) De-provisioning Bardzo często w systemach pozostają konta (i dane) osób które już nie pracują Czym więcej systemów tym większy problem Podszywanie się 11
Podszywanie się W jaki sposób tożsamość elektroniczna jest reprezentowana w systemie informatycznym? Zwykle po uwierzytelnieniu z danym użytkownikiem jest kojarzony identyfikator odwzorowanie danej osoby z daną aplikacją (sesja) Aplikacje WWW konto w aplikacji identyfikator sesji aby przejąć tożsamość można wykraść login credentials albo... identyfikator sesji Kerberos token użytkownika 12
Nie tylko pracownicy Aplikacje internetowe konta klientów np. bankowość elektroniczna Ekstranety potrzeba zarządzania użytkownikami i grupami użytkowników z firm partnerskich Dane osobowe przetwarzane w systemie informatycznym 13
Ustawa o ochronie danych osobowych Rozporządzenie MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych (...) 5 Instrukcja (...), zawiera w szczególności: 1. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym (...) 7 1. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym (...) system ten zapewnia odnotowanie: 1) daty pierwszego wprowadzenia danych do systemu; 2) identyfikatora użytkownika wprowadzającego dane osobowe do systemu (...) 2. Odnotowanie informacji, o których mowa w ust. 1 pkt 1 i 2, następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych. 3. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1. 14
Ustawa o ochronie danych osobowych Załącznik do Rozporządzenia środki bezpieczeństwa pkt IV: 1. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie. 2. W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 6 znaków. W wytycznych liczne odnośniki co do usuwania użytkowników systemu, blokowania dostępu, itd. W zasadzie cała ustawa odnosi się do zarządzania tożsamością elektroniczną (dane osobowe przetwarzane w systemie informatycznym) 15
Korzyści Zmniejszenie nakładów na administrację Zwiększenie produktywności Możliwość odwzorowania procedur w systemie IdM (workflow) Lepsza kontrola Szybkie raportowanie Zwiększenie bezpieczeństwa (o ile IdM jest rozsądnie wdrożony) 16
Co należy y wziąć pod uwagę wybierając c rozwiązanie zanie IdM? WAŻNE: Patrzeć w przyszłość! Współpraca z usługami (aplikacjami) obecnie funkcjonującymi w firmie Elastyczność w adaptowaniu rozwiązania do nowych usług sposoby rozszerzania do nowych usług, API, język skryptowy wsparcie Możliwość współpracy z systemem HR Z jakimi usługami katalogowymi współpracuje i w jakim zakresie? Możliwość łatwego odwzorowania funkcjonujących w instytucji procedur, odpowiedzialności, etc Szybkie i wygodne generowanie raportów potrzebnych dla zgodności z ustawami, normami, etc. 17
Najsłabsze absze ogniwo Uwaga: Systemy IdM to nie wszystko! Równie ważne (ważniejsze?) są procedury towarzyszące... i odpowiednio przeszkolony personel 18
Co jest potrzebne żeby ukraść tożsamo samość? Przykład: Bankowość elektroniczna Dostęp przez internet i telefon W założeniach: Do skutecznego podszycia się pod właściciela konta potrzebne jest: znajomość identyfikatora użytkownika znajomość hasła do bankowości internetowej lub telecentrum lista haseł jednorazowych (autoryzowanie transakcji) 19
informacje łatwo dostępne Scenariusz ataku coś co mam coś co wiem 1. Telefon do telecentrum identyfikacja za pomocą X ostatnich cyfr nr konta po 3 błędnych próbach podania kodu dostępu przekierowanie do konsultanta nie pamiętam identyfikatora klienta Procedura identyfikacji (imie nazwisko, nazwisko panieńskie matki, imiona rodziców, nr telefonu komórkowego) Uzyskałem identyfikator klienta 2. Telefon do telecentrum, podanie id klienta i połączenie z konsultantem nie pamiętam kodu dostępu do telecentrum nowy kod dostępu podano mi po oddzwonieniu na komórkę 3. Analogicznie zresetowałem hasło do internetu (już bez oddzwaniania) 4. Telefon do telecentrum, identyfikator + kod dostępu, połączenie z konsultantem zmieniłem adres zamieszkania, podałem nowy adres 5. Połączenie z bankowością internetową zamówiłem nową listę kodów jednorazowych 20
Co jest potrzebne żeby ukraść tożsamo samość? W założeniach: Do skutecznego podszycia się pod właściciela konta potrzebne jest: znajomość identyfikatora użytkownika znajomość hasła do bankowości internetowej lub telecentrum lista haseł jednorazowych (autoryzowanie transakcji) W rzeczywistości wystarczy: znajomość danych łatwych do zdobycia (imie nazwisko, nazwisko panieńskie matki, imiona rodziców, nr telefonu komórkowego, nr konta, PESEL) możliwość odbierania rozmów na nr telefonu komórkowego (kradzież, skopiowanie karty SIM, przekierowanie rozmów) Do przekierowania rozmów wystarczy chwilowy dostęp do telefonu 21
Przyczyny Tożsamość użytkownika jest związana z jej elektroniczną reprezentacją Presja cięcia kosztów okienka w banku zastępowane są obsługą przez telefon i internet. Instytucje unikają kontaktu twarzą w twarz (analogicznie administratorzy ;) Brak kojarzenia zdarzeń anonimowość kontaktu Systemy zarządzania tożsamością to nie wszystko, potrzebne są jeszcze procedury dostosowane do specyfiki danej usługi i firmy...i odpowiednio przeszkoleni pracownicy (?) wyczuleni na potencjalne manipulacje 22
Pytania? Dziękuję za uwagę Wojciech Dworakowski wojciech.dworakowski@securing.pl http://www.securing.pl Rynek Podgórski 2/7, 30-533 Kraków tel/fax. (12) 656 71 05 23