1.12.09

QualysGuard InfoDay 2009. u Zagrebu

Na stranicama Boree smo najavili drugu korisničku konferenciju QualysGuard InfoDay 2009. Za one koji nisu sasvim upoznati, QualysGuard je sigurnosna usluga bazirana na SaaS modelu. Pomoću ovog servisa moguće je uspostaviti efikasan i koristan proces upravljanja računalnim ranjivostima.

Među stručnjacima su česte, a po mojem mišljenju i opravdane, diskusije o sigurnosnim temeljima SaaS modela računalnih usluga. QualysGuard se ipak razlikuje od uobičajenog poimanja SaaS modela usluga. Qualys, kao tvrtka koje se zapravo bavi informacijskom sigurnošću, svoje je servis ojačala s brojnim sigurnosnim mjerama pa svakako predstavlja izuzetak u sve popularnijem SaaS trendu. Osim specifičnosti same usluge koja, nasuprot recimo CRM SaaS uslugama, ne teži pružanju što je moguće više fuknkcionalnosti nauštrb sigurnosnih zahtjeva, QualysGuard uključuje i korištenje specijaliziranog appliance uređaja. Na taj način, znatno se lakše može kontrolirati puni raspon SaaS usluge - od klijentske okoline do centralne aplikacije.

Više o ovom možete ćuti idući tjedan. Sudjelovanje je slobodno, više podataka o konferenciji i o prijavi pronađite na slijedećoj stranici:

http://www.borea.hr/vijesti.asp?newsID=117

16.11.09

60 Minutes, još jednom

Nakon objave prošlog teksta dobio sam nekoliko upita o pristupu samom dokumentarcu "60 Minutes". Ovdje objavljujem video u dva dijela (spušteno s YouTube).




9.11.09

Veoma poučan dokumentarac

Sinoć je na CBS-u prikazan redoviti tjedni magazin "60 Minutes", a bavio se osjetljivošću tehnološke infrastrukture Sjedinjenih država i podložnošću pojedinih dijelova ove infrastrukture hackerskim napadima, naročito u "cyberwar" kontekstu.

Kao zanimljiva ilustracija, iznesen je i podatak o dva velika ispada elektro-opskrbnog sustava Brazila u 2005. i 2007. godini. Ovaj kasniji je potrajao dva dana i zahvatio je nekoliko milijuna stanovnika (istini za volju, brazilska je vlada prije par dana, a povodom emitiranja ove emisije, objavila da nije bilo nikakvih hackerskih napada u ovim slučajevima, no što mislite tko ima bolje informacije?). Svakako preporučujem ovu epizodu svima koji donose odluke o mjerama sigurnosti informacijskog sustava, na svim razinama i u bilo kakvim slučajevima. Potražite je na stranici http://www.cbs.com/primetime/60_minutes/ - naslov je Sabotaging the System.

Osvrnuti ću se na teze iznesene u emisiji. Američki kongresnici su utvrdili da su informatičke komponente njihovog elektroopskrbog sustava izuzetno ranjive na hackerske napade, a potencijalne posljedice su izuzetno velike. Zapravo, takvi su se slučajevi već i događali u nedavnoj prošlosti. U emisiji se govori i o slučaju, nedavno jako spominjanom, infiltracije stranih hackera na sustave vladinih organizacija, uključujući i one ministarstva obrane. Tom prilikom je iz ovih sustava iscurilo 1 TB podataka.

Kako bi se Hrvatska snašla u "Cyberwaru"? Ili je možda bolje ovo pitanje preformulirati: "Kako se Hrvatska snalazi u "Cyberwaru"?

25.10.09

Hrvatski Enron

Je li slučaj Podravska hrvatski Enron (zanemariti ću, za potrebe ovog napisa, politički kontekst ove afere)?

Sličnosti su brojne. U oba je slučaja protagonist akcije bio management ovih tvrtki. U oba slučaja možemo govoriti o izvedbi sofisticiranog poslovno-financijskog scenarija, čiji je autor u slučaju Podravke za sada nepoznat. Istina, u slučaju Enrona vidjeli smo netočno uljepšavanje poslovnih rezultata na temelju kojeg je management ostvario nezasluženu korist. U slučaju Podravke imamo pokušaj preuzimanja tvrtke, kao i činjenicu da su se u stvarnosti provele konkretne financijske transakcije među različitim subjektima, a ne tek knjigovodsveno friziranje. No, pohlepa je pokretač u oba slučaja. Na koncu, i u slučaju Enrona bilo je govora o političkim pokroviteljima cijele operacije.

No, ako je generalna usporedba s Enronom održiva, možemo li, vezano na temu ovog bloga, govoriti o posljedicama slučaja Podravka na informacijske tehnologije (na koju su Enron i SOX koji je slijedio iza Enrona, itekako utjecali)?

Na prvi pogled, teško da možemo govoriti o vezi slučaja Podravke i informacijskih tehnologija. U operaciji Spice je informacijska tehnologija bila tek poslovni okvir, a politika se pokazala bitnijim faktorom. Ova je procjena osobito važna ako pokušamo identifcirati ulogu koju je revizija trebala odigrati u sprječavanju cijele operacije.

No, treba reći je revizija poslovnih podataka veoma lako mogli utvrditi indikatore problematičnih financijskih transakcija. S druge strane, moglo bi se pretpostaviti da revizija nije mogla utvrditi točno stanje jer su rezultati unutar informacijskog sustava bili modificirani ili prikriveni, no, realno gledajući, ne vjerujem da se to desilo. Naprosto, ublaženim riječima, od revizije nitko nije tražio informaciju o sumnjivim transakcijama.

Drugim riječima, cijeli je slučaj mogao biti preduhitren izvještajima revizora, no očigledno nije bilo (političke) volje za takvim izvještajima.

Stoga, bez obzira na prisutnost političkog konteksta cijele afere, jedna od pouka morala bi ići u smjeru jačanja uloge revizije, pri čemu treba posebno značenje dati i reviziji informacijskih sustava (da se spriječe i moguće sofisticirane modifikacije poslovnih podataka). Svatko tko je imalo upućeniji u ulogu revizije u poslovanju naših tvrtki može posvjedočiti da revizija općenito, a posebno i IT revizija, ima status nužnog zla a ne korektivnog mehanizma upravljanja poslovnim procesom.

Zapravo, umjesto usporedbe s Enronom, možda bi slučaj Podravka bilo bolje nazvati nazvati Riječkom bankom ne-financijskog sektora. No, hoće li netko biti spreman pokrenuti mjere koje je svojedobno, nakon slučaja Riječke banke, pokrenula HNB?

18.8.09

Slučajevi Heartland i Hannaford, nastavak

Slučajevi Heartaland i Hannaford o kojema sam pisao na ovim stranicama, dobili su sudski nastavak, Jučer je objavljena vijest o podizanju optužnice protiv američkog državljanina Alberta Gozalesa. Gonzalesa se ovom prilikom sumnjiči da je jedan od hackera koji je upao u poslovni sustav tvrtki Heratland i Hannaford (ali i nekih drugih). Kažem ovom prilikom zato jer Gonzales već čeka suđenje za druge nedavne slučajeve krađe podataka - TJX, OfficeMax, Barnes & Noble... Gonzalesa se, po zadnjoj optužnici, tereti za krađu podataka o ukupno 130 milijuna kreditnih i debitnih kartica. Osim Gonzalesa, optužene su i dvije nepoznate osobe, po svemu sudeći iz Rusije, no pitanje je jesu li oni i jedini izvršitelji.

Ima i drugih zanimljivih detalja o optuženima (npr. Gonzales je bio dugogodišnji pouzdanik američke tajne službe), no mi ćemo analizirati način na koji je izvršena krađa.

Gonzales i društvo su brižljivo birali žrtve, krenuli su od popisa Fortune 500 tvrtki. Žrtve su, potom, proučili izbliza - obišli su njihove dućane kako bi upoznali opremu za procesiranje transakcija, detaljno su proanalizirali sustave za procesiranje plaćanja Internetom. Nije nemoguću da su se koristili i drugim metodama (socijalni inžinjering) kako bi se domogli vrijednih informacija o žrtvama.

Gonzales je potom pisao maliciozne programe posebno dizajnirane za računala žrtava. Cilj ovih programa bio je omogućiti neometan pristup Gonzalesa i društva računalima žrtava. Ovo su bili tzv. backdoor programi. Kako su uspjeli ove programe instalirati na računala žrtava? To iz dostupne dokumentacije nije sasvim razjašnjeno, no postoji nekoliko metoda, od zloupotrebe nezaštićene wireless mreže (što se i dogodilo u TJX), zloupotrebom SQL Injection nedostataka ili navođenja zaposlenika tvrtke na izvođenje malicioznog koda koji bi bio smješten na pripremljenim serverima (ne treba zanemariti ni tehnike socijalnog inžinjeringa). Vrlo je moguće da su napadači kombinirali različite tehnike, prilagođavali su okolnostima i profilu žrtvi. U svakom slučaju, puno je teži zadatak bio spriječiti otkrivanje malicoznih programa kada jednom budu smješteni na interni dio mreže. Za to se pobrinuo Gonzales: brižljivo je dizajnirao i testirao maliciozne programe, tako da ih nije bilo moguće otkriti sa 20 različitih antivirusnih programa (zasigurno se radi o svim najznačajnijim antivirusnim programima dostupnim na tržištu). U tom trenutku su napadači stekli prilično komfornu poziciju: mogli su neometano pristupati internoj mreži i pregledavati sve interesantne točke. Naravno, to je bila odskočnica za pristup do samih podataka koje su po istom kanalu slali nazad na vlastite servere. Način pristupa do podataka razlikovao se od slučaja do slučaja: kod jedne od žrtvi su naprosto snifali promet na mreži i otkrivali nekriptirane brojeve kartica, kod drugih su pristupali bazi podataka (po svemu sudeću SQL Injection napadima koji mogu biti i veoma sofisticirani)...

Sve što se desilo nakon toga, saznati ćete iz medija.

Iz ovih slučajeva mogu se naučiti mnoge stvari, npr:
  • Zaštitne mjere koje se baziraju samo na firewallu i antivirusnim programima su nedovoljne. Pisao sam već o tome kako antivirusni programi ne jamče otkrivanje svih malicioznih programa (u međuvremenu su se pojavili i drugi izvještaji koji potvrđuju ovo mišljenje).
  • Kada se jednom vanjski napadač smjesti na internoj mreži, njegova aktivnost može biti gotovo nezamjetna, a za samog napadača izuzetno sadržajna i plodonosna. Uzorak ponašanja vanjskih napadača se približio uzorku ponašanja internih napadača.
  • Interne ranjivosti postaju jednako kritične kao ranjivosti perimetarskih servera. Administratori sustava ne bi smjeli imati puno kredita za površnu konfiguraciju ili zakašnjelo patchiranje internih sustava.
  • Ranjivosti radnih stanica se često smatraju manje prioritetnima od ranjivosti servera. To definitivno više nije tako. Upravo radne stanice mogu biti najbolja poluga vanjskim napadačima.
  • Stalni nadzor događanja i prometa na mreži postaje neophodan. Takav nadzor pruža dodatno jamstvo u situaciji kada se više ne može bezgranično vjerovati firewall-ima i antivirusnoj zaštiti.

12.7.09

URIS - aplikacija za upravljanje IT rizicima

Na početku, dugujem ispriku zbog duljeg izbivanja s ovih stranica. Redovite poslovne aktivnosti i projekti su glavni razlozi izostanka. Glavninu vremena u svibnju i lipnju usmjerio sam na završetak rada na prvoj verziji aplikacije za upravljanje informacijskim rizicima. Aplikacija je razvijena u suradnji s kolegom Joškom Martincem iz tvrtke Adservio. Joško je napravio kompletan programerski posao (izvrsno, dodajem), a ja sam preuzeo brigu oko primjene korištene metodologije i prilagođavanja aplikacije procesu upravljanja informacijskim rizicima. Aplikaciju smo nazvali URIS. Važno je odmah naglasiti da aplikacija koristi javno dostupnu metodologiju upravljanja rizicima MEHARI. MEHARI postoji preko desetak godina, razvijena je u okviru francuske stručne udruge CLUSIF, te je obnovljena 2007. Dokumentacija o samoj metodologiji je dostupna na adresi https://www.clusif.asso.fr/en/production/mehari/mehari.asp. Osobito je zanimljivo da je metodologija objavljena pod GPL licencom. MEHARI je jako dobro opisan u raspoloživoj dokumentaciji (tekstovi i Excel tabele), no svaka ozbiljna primjena iziskuje aplikativnu nadogradnju.

Zbog čega uopće aplikacija za upravljanje IT rizicima? Jedan razlog svakako leži u činjenici da je imalo složeniju metodologiju nemoguće efikasno provesti kroz Excel tablice, a što se pogrešno smatra sasvim zadovoljavajućim tehničkim okvirom za vođenje projekata upravljanja IT rizicima. Drugi, važniji, razlog vezan je na ovaj prvi: iz prakse sam primjetio da korištenje nedovoljno robustnih metodologija neizbježno vodi u trivijalizaciju procesa upravljanja rizicima, što rezultira gubljenjen strateškog značaja kojeg bi upravljanje IT rizicima moralo imati. Korištenje kompleksnih metodologija (MEHARI je, svakako, veoma kompleksna i kompletna metodologija) vodi i boljem prihvaćanju od strane managementa i prisiljava sudionike na savjestan pristup projektu.

MEHARI je baziran na kvalitativnom pristupu koji, zahvaljujući složenom postupku donošenja ocjena, evoluira u polu-kvantitativni (pseudo-kvantitativni?) pristup, čime metodologija svakako dobiva na značaju. Osobito važnim smatram činjenicu da naša aplikacija koristi javno dostupnu i prihvaćenu metodologiju (iako sam bio na preko pola puta u razvoju vlastite metodologije).

Posao na aplikaciji obuhvaćao je, osim automatizacije postupka, nekoliko dodatnih komponenti. Tako je prijevod izvornog teksta svakako pomogao na uvođenju taksonomije pojmova za upravljanje informacijskim rizicima, još uvijek neujednačene u našem okruženju. Nadalje, aplikacija sadrži i različite izvještajne komponente, mogućnost upravljanja postupcima upravljanja rizicima u kontinuiranom razdoblju, kategorizaciju mjera i događaja prema COBIT-u i Basel II specifikacijama... Različiti noviteti su planirani i za slijedeće verzije.

Kome je namjenjena aplikacija? Osobit interes pokazuju svi oni koji iz različitih razloga moraju ispuniti regulatorne zahtjeve u pogledu upravljnaja IT rizicima, a to su prije svega banke (prema Odluci i Smjernicama HNB-a). Iako su mnoge banke postavile temelje procesa upravljanja rizicima, ovakva aplikacija i, prije svega, korištena metodologija omogućuju jednostavniju provedbu procesa upravljanja rizicima. Pored toga, neovisna i međunarodno raširena metodologija pruža dodatno jamstvo o zrelosti postupka upravljanja rizicima.

Neki od čitatelja ovih stranica su već upoznati s ovom aplikacijom, a svima zainteresiranima ću rado pružiti informacije o aplikaciji i korištenoj metodologiji.

29.4.09

Revizija u razdoblju pohlepe

Jedna od tema koje rado opisujem na ovim stranicama su slučajevi insajderskog računalnog kriminala. Pri tome obrađujem publicirane i, uglavnom, inozemne slučajeve (što naravno uopće ne znači da i mi nemamo konje za trku).

Najfriškiji i veoma ilustrativan primjer vezan je za posrnulu indijsku outsourcing tvrtku Satyam. Za neupućene, Satyam je jedan od najvećih primjera korporativne prijevare u posljednje vrijeme. Na naslovnice su izbili početkom godine, kada je utvrđeno da su u duljem razdoblju iskazivali napuhane poslovne rezultate. Klupko se počelo razmotavati nakon prošlogodišnjih sumnjivih poslovnih poteza kojima su izazvali dioničare.

Neću ulaziti u financijske detalje same prijevare, više o možete naći na ovoj stranici. Za nas priča počinje izvještajem o analizi ovog slučaja koji je objavljen početkom ovog tjedna. Kako javlja InformationWeek, Satyam je generirao oko 7.500 lažnih faktura klijentima čime je poslovne rezultate pokazao znatno boljim nego što su bili (i što je naravno utjecalo na cijenu dionica ove tvrtke). Za ove stranice je osobito zanimljiv način generiranja ovih faktura: Satyam (ponavljam još jednom - IT outsourcing firma sa 40.000 zaposlenih, a razvoj aplikacija im je jedna od središnjih kompetencija) nedozvoljeno je modificirao vlastite poslovne aplikacije i omogućio kreiranje lažnih faktura ali tako da njihovo postojanje ne izazove sumnju i tako da budu izdvojene od realnih transakcija (pogađate zašto: lažne fakture nisu nikad bile naplaćene). Na taj način je prikazan prihod od 946 milijuna USD.

Ovaj slučaj je dobar primjer kojim revizori uvijek mogu opravdati svoje inzisitranje na reviziji postupka upravljanja aplikativnim promjenama, što se često smatra dosadnim inzistiranjem na formalnim detaljima. Naime, veoma je teško provesti striktnu kontrolu procesa upravljanja promjenama. Mjere mogu biti presložene za manje i srednje organizacije (izolacija razvojne, testne i produkcijske okoline; zaštita programskih biblioteka; stroga definicija i dodjela korisničkih prava; odvajanje pristupnih privilegija; formalna procedura...), što i za velike organizacije često predstavlja ograničenje.

No, ovaj slučaj pokazuje i nedostatke same revizije provedene u Satyamu.

Prvi nedostatak se odnosi na reviziju procesa upravljanja promjenama u Satyamu. Ne znam koliko je detaljno napravljena revizija ovog procesa, no kada se ovakva prijevara dogovori na najvišoj razini i kada je u scenarij uključeno više ljudi s odgovarajućim pravima (a očigledno je da je u Satyamu bio takav slučaj), onda redovita revizija općih kontrola IS-a teško može dati rezultate.

Druga revizorska greška se zapravo pokazala ključnom: revizor je propustio, a svakako je morao, utvrditi da 7.500 faktura nije pokriveno prihodom na računu u banci.

Granica između financijske revizije i revizije informacijskih sustava je, govoreći rječnikom politike, veoma meka. Poznavanje i jedne i druge strane medalje je neohodno za uspjeh revizije.

No, ipak treba reći da je prijevara u Satyamu ponajprije bila omogućena pohlepom i prividnim dobrim rezultatima koji su, uostalom kao i u drugim segmentima ali u istim vremenima, zasigurno spriječili dioničare da na vrijeme pogledaju istinu.

21.4.09

"Uknown Uknowns"

Prošli sam tjedan pisao o izvještaju tvrtke Verizon. Jedan od najzanimljivijih odlomaka tog izvještaja nosi naslov "Uknown Uknowns". O čemu se radi?

Istražitelji računalnih incidenata su još prije nekoliko godina uočili zajednički uzorak u mnogim slučajevima: incidenti su omogućeni ili barem olakšani prisutnošću nekih resursa informacijske infrastrukture koji su u pravilu trebali biti poznati odgovornim osobama, ali koji za koje nitko nije znao. Tako su na mreži postojala računala za koje nitko nije znalo, osjetljivi podaci su se nalazili neočekivanim lokacijama, resursi su komunicirali neuobičajenim mrežnim konekcijama ili servisima, a nepoznati korisnički računi su bili redovita pojava. Ove su činjenice opisane kao "Uknown Uknowns", a uzrokovane su kako slučajnošći i nesmotrenošću tako i tendencioznim i zlonamjernim djelovanjem. Zajedničko im je da svojim prisustvom u velikoj mjeri olakšavaju sigurnosne prijetnje.

Možda uzorak iz Verizonovog istraživanja i nije do kraja reprezentativan da bi se izvukli definitivni zaključci, no i u ovom slučaju opžemo govoriti o dobroj ilustraciji prakse koja je sasvim sigurno stvarnost u mnogim okolinama. Uostalom, na brojnim sam se primjerima i sam osvjedočio u točnost ovih tvrdnji.

Kako se obraniti od nepoznatog?

Napore treba usmjeriti u dva pravca. S jedne strane, potrebno je redovito provjeravati podudaraju li se konfiguracijske postavke kritičnih informacijskih resursa s propisanim standardnim specifikacijama. S druge strane, potrebno je kontinuirano pratiti sve događaje i na vrijeme reagirati na neovlaštene promjene u konfiguraciji sustava.

Ovo je puno lakše napisati nego provesti. Provjera konfiguracijskih parametara podrazumijeva, na primjer kod Windows Server platforme, kontrolu nekoliko stotina konfiguracijskih parametara, pr čemu se ovi parametri prilično razlikuju po raznovrsnosti i kompleksnosti. Nadalje, praćenje događaja zahtjeva značajne resurse i koncetraciju stručnosti. Naravno, ni jedan od ovih zahtjeva ne može se uspješno provoditi bez specijaliziranih alata.

Svijest o informacijskoj sigurnosti doživjela je značajne poticaje u našem su okruženju tijekom nekoliko posljednih godina. No, sada nam predstoji slijedeća stepenica: iz dokumenata, pravilnika i certifikata potrebno je evoluirati u dobro upravljiv sustav čija će se sigurnosna uspješnost moći točno izmjeriti u svakom trenutku, a odstupanja prepoznati u realnom vremenu.

Do onda, biti ćete u prilici upoznati "Uknown Uknowns".

17.4.09

Sezona izvještaja

Čini se da je ovaj dio godine razdoblje objave različitih izvještaja i rezultatata istraživanja tržišta o stanju sigurnosti informacijskih sustava. Ove izvještaje, naravno, treba uzimati s dozom opreza (ipak, iza njih stoje i PR uredi), no neki od ovih dokumenata svakako predstavljaju zanimljivo štivo pa ih svima preporučujem.

Što nam je friško na raspolaganju?

Ovogodišnji "Data Breach Investigations Report" tvrtke Verizon je svakako najzanimljiviji tekst ove vrste koji se pojavio u zadnje vrijeme. Temeljen je na sigurnosnim incidentima u čijoj su istrazi sudjelovali stručnjaci Verizona tijekom 2008. godine. Obrađuje, dakle, 90 konkretnih slučajeva i nudi veoma zanimljive i poticajne zaključke. Iako zbog izbora uzorka (ograničen je na slučajeve gdje su sudjelovali Verizonovi istražitelji) ne bi trebalo izvlačiti generalne zaključke, mislim da nećemo pogriješiti ako izvještaj sagledamo i na takav način.

Vjerujem da će svatko od vas pročitati izvještaj na svoj način, no slijedeći podaci mi izgledaju osobito zanimljivo:
  • Čak 91% incidenata na neki je način povezano s organiziranim kriminalom
  • Većina je incidenata rezultat djelovanja više od jednog uzroka, pri čemu su tehničke (a zapravo ljudske) pogreške te djelovanje hackera zastupljeni u oko dvije trećine slučajeva, a maliciozni programi u nešti više od trećine slučajeva
  • Čak dvije trećine incidenata je otkriveno na temelju informacija koje su stigle izvan same pogođene organizacije (dakle od trećih strana, klijenata, partnera...), a ispod 10% incidenata je otkriveno metodama koje bi trebale biti temelj proaktivnog i preventivnog djelovanja (analiza log zapisa i redovita revizija)
  • Nešto više od četvrtine incidenata je raspodjeljeno između "malih/srednjih" tvrtki (od 11 do 100 zaposlenih) i "velikih" tvrtki (od 1001 do 10000 zaposlenih) - dakle, ne vrijedi pravilo da su sigurnosni incidenti rezervirani za velike tvrtke

Drugi zanimljiv dokument na koji vas upućujem je redoviti izvještaj tvrtke Symantec - Internet Security Threat Report Volume XIV, a odnosi se na podatke iz 2008. godine. Ovaj izvještaj se temelji na različitoj metodologiji od izvještaja tvrtke Verizon, pa su podaci i zaključci usmjereni u drugom pravcu, no svakako možemo reći da se oba izvještaja upotpunjuju.

Symantec je napravio svoj izvještaj na temelju podataka koji je prikupio u razgranatoj mreži senzora smještenih širom svijeta i iz povratnih informacija koje je prikupio iz svojih sigurnosnih programa ili servisa. Symantecov se izvještaj bavi prijetnjam i ranjivostima, ne i registriranim (i istraženim) konkretnim incidentima, pa su rezultati osobito zanimljivi za one koji žele detaljnije analizirati uzroke sigurnosnih rizika.

Na stotinjak stranica naći ćete mnoštvo podataka, a ovdje iznosim samo neke
  • Symantec je evidentirao 5491 novu ranjiovost u 2008. od kojih se 2% smatra visoko kritičnim
  • 80% ranjivosti smtra se lako iskoristivim (u 2007. bilo ih je 74%)
  • 63% ranjivosti bilo je vezano za web aplikacije
  • U 2008. bilo je 265% više opisa novih malicioznih programa ("signatures") u odnosu na 2007.
  • Trojanci čine 68% od Top 50 malicioznih programa u 2008. godini
  • Spam je porastao za 192% u odnosu na proteklu godinu

Ugodno čitanje!

31.3.09

Obnova kontinuiteta

Prije svega, dugujem ispriku stalnim čitateljima ovih stranica. Prošlo je puno vremena od zadnjeg teksta na ovim stranicama. Nisam, naravno, izgubio polet, već sam bio prilično zaokupljen na nekoliko projekata, pa su ove stranice, nekako, završile u drugom planu. Uskoro će biti nešto više riječi o ovim projektima, a posebno ću opisati rad na razvoju aplikacije za upravljanje informacijskim rizicima. Osim na projektima, sudjelovao sam i u nekoliko događaja i javnih skupova. Krajem veljače sam na redovitim mjesečnim sastancima hrvatskog ogranka ISACA-e predstavio metodu za upravljanje rizicima - MEHARI, a u najfriškijem sjećanju je i prošlotjedno sudjelovanje na prvoj konferenciji internih revizora u Opatiji, u organizaciji Hrvatskog instituta internih revizora. HIIR je, pored hrvatskog ogranka ISACA-e, jedina stručna organizacija koja se, među ostalim, bavi i revizijom informacijskih sustava.

Glavnu riječ u planiranju, organizaciji, a naročito vođenju stručnog programa konferencije u Opatiji imali su sami revizori. Organizacijski dio nije nimalo podbacio, a stručni dio bio je osobito zanimljiv, naročito onaj koji se odnosio se na reviziju informacijskih sustava.

Borea je održala jednu veoma zanimljivu i dobro posjećenu radionicu o korištenju CAATT alata IDEA. Radionica se bazirala na stvarnom primjeru iz poslovne prakse i u, preko 120 minuta, predstavili smo glavne analitičke mogućnosti softvera IDEA.

Također, održao sam i prezentaciju koja se odnosila na jedno od najpodcjenjenijih područja informacijske sigurnosti - upravljanje log zapisima. Ova tematika podjednako je zanimljiva i stručnjacima za sigurnost kao i revizorima informacijskih sustava. Revizorima je zanimljiva iz dva razloga. Prvo, revizija svakog imalo osjetljivijeg informacijskog sustava mora uključivati i reviziju procesa upravljanja log zapisima. Drugi razlog leži u činjenici da log zapisi sadrže brojne informacije o radu i korištenju informacijskog sustava. Ove informacije se moraju svakako sagledati u situacijama kada se izvodi detaljna analiza pojedinih sigurnosnih mjera odnosno kada se testira provedba predviđenih postavki.

Konferencija u Opatiji pokazala je veliko zanimanje za problematiku revizije informacijskih sustava, što nimalo ne čudi s obzirom na sve prisutnije regulatorne zahtjeve. Raduje što su sudionici konferencije bili spremni podijeliti svoja razmišljanja u ovom dijelu struke koje se, u našem okruženju, tek treba etablirati.

29.1.09

Heartland: najveća krađa podataka do sada?

Siječanj je, izgleda, rezerviran za rekorde u računalnom kriminalu. Ove godine imamo Heartland Payment System, šestog po veličini američkog procesora kartičnih transakcija. Konačni izvještaji nisu još dostupni, no pretpostavlja se da je incident otkriven krajem 2008. opsegom premašio krađu podataka u TJX-u iz 2007. Nije još poznat ni karakter ukradenih podataka (Heartland, naravno, nastoji ublažiti javni efekt), kao ni tehnika izvedbe. Ipak, pretpostavlja se da je maliciozni program, smješten u kritičnom dijelu sustava, bilježio obrađivane transkacije (Heartland obrađuje oko 100 milijuna transakcija mjesečno). Treba reći da je Heartland obrađivao transkacije koje su realizirane u nizu manjih dućana i restorana širom Sjedinjenih država (Internet transkacije jedva da su i bile zastupljene)

Na tehničke okolnosti ću se vratiti kada budu poznati rezultati istrage, no želim ukazati na činjenicu da je Heartland nekoliko mjeseci prije incidenta certificiran kao sukladan sa zahtjevima PCI DSS standrada (to je bo slučaj i u prošlogodišnjem incidentu kod tvrtke Hannaford). Još jedna potvrda da biti sukladan ne znači i biti siguran.

Vjerujem da će ovaj incident (i slični koje sigurno možemo očekivati) pokrenuti neke promjene u primjeni PCI DSS standarda. Mora se posvetiti veća pažnja ne samo činjenici radi li se operativan nadzor sigurnosti informacijskog sustava, nego i kako se taj nadzor provodi. PCI DSS certifikacija je samo snimak stanja u određenom trenutku (onda kada QSA boravi u tvrtki). Logovi, sistemski događaji, konfiguracijski podaci, ranjivosti - to moraju biti glavni, ali ne i jedini, indikatori kvalitetete sigurnosnih mjera.

Podsjetio bih da je incident iz 2005. kod tvrtke CardSytem Solutions (također, procesor kartičnih transakcija) rezultirao, pored krađe 40 milijuna podataka, i prestankom rada ove tvrtke. Očekuje li ista sudbina i Heartland?

18.1.09

Tek dva od tri računala otporna na Downadup

Downoadup/Conficker, o kojemu je izvjestio čak i CNN, me je podsjetio na dobra stara vremena kada su se maliciozni programi nazivali virusima. Postoje dvije poveznice između ovog programa i virusa iz davnih vremena.

Prvo, Downadup/Conficker se manifestira na bučan i masovan način (koji su moderni maliciozni programi gotovo napustili). Prema nekim procjenama, do današnjeg dana je zahvatio oko 9 milijuna računala (preko 6 milijuna novozaraženih računala u zadnjih nekoliko dana, a broj će se svakako povećati već sutra). Kao da su autori ovog programa bili motivirani i retro porivom za pet minuta slave, što su uz ovakvu dinamiku širenja i postigli.

Drugo, Downadup/Conficker iskorištava jednu ranjivost u Windows operativnom sustavu koja je poznata već dulje vrijeme (od listopada 2008.) i za koju postoji popravak (patch) ali koji, iz nekog razloga, na mnogim računalima nije primjenjen. Ovaj moment se ponavlja iz godine u godinu. Ako računalne ranjivosti baš i moramo silom prilika prihvatiti kao nužnost današnje softverske industrije, korisnici i dalje pokazuju jako malo volje da svojim ponašanjem ublaže negativne učinke takve realnosti. Ponovo moramo naglasiti potrebu za dosljednim upravljanjem računalnim ranjivostima.

Jedan detalj me dodatno iznenadio. Tvrtka Qualys je objavila u 2003. jedno istraživanje (“The Law of Vulnerabilities”) prema kojemu se u roku od 30 dana od dana objave programskog popravka, tek na 50% računala ovaj popravak zaista i primjeni. Ako pogledamo i slijedećih 30 dana, na kraju tog razdoblja popravak nedostaje na oko 30% računala. Kako se čini, Downadup/Conficker je potvrdio ovu zakonitost. Naime, tvrtka Qualys provodi provjeru ranjivosti na temelju SaaS servisu, pa redovito vodi statističke analize o zastupljenosti pojedinih računalnih ranjivosti u poslovnom okruženju koje SaaS servis QualysGuard poslužuje. Ova je analiza pokazala da početkom siječnja (dakle, dva mjeseca od pojave popravka MS08-067 koji spriječava pojavu programa Downadup/Conficker) tek dva od tri računala sadrži spomenuti popravak. Ovi podaci su još ozbiljniji ako uzmemo u obzir da Qualys-ove analize obuhvaćaju korisnike njihovih SaaS usluga, a to su prije svega korporativni korisnici (tek u malom postotku su obuhvaćeni kućni korisnici). Dodatno nas mora zabrinuti činjenica da se pristup nije promjenio od 2003. godine.

Dobra vijest je da Downadup/Conficker, iako napisan izuzetno inovativno i temeljito, kako se čini ne sadrži osobito maliciozan učinak (barem ne verzija koja je poznata u trenutku pisanja ovog teksta). No, kad uzmete u obzir da je značajka modernog malicioznog koda ipak znatno veća opskurnost i tišina djelovanja te veća doza nedobronamjernosti, mislim da je potrebno još jednom ponoviti staru lekciju o održavanju dobrog stanja računalnih sustava.