30.6.08

Krađa identiteta na vratima

"Krađa identiteta" nas obično asocira na nepouzdanost Interneta, neopreznost u otvaranju i odgovaranju na mail poruke i potencijalne probleme s kreditnim karticama. Ako ste primarno okrenuti Internet zajednici možda ne znate da je "krađa identiteta" davno definiran scenarij prijevare, utemeljen u netehnološkom kontekstu. Zaparavo, i danas je veoma čest. Naše novine redovito donose primjere krađe identiteta koje su zasnovane na takvim klasičnim scenarijima. Unatrag nekoliko mjeseci, Jutarnji list je pisao o više takvih primjera. Krajem svibnja opisan je slučaj krađe podataka o identitetu invalida domovinskog rata kredita, nakon čega su neovlašteno podignuti krediti Splitu i okolici. Mjesec dana kasnije, opisan je slučaj hrvatskog državljanina koji živi u SAD-u, a postao je žrtva prijevare, te zamalo ostao bez kuće na Krku (netko je, na temelju ukradinih podataka o njegovom identitetu, sastavio kupoprodajni ugovor). Kakve veze imaju spomenuti primjeri s temom ovih stranica?

Nesumnjivo, radi se o klasičnom kriminalu koji pripada crnoj kronici. No, u njima možemo prepoznati određene veze s informacijskom sigurnošću. Povezanost klasične krađe identiteta s informatikom dodatno će argumentirati i prošlogodišnji primjer prijevare u osječkoj podružnici RBA.

Naime, da bi krađa identiteta bila uspješna, napadač mora na što je moguće bolji način utjeloviti identitet žrtve. Nasuprot pred-digititalnom razdoblju kada su podaci bili reducirani teško dostupni i ograničeni, danas se takvi podaci lakše pronalaze. Ponekad samo u poslovnom okruženju s ograničenim pristupom, no veoma često u javno dostupnim izvorima i uz suglasnost potencijalnih žrtava (Google može puno toga otkriti, no tu su i sve brojni oblici "socijalnih" sadržaja).

Stoga nas ne treba čuditi ako ovih primjera bude sve više. Možda smo premala zajednica da bi masovna krađa identiteta zloupotrebom elektroničke pošte ("phishing") bila ekonomična za napadače, no klasične prijevare i usmjerena krađa identiteta nailazi na plodno tlo (osobni identifikacijski broj će dodatno olakšati pomoć napadačima). Procjena informacijskih rizika u poslovnim sustavima, a naročito u procesima državne uprave mora ozbiljno uzeti u obzir ove prijetnje, te na vrijeme izabrati odgovarajuće zaštitne mjere. Procjenjujem da neće uvijek ići lako, s obzirom da je strategija obrane uglavnom usmjerena prema informatičkoj infrastrukturi, a veoma rijetko prema podacima (što je u slučaju krađe identiteta neophodno)

Druga poveznica s ovim stranicama leži u činjenici da je u svim citiranim slučajevima došlo do propusta u provjeri i verifikaciji identiteta žrtava. U ovim primjerima to, naravno, nema veze s informacijskim tehnologijama: isprave su krivotvorene na klasičan način, bilježnici su površno provjeravali ugovore, dolazilo je do propusta sudskih službenika - pretpostavljam da će istražna tijela imati dovoljno posla. No, iz ovih slučajeva pouku treba izvući državna uprava: jedna od funkcija tijela u pravnoj državi je i pružanje servisa kroz koji se potvrđuje vjerodostojnost transkacija, podataka o predmetima ovih transkacija, a naročito identitet osoba koje sudjeluju u transkacijama. Zamahom digitalne državne uprave, servisi potvrde vjerodostojnosti postati će kritični. Dizajn i implementacija servisa mora biti izuzetna, a operativna provedba treba onemogućiti sve zloupotrebe. Pored toga, već sada bi trebalo dati jasne odgovore tko će biti odgovoran za slične slučajeve u sustavu digitalne državne uprave, a naročio tko će pokrivati financijske štete u ovim slučajevima?

24.6.08

Verizon: Izvještaj o sigurnosnim incidentima

Poslovne obveze i Euro 2008 bile su razlog što su se prorijedili napisi na ovim stranicama, no, obećajem, vraćam se uobičajenom tempu.

Nedavno se pojavio jedan veoma zanimljiv tekst tvrtke Verizon - značajnog globalnog pružatelja telekomunikacijskih usluga, o računalnim sigurnosnim incidentima. Naime, prošlogodišnjom akvizicijom tvrtke Cybetrust, Verizon je postao i jedan od vodećih pružatelja sigurnosnih usluga. Njihovi su timovi vodili forenzičku istragu u više od 500 slučajeva tijekom protekle četiri godine. Dokument na koji vas upućujem donosi sintetičku analizu ovih slučajeva i na tridesetak stranica pruža zanimljive zaključke.

Jedan od osnovnih zaključaka izazvao je ponajviše komentara u web prostoru. Verizon iznosi podatak da je 73% incidenata izazvano vanjskim prijetnjama, 18% slučajeva je rezultat unutarnjih prijetnji a 39% slučajeva je rezultat djelovanja poslovnih partnera (neka vas ne zbuni činjenica da zbroj ovih znamenaka prelazi 100%, Verizon tvrdi da je veliki broj incidenata uzrokovan djelovanjem iz više od jednog izvora). Neki autori u web i blog prostoru su iskoristili ovaj podatak kao argument koji bi trebao potvrditi kako je strah od insiderskih prijetnji pretjeran. Naravno, vanjske prijetnje su postale sve prisutnije i sofisticiranije, a zbog sve neposrednije povezanosti i, praktički, neprekinutog korištenja Interneta servisa, učestalost vanjskih prijetnji, bez sumnje, dominira. No, ne bi trebalo izvlačiti pogrešne zaključke o prestanku insiderskih prijetnji i to iz nekoliko razloga.

Kategorizacija izvora prijetnji kako je definira Verizon pomalo je dvojbena. Naime, u stručnoj javnosti je prihvaćena definicija insidera kao svih osoba koji pristupaju informacijskom sustavu neke organizacije s određenom i formalno dodjeljenom razinom privilegija. Formalni odnos (zaposlenje) ne bi trebao biti kriterij, pa tako pojam insideri obuhvaća i privremene zaposlenike, konzultante, servisno osoblje pa i vanjske partnere. Prema tome, prije spomenuti postoci poprimaju druge omjere.

No, treba reći da ni Verizon ne ohrabruje zaključke o manjoj prisutnosti insiderskih prijetnji. U dokumentu je istaknuto da su njihovi timovi nastupali kod složenih slučajeva, dok se neki jednostavniji slučajevi - krađa laptopa, fizički incidenti - rješavaju izvan forenzičkih aktivnosti. Tome, svakako treba pribrojiti sve druge jednostavne, a svakako učestale, insiderske incidenate koji nisu ušli u ovu statistiku.

Sama analiza dodatno potvrđuje realne rizike od insiderskih prijetnji. Jedan od nalaza govori o prosječnom kapacitetu ugroženih podataka (specificiran je kao broj kompromitiranih slogova) ovisno o izvoru prijetnje. Eksterne prijetnje su rezultirale s prosječno 30.000 kompormitiranih slogova, prijetnje partnera s prosječno 187.500 ugroženih slogova, a prijetnje "insidera" s prosječno 375.000 ugroženih slogova.

Umjesto zaključka o manjoj kritičnosti insiderskih prijetnji, pravi bi zaključak trebao sugerirati potrebu za cjelovitim pogledom na prijetnje, ranjivosti i potencijalne gubitke (dakle, za "risk managementom"). Pri tome, treba odbaciti i generaliziranja koja idu u drugu stranu, te prenaglašavaju insiderske prijetnje bez opipljivih argumenata.

Preostali dio teksta jako je zanimljiv. Umjesto prepričavanja, istaknuti ću samo nekoliko zanimljivih zaključaka:
  • Glavni vektor djelovanja prijetnji su greške žrtve - pri čemu su propusti u definciji i konfiguraciju prisutni u 79% grešaka. Drugi i tek nešto niže plasirani vektor je hackerska aktivnost napadača (39% slučajeva se odnosi na hackiranje aplikacija, a preostali slučajevi su distribuirani na razne oblike ranjivosti operativnog sustava)
  • Čak 52% slučajeva zahtjevalo je nisku razinu ekspertize napadača, a visoka ekspertiza je primjenjena samo u 17% slučajeva. Ovaj podatak svakako treba otvoriti oči svima.
  • Samo 15% napada je bilo direktno fokusirano i usmjereno na izabrane žrtve, preostali napadi su bili ipak rezultat slučaja te direktne ili indirektne prigode koja se ukazala napadaču
  • Meni je posebno zanimljiv podataka da je čak 70% incidenata otkriveno nakon dojave treće strane. Interna ili eksterna revizija utvrdila je 5% slučajeva, a praćenje i analiza logova utvrdila je 4% slučajeva.
Svaka tržišna analiza sadrži potencijalne nepreciznosti, često su prisutni brojni faktori koju mogu utjecati na konačni zaključak, a treba uzeti u obzir takve analize imaju najčešće i svojeg - direktno zainteresiranog - sponzora. No ipak, ovaj dokument ima dovoljno argumenata za čitanje.