11.1.15

Pogled na 2014. godinu (nastavak)


U drugom dijelu inventure informacijske sigurnosti u 2014. godini pišem o nekoliko događaja čiji je značaj svakako puno širi od jednokratne pozornosti u medijima i profesionalne javnosti koje nije nedostajalo.

Prvi dio teksta pročitajte ovdje.

Prvo, vraćam se u domaće okruženje. Godinu su svakako obilježili ne toliko brojni ali značajni incidenti u servisu Internet bankarstva. Nadležna su se tijela s opravdanjem angažirala u ograničavanju posljedica, a banke su ovaj problem shvatile ozbiljno. Iako su incidenti imali ishodište u  kompromitaciji računala i mrežne infrastrukture klijenata Internet bankarstva, a ne samih aplikacija na strani banaka, događaji su bili motiv za dodatno unaprjeđenje svojstva aplikacija Internet bankarstva i uvođenje naprednih kontrola za sprječavanje prijevara. Način realizacije incidenata je bio raznovrstan, no zajedničko im je da je samim napadima prethodila detaljna priprema što je bilo moguće samo ako su kreatori i provoditelji napada bili dobro motivirani.

Ovi događaju ukazuju na jedan trend koji bi nas svakako trebao zabrinuti. Do sada smo mislili (i nadali se) da nas kibernetički kriminal zaobilazi iz razloga što smo nezanimljivi i neatraktivni kriminalnim krugovima. Očito, unutar ekonomskog modela kibernetičkog kriminala, trošak proizvodnje alata za izvođenje prijetnji je postao dovoljno nizak pa smo postali sasvim atraktivni napadačima. Naravno, kibernetički kriminal teži što bržem povratu sredstava i u ovom trenutku je ciljao na klijente Internet bankarstva, no s porastom vrijednosti a naročito konkurentnosti hrvatskog gospodarstva,možemo očekivati da će se prijetnje zahvatiti i druge segmente poslovanja. U svakom slučaju, gospodarstvo se mora zamisliti nad pojavom incidenata u Internet bankarstvu barem iz jednog razloga: pokazalo se da se napadači mogu veoma lako infiltrirati u poslovne računalne mreže i da mogu ostati nezapaženi.

Potaknut trenutnom kampanjom za predsjedničke izbore, moram naglasiti da prijetnjama jesu (ili će uskoro biti) još više državna infrastruktura. Siguran sam da su nadležna tijela svjesna ovih problema, no u javnoj diskusiji i sučeljavanjima nismo čuli ni jedno pitanje na ovu temu (iako je područje obrane i nacionalne sigurnosti bilo zastupljeno).

Drugi događaj o kojem pišem objedinjuje ranjivosti otkrivene u prošloj godini a koje su poznate pod imenom Heartbleed, Shellshock i POODLE. Jedna od poveznica među ovim događajima je činjenica da su ovima ranjivostima bili neposredno izloženi javno vidljivi poslužitelji i to u izuzetno velikom broju, a druga poveznica je da su ovi problemi bili vezani na široko korištene "Open Source"  aplikativne komponente, pri čemu je nedostatak Heartbleed bio prisutan u paketu OpenSSL preko dvije godine, a nedostatak Shellshock bio je prisutan u paketu bash dvadesetpet godina. To je bilo dovoljno kritičarima "Open Source" modela za iznošenje kritika prema ovom. Mislim da su takve kritike pretjerane, no svakako se još jednom pokazalo da je testiranje softvera jedna od ključnih točaka aplikacijske sigurnosti. Naravno, popis nedostataka vezanih za komercijalne programske pakete je i u prošloj godini bio "impresivan", pa Heartbleed, Shellshock i POODLE svakako nisu negativna ravnoteža stvarnim softverskim problemima.

Nema komentara: