Vyšlo v týdeníku Computerworld č. 22/94 v roce 1994
Vytištěno z adresy: http://www.earchiv.cz/a94/a422c120.php3

Masquerade

Lidé dnes svěřují počítačům i velmi důležitá data. Někdy dokonce taková, na kterých doslova závisí lidské životy (jako například u různých informačních a řídících systémů systémů ve zdravotnictví). Ještě častěji však lidé svěřují počítačům taková data, která se mohou stát zdrojem prospěchu, nejčastěji finančního - dostanou-li se do rukou nepovolaným osobám, mohou-li je nepovolané osoby změnit apod. Není proto divu, že se objevují stále promyšlenější a propracovanější metody ochrany dat proti neoprávněnému přístupu, a s nimi pak stále promyšlenější a propracovanější metody jejich obcházení.

Jedna ze zajímavých technik, které se používají na "zlé straně" barikády, nese v angličtině velmi výstižné označení masquerade (doslova: maškaráda). Spočívá v tom, že určitá entita (tj. uživatel, program, proces) se vydává za někoho jiného, než kým ve skutečnosti je (tj. za jinou entitu). Jejím cílem přitom je využít oprávnění té entity, kterou předstírá, a získat přístup k takovým zdrojům (typicky datům), ke kterým sama přístup nemá.

Doslova živnou půdou pro nejrůznější "maškarády" je prostředí počítačových sítí a datových komunikací obecně. Zde jsou totiž přenášená data zřejmě nejzranitelnější, a exituje zde celá řada prostředků, metod a postupů, prostřednictvím kterých se dá potřebné "maškarády" docílit.

V zásadě lze tyto prostředky, metody a postupy rozdělit do dvou hlavních kategorií. Do té první spadají takové, které mají za cíl odposlech (anglicky: eavesdropping) dat, které si mezi sebou přenáší jiné entity, a do druhé pak takové, které dříve odposlechnutá a případně vhodně modifikovaná data vysílají znovu (doslova: přehrávají, anglicky: replay), aby tím dosáhli určitého neoprávněného efektu.

Učebnicovým příkladem může být odposlech dialogu mezi pracovní stanicí a serverem, v rámci kterého se určitý konkrétní uživatel přihlašuje pod svým uživatelským jménem k danému serveru. Pokud některý jiný uzel dokáže zachytit data, přenášená v rámci takovéhoto dialogu a správně je interpretovat, může v nich najít jméno i heslo příslušného uživatele. Avšak i v případě, kdy zachyceným datům příliš nerozumí, může dosáhnout kýženého efektu - například když serveru mechanicky přehraje odposlechnutou přihlašovací sekvenci, může se mu povést přihlásit jménem příslušného uživatele.

Obrana proti odposlechu (eavesdropping) může být řešena technickými prostředky, zejména používáním takových přenosových technologií a cest, které se jen velmi obtížně "napichují" (jako například optická vlákna a kabely). Kromě toho však lze velmi mnoho dosáhnout i vhodnými organizačními a "programovými" opatřeními, zejména pak šifrováním přenášených dat.

Obrana proti přehrávání (replay) je poněkud obtížnější. Vesměs je založena na možnosti zpětného ověření, kdo byl skutečným odesilatelem.

předchozí část  |  další část