Root Account used for supporting day-to-day operations

หมวดหมู่ IT audit

ประเด็น

จากการตรวจสอบพบว่ามีการใช้งานบัญชีผู้ใช้ “root” ของระบบปฏิบัติการ “AIX” มาใช้งานใน “Business Process” ประจำวัน เช่น การปรับเปลี่ยนข้อมูลทางการเงินในระบบ “File” (Accounting adjustment) การตรวจสอบว่าไฟล์ทางการเงินประมวลผลสำเร็จหรือไม่ (Monitoring) เป็นต้น

/etc/passwd

root:!:0:0::/:/usr/bin/ksh
daemon:!:1:1::/etc:
bin:!:2:2::/bin:
sys:!:3:3::/usr/sys: 
adm:!:4:4::/var/adm:
uucp:!:5:5::/usr/lib/uucp: 
guest:!:100:100::/home/guest:
nobody:!:4294967294:4294967294::/:
lpd:!:9:4294967294::/:
lp:*:11:11::/var/spool/lp:/bin/false 
invscout:*:200:1::/var/adm/invscout:/usr/bin/ksh
nuucp:*:6:5:uucp login user:/var/spool/uucppublic:/usr/sbin/uucp/uucico
paul:!:201:1::/home/paul:/usr/bin/ksh
jdoe:*:202:1:John Doe:/home/jdoe:/usr/bin/ksh

/var/adm/wtmp

oracle    pts/0        211.251.1.14          Jun 29 14:50 - 15:15  (00:25)
oracle    pts/2        211.252.1.14          Jun 28 23:49 - 23:49  (00:00)
oracle    pts/2        211.252.1.14          Jun 28 23:48 - 23:48  (00:00)
oracle    pts/3        211.253.1.14          Jun 28 23:48 - 00:06  (00:18)
oracle    pts/2        211.251.1.14          Jun 28 23:46 - 23:48  (00:01)
oracle    pts/0        211.252.1.14          Jun 28 23:44 - 00:05  (00:20)
root      pts/0        176.29.10.7           Jun 28 23:00 - 23:01  (00:00)
root      pts/0        176.29.10.7           Jun 28 22:57 - 23:00  (00:02)
root      pts/0        176.29.10.7           Jun 28 21:44 - 22:55  (01:10)
root      pts/0        176.29.10.7           Jun 28 21:43 - 21:43  (00:00)

ผลกระทบ

เนื่องจากบัญชีผู้ใช้ “root” เป็นบัญชีผู้ใช้สูงสุดของระบบ “Unix” ที่ถูกติดตั้งมากับระบบปฏิบัติ (Operating Systems) ซึ่งเป็นสิทธิสำหรับดูแลและบริหารระบบ และยากที่จะตรวจสอบย้อนกลับได้ว่าใครเป็นผู้ใช้งาน ถ้า ณ ขณะนั้นถ้าเกิดมีการแชร์การใช้งานร่วมกัน (Shared accounts) และยิ่งไปกว่านั้นเปิดโอกาสให้ผู้ไม่ประสงค์ดีสามารถได้สิทธิระดับผู้ดูแลระบบและส่งผลกระทบในความไม่ปลอดภัยต่อระบบสารสนเทศทั้งระบบได้

ข้อแนะนำ

  1. สร้างกระบวนการสำหรับการลงทะเบียนของการร้องขอ แก้ไข ยกเลิก และแชร์ ของบัญชีผู้ใช้ (User Account Request Procedure)
  2. ประกาศใช้กระบวนการดังกล่าวและให้ทุกหน่วยงานรับทราบและปฎิบัติตามร่วมกัน โดยกระบวนการดังกล่าวบ่งบอกถึงความรับชอบเมื่อไม่ปฎิบัติตามกระบวนการดังกล่าว
  3. ในการใช้งานเพื่อปฎิบัติงานตามกระบวนการทางธุรกิจ (Business Process) จะต้องสร้างบัญชีผู้ใช้ใหม่ตามกระบวนร้องขอที่ (1) เพื่อให้มีหลักฐานสำหรับการตรวจสอบย้อนหลังได้
  4. สำหรับการบริหารบัญชีผู้ใช้สิทธิสูงสุดถ้าจำเป็นต้องใช้ จะต้องขออนุมัติจากผู้มีอำนาจสิทธิและวัตถุประสงค์การใช้งานเสียก่อน

ขั้นตอนการตรวจสอบ

วัตถุประสงค์การตรวจสอบ

  • บัญชีผู้ใช้ root จะต้องไม่ถูกใช้ในการปฎิบัติทางธุรกิจประจำวัน (Day-to-day operations)
  • บัญชีผู้ใช้อื่น ๆ ที่ได้สิทธิเทียบเท่าผู้ดูแลระบบ จะต้องไม่ถูกใช้ในการปฎิบัติทางธุรกิจประจำวัน (Day-to-day operations)

ขั้นตอน

  1. รวบรวมข้อมูลบัญชีผู้ใช้จากไฟล์ “/etc/passwd”
  2. จากนั้นสัมภาษณ์วัตถุประสงค์การใช้งานในแต่ละบัญชีผู้ใช้กับผู้ดูแลระบบ
  3. ถ้ามีเอกสารการร้องขอสำหรับการใช้งานบัญชีผู้ใช้ (User requests) ให้รวบรวมเพื่อวิเคราะห์วัตถุประสงค์ของแต่ละบัญชีผู้ใช้
  4. รวมรวบข้อมูลของ “Log” เพื่อสนับสนุนว่ามีการใช้งาน “root” หรือ บัญชีผู้ใช้อื่นๆ จากไฟล์ “/var/adm/wtmp” โดยสุ่ม “Last Login” จากการเข้าใช้งาน “3-6” เดือนล่าสุด
  5. จากนั้นสอบถามถึงเหตุผลของการใช้งานบัญชีผูใช้ “root” หรือบัญชีอื่น ๆ ที่ได้สิทธิเทียบเท่าผู้ดูแลระบบ
  6. วิเคราะห์ว่า “root” หรือบัญชีผู้ใช้อื่น ๆ ที่ได้สิทธิเทียบเท่าผู้ดูแลระบบถูกนำมาใช้ในงานสนับสนุการทำงานทางธุรกิจประจำวัน (day-to-day operations) แทนที่จะใช้ในการบริหารจัดการดูแลระบบเท่าที่จำเป็น เช่น บริหารจัดการบัญชี หรือทรัพยากรของระบบ เป็นต้น

ใส่ความเห็น