Kako javlja današnji tisak, na WikiLeaksu je izašla poruka američkog veleposlanika u Zagrebu iz veljače 2010. U toj poruci on prepričava svoj razgovor s državnim odvjetnikom Bajićem, a jedna od tema je bila i Podravka.
Tekst dijela poruke:
(C) Bajic has said privately that Podravka could be Croatia’s Enron, a game-changing case in the GoC’s efforts to tackle corruption, particularly if he can obtain sufficient evidence that Polancec intentionally undersold XXXXXXXXXXXX. Cooperation with Hungarian prosecutors continues to improve. Bajic said he was very impressed with the evidence and analysis the Hungarians provided on the XXXXXXXXXXXX connection.
S zadovoljstvom sam primjetio da je državni odvjetnik opisujući veleposlaniku aferu Spice koristio termin "Hrvatski Enron", a kako sam ja na ovim stranicama opisao istu aferu u listopadu 2009. Još nam ostaje vidjeti hoće li ovaj slučaj rezultuirati istim strukturnim pomacima kao svojedobno i Enron. Moglo bi se pokazati da neki i od velikih međunarodnih igrača nisu baš bili sasvim nevini u ovom slučaju (kao što nisu bili ni kod Enrona).
Inače, gornji citat je primjer filtriranja poruka prije nego što su postale dostupne na internoj mreži američke Vlade a potom i na WikiLeaksu (primjetite XXXXXXX u tekstu, to se možda odnosi na neku osobu ali i na neku institciju/kompaniju - bilo bi zanimljivo saznati o kome se radi). O ovome sam pisao u prethodnom tekstu o WikiLeaksu.
Također, nisam siguran da će link na jednu od replikacija WikiLeaksa koji navodim u uvodu biti živ u trenutku kada budete ovo čitali, no vjerujem da ćete pronaći ovaj "telegram" na drugim stranicama.
11.12.10
9.12.10
WikiLeaks - pogled sa stajališta informacijske sigurnosti
WikiLeaks nam ovih dana curi iz svih medija, znamo mnoge pikanterije američke diplomacije, zabavljaju nas reakcije lokalnih političara širom svijeta, a doznali smo podosta i o seksualnom životu Juliana Assangea. No, nisam našao previše informacija o jednoj važnoj temi koja će zanimati mnoge od vas: kako se moglo desiti da jedna velika informatička sila kao što je američka administracija napravi takav propust? Je li WikiLeaks uzrokovan banalnom nesmotrenošću informatičara ili pak sofisticiranom akcijom insidera?
Nisam naravno imao priliku upoznati informatičke sustave američke vlade, no iz različitih je izvora moguće rekonstruirati uzroke i tijek najznačajnije krađe podataka do sada.
Kako se desilo da ogromna količina povjerljivih podataka bude izložena i da nitko ne otkrije kontinuiranu krađu ovih podataka? Korijeni ovog slučaja su vezani za događaje 11. rujna 2001. Naime, američka je vlada nakon terorističkih napada bila izložena kritici zbog nefikasnog rada obavještajne zajednice. Navodno, postojale su određene "sirove" informacije koje su ukazivale na moguće napade na ciljeve u Sjedinjenim Državama, no nisu bile dostupne analitičarima koji bi ih mogli protumačiti na pravi način. Da bi u budućnosti spriječili nastanak takvog informativnog vakuma, američka je vlada odlučila povezati brojne državne agencije - osobito Pentagon i State Department, a informacije koje one prikupljaju učiniti međusobno dostupnima.
U godinema koje su slijedile, SIPRnet - državna varijanta Internet mreže, no izolirana od javne mreže i znatno sigurnija, povezala je različite agencije američke vlade, vojske i obavještajne zajednice. Ovaj svojevrstan "crowdsourcing" projekt, bio je motiviran željom da se što bolje iskoristi potencijal informacija koje dostavlja brojna diplomatska, vojna i obavještajna mreža širom svijeta. No, kao i svaki inovativan informatički projekt, tako je i ovaj, pored potencijalnih doprinosa, nosio i rizike. Glavni rizik, u ovom slučaju, vezan je za problem dosljedne kontrole pristupa materijalima koji se nalaze na mreži. Na SIPRnet mreži bili su dostupni materijali klasificirani oznakom SECRET (materijali s oznakom TOP SECRET nalaze se na drugoj, odvojenoj i posebno štićenoj mreži), a pristup materijalima imaju vladini službenici ili pripadnici vojske koji su prošli odgovarajuću provjeru ("clearance"). Svi vi koji ste se susreli s problematikom klasifikacije i kontrole pristupa nestrukturiranim podacima (dokumenti, tekstualne datoteke...) znate da je gotovo nemoguće napraviti striktnu kontrolu prava pristupa na razini dokumena: to u pravilu unosi značajan dodatni napor i nove troškove, ali ograničava dostupnost i iskoristivost dokumenata. Primjena principa "need-to-know" - dakle da pojedinom korisniku bude omogućen pristup samo do onih informacija koje su neophodne za njegov posao, gotovo je nemoguća misija. Široka dostupnost i labava kontrola pristupa bili su, dakle, preduvjet uspjeha projekta američke vlade, a sigurnost podataka temeljila se na povjerenju koje je dodjeljeno korisnicima.
Bilo je, naravno, pitanje vremena kada će podaci procuriti.
Wikileaks je sredinom godine objavio brojne povjerljive dokumente vezane za rat u Iraku i Afganistanu. Dokumente je, prema vlastitom priznanju - pogledajte odličan tekst iz Wired-a, prikupio i proslijedio WikiLeaks-u pripadnik američke vojske, 22-godišnji obavještajni analitičar Bradley Manning. Prije nekoliko tjedana, WikiLeaks je objavio i povjerljive poruke američkih diplomata, smatra se da je i ovu skupinu dokumenata prikupio Manning, iako se on u ovom slučaju nije istrčao s priznanjem a WiliLeaks naravno nije otkrio izvor informacija..
Povjerljivi podaci o ratu u Iraku i Afganistanu i diplomatske poruke su smještene u bazama podataka na različitim serverima SIPRneta. Mannning je imao pristup na oba sustava, a podataka nije nedostajalo. Gotovo da nisu prethodno filtrirani. Istina, treba reći da su dokumenti koji su išli prema vrhu američke vlasti i vojnom vrhu bili klasificirani kao TOP SECRET i nisu bili na ovim sustavima, niti su dostupni putem SIPRnet-a (zato su neki i lagano razočarani što su kroz WikiLeaks procurile tek sitnije ribe). Ipak, Manning je i bez najpovjerljivijih podataka imao dosta materijala, a dokumenti o ratu u Iraku su bili osobito šokantni. Treba primjetiti da većina podataka kojima je mogao pristupiti, Manningu nisu nimalo trebali u svakodnevnom poslu, no to je posljedica nemogućnosti dosljedne primjene principa "need-to-know".
Manning je, prema vlastitoj izjavi, podatke je kopirao na CD-RW diskove, a potom na drugom mjestu prenosio podatke na USB memorije. Treba reći da sigurnosna pravila američke vojske nalažu veoma strogu primjenu mjera fizičke zaštite pa se postavlja pitanje kako je Manning mogao unijeti CD u zaštićeni radni prostor gdje se nalazilo računalo s pristupom SIPRnet-u. Odgovor je jednostavan - Manning je bio na službi u Iraku gdje je i izvukao podatke. Smatra se da se mjere informatičke zaštite na lokacijama izvan stalnih vojnih baza u SAD-u i svijetu ne provode dosljedno i striktno. Tako je, izgleda, bilo i u stožeru u Iraku gdje je radio Manning, koji nije imao problema oko unosa medija u štićeni prostor. Kako i sam kaže, bio je iznenađen niskom razinom mjera informacijske sigurnosti i činjenicom da nitko nije uočio krađu podataka. Smtram velikim propustom i činjenicu da je računalo s kojeg je Manning pristupio SIPRnet-u, a koje je trebalo biti konfigurirano prema veoma strogim i ograničavajućim pravilima, imalo CD pisač.
Iz ovog slučaja možemo prepoznati tri glavna momenta koji se obično ponavljaju u slučajevima insiderskih prijetnji.
Prvo, ne samo da situacija čini lopova nego i okolina može djelovati kao značajan katalizatorski moment za insiderske prijetnje. Osobito u vojsci, gdje stresne situacije u kojima se mogu naći vojnici na službi ili zadacima izvan matične zemlje, djeluju kao poticaj za akcije koje je manifestirao Manning.
Drugo, vi možete kontrolirati pristup resursima informacijskog sustava ali ne možete kontrolirati trošenje povjerenja koje ste dodjeliti svom korisniku.
I treće: mjere fizičke kontrole su često najjača mjera zaštite od insiderskih prijetnji.
Nisam naravno imao priliku upoznati informatičke sustave američke vlade, no iz različitih je izvora moguće rekonstruirati uzroke i tijek najznačajnije krađe podataka do sada.
Kako se desilo da ogromna količina povjerljivih podataka bude izložena i da nitko ne otkrije kontinuiranu krađu ovih podataka? Korijeni ovog slučaja su vezani za događaje 11. rujna 2001. Naime, američka je vlada nakon terorističkih napada bila izložena kritici zbog nefikasnog rada obavještajne zajednice. Navodno, postojale su određene "sirove" informacije koje su ukazivale na moguće napade na ciljeve u Sjedinjenim Državama, no nisu bile dostupne analitičarima koji bi ih mogli protumačiti na pravi način. Da bi u budućnosti spriječili nastanak takvog informativnog vakuma, američka je vlada odlučila povezati brojne državne agencije - osobito Pentagon i State Department, a informacije koje one prikupljaju učiniti međusobno dostupnima.
U godinema koje su slijedile, SIPRnet - državna varijanta Internet mreže, no izolirana od javne mreže i znatno sigurnija, povezala je različite agencije američke vlade, vojske i obavještajne zajednice. Ovaj svojevrstan "crowdsourcing" projekt, bio je motiviran željom da se što bolje iskoristi potencijal informacija koje dostavlja brojna diplomatska, vojna i obavještajna mreža širom svijeta. No, kao i svaki inovativan informatički projekt, tako je i ovaj, pored potencijalnih doprinosa, nosio i rizike. Glavni rizik, u ovom slučaju, vezan je za problem dosljedne kontrole pristupa materijalima koji se nalaze na mreži. Na SIPRnet mreži bili su dostupni materijali klasificirani oznakom SECRET (materijali s oznakom TOP SECRET nalaze se na drugoj, odvojenoj i posebno štićenoj mreži), a pristup materijalima imaju vladini službenici ili pripadnici vojske koji su prošli odgovarajuću provjeru ("clearance"). Svi vi koji ste se susreli s problematikom klasifikacije i kontrole pristupa nestrukturiranim podacima (dokumenti, tekstualne datoteke...) znate da je gotovo nemoguće napraviti striktnu kontrolu prava pristupa na razini dokumena: to u pravilu unosi značajan dodatni napor i nove troškove, ali ograničava dostupnost i iskoristivost dokumenata. Primjena principa "need-to-know" - dakle da pojedinom korisniku bude omogućen pristup samo do onih informacija koje su neophodne za njegov posao, gotovo je nemoguća misija. Široka dostupnost i labava kontrola pristupa bili su, dakle, preduvjet uspjeha projekta američke vlade, a sigurnost podataka temeljila se na povjerenju koje je dodjeljeno korisnicima.
Bilo je, naravno, pitanje vremena kada će podaci procuriti.
Wikileaks je sredinom godine objavio brojne povjerljive dokumente vezane za rat u Iraku i Afganistanu. Dokumente je, prema vlastitom priznanju - pogledajte odličan tekst iz Wired-a, prikupio i proslijedio WikiLeaks-u pripadnik američke vojske, 22-godišnji obavještajni analitičar Bradley Manning. Prije nekoliko tjedana, WikiLeaks je objavio i povjerljive poruke američkih diplomata, smatra se da je i ovu skupinu dokumenata prikupio Manning, iako se on u ovom slučaju nije istrčao s priznanjem a WiliLeaks naravno nije otkrio izvor informacija..
Povjerljivi podaci o ratu u Iraku i Afganistanu i diplomatske poruke su smještene u bazama podataka na različitim serverima SIPRneta. Mannning je imao pristup na oba sustava, a podataka nije nedostajalo. Gotovo da nisu prethodno filtrirani. Istina, treba reći da su dokumenti koji su išli prema vrhu američke vlasti i vojnom vrhu bili klasificirani kao TOP SECRET i nisu bili na ovim sustavima, niti su dostupni putem SIPRnet-a (zato su neki i lagano razočarani što su kroz WikiLeaks procurile tek sitnije ribe). Ipak, Manning je i bez najpovjerljivijih podataka imao dosta materijala, a dokumenti o ratu u Iraku su bili osobito šokantni. Treba primjetiti da većina podataka kojima je mogao pristupiti, Manningu nisu nimalo trebali u svakodnevnom poslu, no to je posljedica nemogućnosti dosljedne primjene principa "need-to-know".
Manning je, prema vlastitoj izjavi, podatke je kopirao na CD-RW diskove, a potom na drugom mjestu prenosio podatke na USB memorije. Treba reći da sigurnosna pravila američke vojske nalažu veoma strogu primjenu mjera fizičke zaštite pa se postavlja pitanje kako je Manning mogao unijeti CD u zaštićeni radni prostor gdje se nalazilo računalo s pristupom SIPRnet-u. Odgovor je jednostavan - Manning je bio na službi u Iraku gdje je i izvukao podatke. Smatra se da se mjere informatičke zaštite na lokacijama izvan stalnih vojnih baza u SAD-u i svijetu ne provode dosljedno i striktno. Tako je, izgleda, bilo i u stožeru u Iraku gdje je radio Manning, koji nije imao problema oko unosa medija u štićeni prostor. Kako i sam kaže, bio je iznenađen niskom razinom mjera informacijske sigurnosti i činjenicom da nitko nije uočio krađu podataka. Smtram velikim propustom i činjenicu da je računalo s kojeg je Manning pristupio SIPRnet-u, a koje je trebalo biti konfigurirano prema veoma strogim i ograničavajućim pravilima, imalo CD pisač.
Iz ovog slučaja možemo prepoznati tri glavna momenta koji se obično ponavljaju u slučajevima insiderskih prijetnji.
Prvo, ne samo da situacija čini lopova nego i okolina može djelovati kao značajan katalizatorski moment za insiderske prijetnje. Osobito u vojsci, gdje stresne situacije u kojima se mogu naći vojnici na službi ili zadacima izvan matične zemlje, djeluju kao poticaj za akcije koje je manifestirao Manning.
Drugo, vi možete kontrolirati pristup resursima informacijskog sustava ali ne možete kontrolirati trošenje povjerenja koje ste dodjeliti svom korisniku.
I treće: mjere fizičke kontrole su često najjača mjera zaštite od insiderskih prijetnji.
25.9.10
Operacionalizacija informacijske sigurnosti
Odmah na početku ispričavam se za dulji izostanak novih tekstova (kolege me na to redovito upozoravaju - pozdrav Zlatku!). Zapravo, već dulje vrijeme planiram objaviti moj pogled na stanje operativnog aspekta informacijske sigurnosti u našoj okolini, s obzirom da je to tematika s kojom se već godinama susrećem.
Prošlo je nešto preko dva mjeseca od objave otkrivanja trojanca Stuxnet. Brojni napisi objavljeni u ovom razdoblju potvrdili su izuzetnu malicioznost ovog programa, Microsoft je uz dosta petljanja objavio (neke) popravke, a pojavili su se i teorije (koje sam i ja implicitno naznačio u mom napisu) o državnom sponzorstvu ovog trojanca.
Cijela situacija oko trojanca Stuxnet nameće jedno pitanje: koliko su hrvatske državne institucije, javni sektor i privatne tvrtke otporne na ovako profilirane prijetnje (ili Advanced Persistent Threat, kako ih se u zadnje vrijeme naziva)? Bojim se da je odgovor jako tanak.
Kao što sam već više puta primjetio ovdje ali i u drugim prilikama, svijest o informacijskoj sigurnosti je unatrag desetak godina izuzetno evoluirala, što se naravno odrazilo i na stvarno stanje i procese u našim tvrtkama. Dokaz ovome je opće prihvaćnje normi iz obitelji ISO 2700x, jačanje regulatornih zahtjeva naročito onih iza kojih stoji HNB, te praktično uvođenje osnovnih sigurnosnih procesa. Ipak, rekao bih da se stalo na pola puta. Izuzetno smo jaki na razini definicije i propisivanja sigurnosnih zahtjeva, dok operativna provedba procesa još zaostaje. Zapravo, primjena sigurnosnih principa je zadovoljavajuća kada je upitanju očuvanje dostupnosti i kontinuiteta poslovanja, no čini mi se da su druge prijetnje (naročito namjerno djelovanje ljudskog faktora, koji predstavlja suštinu APT prijetnji) još uvijek podcjenjene.
Ova se situacija može jednostavno protumačiti: prekidi dostupnosti uslijed prirodnih ili tehničkih nepogoda mogu se lako objasniti, iskustva o njima su veoma bolna, lako su razumljivi i provedivi unutar postojećeg opsega kompetencija informatičkih službi, a često su vezani i sa jakim interesom dobavljača s obzirom da svaki takav projekt generira dodatnu prodaju hardverskih komponenti.
Djelovanje ljudskog faktora (naročito motiviranog) druga je priča. Obrana se u ovom slučaju temelji isto tako na djelovanju ljudskog faktora. Alati i sigurnosni sustavi nisu na odmet, no sami po sebi neće dati rezultate, pa su nažalost česti primjeri nesmotrenih investicija u opremu bez zadovoljavajućih rezultata.
Obrana od motiviranog ljudskog djelovanja temelji se na dva aspekta obrane. Prvi je usmjeren na procese koji djeluju na računalne (ali i ljudske) ranjivosti i nedostatke, a drugi je usmjeren na praćenje i otkrivanje neposrednog djelovanja i manifestacija prijetnji. Prvi je preventivan, dok drugi mora detektirati i ograničiti djelovanje. Prvi je proaktivan, drugi je korektivan.
Ovi procesi u mnogim organizacijama nisu provedeni na cjelovit način niti možemo govoriti o upravljivosti ovim procesima. Bojim se da bi djelovanje dobro motiviranog i tehnički utemeljenog ljudskog faktora moglo imati pogubne posljedice.
U ovakvoj situaciji, mnoge organizacije zapravo neće nikad ni saznati da su bile žrtve takvih napada.
No postoji i drugi odgovor.
Možda malo tko ima potrebe pokrenuti sofisticirane tehnološke napade protiv državnih institucija (ako zanimljive informacije može dobiti na drugi način) ili možda naše tvrtke zapravo ne posjeduju atraktivan intelektualni kapital ili druge jedinstvene informacije koji bi motivirale konkurenciju (kao u prošlogodišnjem slučaju napada na Google). Pored toga, nepotrebno je napominjati, trećem ključnom elementu, našim osobnim podacima, sami neprekidno i dobrovoljno smanjujemo vrijednost tako da njihova kompromitacija, valjda neće više nikoga ni uzbuđivati.
Prošlo je nešto preko dva mjeseca od objave otkrivanja trojanca Stuxnet. Brojni napisi objavljeni u ovom razdoblju potvrdili su izuzetnu malicioznost ovog programa, Microsoft je uz dosta petljanja objavio (neke) popravke, a pojavili su se i teorije (koje sam i ja implicitno naznačio u mom napisu) o državnom sponzorstvu ovog trojanca.
Cijela situacija oko trojanca Stuxnet nameće jedno pitanje: koliko su hrvatske državne institucije, javni sektor i privatne tvrtke otporne na ovako profilirane prijetnje (ili Advanced Persistent Threat, kako ih se u zadnje vrijeme naziva)? Bojim se da je odgovor jako tanak.
Kao što sam već više puta primjetio ovdje ali i u drugim prilikama, svijest o informacijskoj sigurnosti je unatrag desetak godina izuzetno evoluirala, što se naravno odrazilo i na stvarno stanje i procese u našim tvrtkama. Dokaz ovome je opće prihvaćnje normi iz obitelji ISO 2700x, jačanje regulatornih zahtjeva naročito onih iza kojih stoji HNB, te praktično uvođenje osnovnih sigurnosnih procesa. Ipak, rekao bih da se stalo na pola puta. Izuzetno smo jaki na razini definicije i propisivanja sigurnosnih zahtjeva, dok operativna provedba procesa još zaostaje. Zapravo, primjena sigurnosnih principa je zadovoljavajuća kada je upitanju očuvanje dostupnosti i kontinuiteta poslovanja, no čini mi se da su druge prijetnje (naročito namjerno djelovanje ljudskog faktora, koji predstavlja suštinu APT prijetnji) još uvijek podcjenjene.
Ova se situacija može jednostavno protumačiti: prekidi dostupnosti uslijed prirodnih ili tehničkih nepogoda mogu se lako objasniti, iskustva o njima su veoma bolna, lako su razumljivi i provedivi unutar postojećeg opsega kompetencija informatičkih službi, a često su vezani i sa jakim interesom dobavljača s obzirom da svaki takav projekt generira dodatnu prodaju hardverskih komponenti.
Djelovanje ljudskog faktora (naročito motiviranog) druga je priča. Obrana se u ovom slučaju temelji isto tako na djelovanju ljudskog faktora. Alati i sigurnosni sustavi nisu na odmet, no sami po sebi neće dati rezultate, pa su nažalost česti primjeri nesmotrenih investicija u opremu bez zadovoljavajućih rezultata.
Obrana od motiviranog ljudskog djelovanja temelji se na dva aspekta obrane. Prvi je usmjeren na procese koji djeluju na računalne (ali i ljudske) ranjivosti i nedostatke, a drugi je usmjeren na praćenje i otkrivanje neposrednog djelovanja i manifestacija prijetnji. Prvi je preventivan, dok drugi mora detektirati i ograničiti djelovanje. Prvi je proaktivan, drugi je korektivan.
Ovi procesi u mnogim organizacijama nisu provedeni na cjelovit način niti možemo govoriti o upravljivosti ovim procesima. Bojim se da bi djelovanje dobro motiviranog i tehnički utemeljenog ljudskog faktora moglo imati pogubne posljedice.
U ovakvoj situaciji, mnoge organizacije zapravo neće nikad ni saznati da su bile žrtve takvih napada.
No postoji i drugi odgovor.
Možda malo tko ima potrebe pokrenuti sofisticirane tehnološke napade protiv državnih institucija (ako zanimljive informacije može dobiti na drugi način) ili možda naše tvrtke zapravo ne posjeduju atraktivan intelektualni kapital ili druge jedinstvene informacije koji bi motivirale konkurenciju (kao u prošlogodišnjem slučaju napada na Google). Pored toga, nepotrebno je napominjati, trećem ključnom elementu, našim osobnim podacima, sami neprekidno i dobrovoljno smanjujemo vrijednost tako da njihova kompromitacija, valjda neće više nikoga ni uzbuđivati.
27.7.10
Trebaju li političari biti Facebooku?
Jutarnji list je proteklog tjedna objavio članak o nespremnosti naših političara za otvaranje profila na Facebooku i sudjelovanje u društvenim mrežama, istog tjedna kada je i Facebook objavio podatak o 500 miljuna korisnika svog servisa.
Treba li nas zabrinjavati što naših političara nema na socijalnim mrežama?
Ovu temu sam već ranije dotaknuo na ovim stranicama, a glavni motiv mog interesa je stajalište da građani/pojedinci/osobe moraju biti zaštićeni od svih oblika zloupotrebe informacijskog sustava ili manipulacija informacijskim sustavom - bez obzira radi li se o zaštiti privatnosti koju ugrožavaju velike korporacije ili državne institucije ili se radi o očuvanju javnosti i prava na objektivno mišljenje koje ne smije biti ugroženo manipulacijama i inžinjeringom.
Kako se socijalne mreže uklapaju u ova polazišta?
Jedno od osnovnih mehanizama na kojem se temelji korištenje informacijskog sustava je mehanizam povjerenja. Ovim mehanizmom pružatelj i primatelj informacijskih servisa međusobno izmjenjuju simetrična ili asimetrična prava za korištenje servisa, a ova prava temelje na međusobnom povjerenju. U poslovnim sustavima se ovaj mehanizam može lako opisati iako upravljanje povjerenjem nigdje nije jednostavan posao. Kada je u pitanju povjerenje koje mora dodjeliti pojedinac na privatnoj razini, stvari se strašno kompliciraju, a ja ću se osvrnuti samo na dio ove problematike koja se odnosi na socijalne mreže.
Specifičnost socijalnih mreži je u tome što krajnji korisnici servisa ujedno imaju odgovornost dodjele povjerenja. Sama socijalna mreža je tek posrednik u ovom procesu. Dakle sudjelovanjem u socijalnim mrežama pojedinci koriste razne reputacijske alate kako bi odobrili ili opozvali povjerenje, stvarajući ili preuzimajući određeni model komunikacije među korisnicima, bilo da se radi o komunikaciji ravnopravnih članova ili o komunikaciju pojednog člana i grupe svojih sljedbenika. Ovakav model dodjele povjerenja, ali i sami servisi koji se koriste na socijalnim mrežama imaju znatne manjkavosti koje se oslikavaju u nemogućnosti verifikacije identiteta, manipulacije reputacijskim podacima, nekontroliranom preuzimanju sadržaja, a što na koncu vodi vodi do značajnih mogućnosti za manipulaciju informacijama koje se na socijalnim mrežama pružaju. Ne treba zanemariti i direktne prijetnje socijalnih mreža privatnosti sudionika a, što svakako treba zabrinuti odgovorne osobe u poslovnim sustavima ili državnim organizacijama, socijalne mreže su i izraziti kanal curenja informacija.
No, sudjelovanje političara uključuje i još jedan potencijalni problem: miješanje javnosti i svijeta virtualnih grupa. Sve da nas uopće nije briga o prije spomenutim problemima socijalnih mreža, uključivanje političara ne može biti njihova osobna stvar koja se tiče samo njih i uključenih članova socijalnih mreža (kao što mediji voli reći, političari su javne osobe pa moraju biti spremni na pojačan interes javnosti). Ne treba biti previše bistar kako bi se zaključilo da je interes političara za socijalne mreže povezan prije svega s mogućnošću socijalnih mreža za oblikovanje javnog mišljenja i građenje ciljane slike o samom/samoj sebi. Sasvim sam siguran da javnost ne može profitirati od sudjelovanja političara u javnim mrežama. Javnost može dobiti samo još jedan oblik manipulacije javim mišljenjem. Najgore što se na koncu može dogoditi da virtualna javnost zamjeni realnu javnost i da virutalne grupe zamjene javnu raspravu ili političke procese.
Stoga, zahvalan sam svima političarima koji nisu na Facebooku.
Treba li nas zabrinjavati što naših političara nema na socijalnim mrežama?
Ovu temu sam već ranije dotaknuo na ovim stranicama, a glavni motiv mog interesa je stajalište da građani/pojedinci/osobe moraju biti zaštićeni od svih oblika zloupotrebe informacijskog sustava ili manipulacija informacijskim sustavom - bez obzira radi li se o zaštiti privatnosti koju ugrožavaju velike korporacije ili državne institucije ili se radi o očuvanju javnosti i prava na objektivno mišljenje koje ne smije biti ugroženo manipulacijama i inžinjeringom.
Kako se socijalne mreže uklapaju u ova polazišta?
Jedno od osnovnih mehanizama na kojem se temelji korištenje informacijskog sustava je mehanizam povjerenja. Ovim mehanizmom pružatelj i primatelj informacijskih servisa međusobno izmjenjuju simetrična ili asimetrična prava za korištenje servisa, a ova prava temelje na međusobnom povjerenju. U poslovnim sustavima se ovaj mehanizam može lako opisati iako upravljanje povjerenjem nigdje nije jednostavan posao. Kada je u pitanju povjerenje koje mora dodjeliti pojedinac na privatnoj razini, stvari se strašno kompliciraju, a ja ću se osvrnuti samo na dio ove problematike koja se odnosi na socijalne mreže.
Specifičnost socijalnih mreži je u tome što krajnji korisnici servisa ujedno imaju odgovornost dodjele povjerenja. Sama socijalna mreža je tek posrednik u ovom procesu. Dakle sudjelovanjem u socijalnim mrežama pojedinci koriste razne reputacijske alate kako bi odobrili ili opozvali povjerenje, stvarajući ili preuzimajući određeni model komunikacije među korisnicima, bilo da se radi o komunikaciji ravnopravnih članova ili o komunikaciju pojednog člana i grupe svojih sljedbenika. Ovakav model dodjele povjerenja, ali i sami servisi koji se koriste na socijalnim mrežama imaju znatne manjkavosti koje se oslikavaju u nemogućnosti verifikacije identiteta, manipulacije reputacijskim podacima, nekontroliranom preuzimanju sadržaja, a što na koncu vodi vodi do značajnih mogućnosti za manipulaciju informacijama koje se na socijalnim mrežama pružaju. Ne treba zanemariti i direktne prijetnje socijalnih mreža privatnosti sudionika a, što svakako treba zabrinuti odgovorne osobe u poslovnim sustavima ili državnim organizacijama, socijalne mreže su i izraziti kanal curenja informacija.
No, sudjelovanje političara uključuje i još jedan potencijalni problem: miješanje javnosti i svijeta virtualnih grupa. Sve da nas uopće nije briga o prije spomenutim problemima socijalnih mreža, uključivanje političara ne može biti njihova osobna stvar koja se tiče samo njih i uključenih članova socijalnih mreža (kao što mediji voli reći, političari su javne osobe pa moraju biti spremni na pojačan interes javnosti). Ne treba biti previše bistar kako bi se zaključilo da je interes političara za socijalne mreže povezan prije svega s mogućnošću socijalnih mreža za oblikovanje javnog mišljenja i građenje ciljane slike o samom/samoj sebi. Sasvim sam siguran da javnost ne može profitirati od sudjelovanja političara u javnim mrežama. Javnost može dobiti samo još jedan oblik manipulacije javim mišljenjem. Najgore što se na koncu može dogoditi da virtualna javnost zamjeni realnu javnost i da virutalne grupe zamjene javnu raspravu ili političke procese.
Stoga, zahvalan sam svima političarima koji nisu na Facebooku.
23.7.10
Veoma nezgodna ranjivost
Proteklog tjedna je svijet obišla vijest o pojavi nove ranjivosti u svim verzijama Windows operativnog sustava od XP-a na dalje. Ranjivost je vezana za način kojim Windows obrađuje LNK datoteke. LNK datoteke se najčešće vezuju za ikonice prikazane na ekranu - popularno ih nazivamo shortcut - i u sebi sadržavaju link prema stvarnim objektima operativnog sustava do kojih se dolazi klikom na samu ikonicu. Najčešće se koriste za brz pristup programskom kodu. Do danas smo bili uvjereni da moramo kliknuti na ikonicu kako bi došli do nekog objekta ili pokrenuli program. No, ovog se tjedna pokazalo da to nije i jedini način pokretanja programa. Naime, Windowsi na nedovoljno oprezan - netko bi rekao nekontroliran - način obrađuje podatke ugrađene u LNK datoteke, tj. shortcute i pokazalo se da je dovoljno samo otvoriti mapu gdje se nalazi shortcut pa će program biti pokrenut. To će se desiti u slučaju da je podatak o linku formuliran na poseban način koji Windows krivo tumači. Korumpirani LNK file je samo vektor napada, a pravi napad eskalira ako program koji će se pokrenuti bez znanja i odobrenja korisnika ima maliciozni sadržaj.
Naravno, ovaj bug otvara brojne mogućnosti napadačima. Idealana primjena buga je širenje malicioznog koda putem USB memorijskih uređaja, no jednako tako je moguća disperzija putem mrežnih share objekata pa čak i pristupom putem web preglednika.
O kritičnosti buga govori i visoka ocjena registrirane ranjivosti CVE-2010-2568 prema CVSS sustavu ocjenjivanja ranjivosti.
Microsoft za sada nije objavio programski popravak, već nekoliko tehnika kojima se omogućuje zaobilaženje problema. Najvažnija preporuka je onemogućiti prikaz ikona za shortcut datoteke. Ova operacija se mora provesti izmjenom registry datoteka ili pozivanjem skripte putem Microsoftovih stranica.
Također, korisnici bi se trebali pridržavati standardnih uputa o izbjegavanju otvaranja sadržaja ili medija koji dolaze iz nepoznatih izvora.
Prvi slučaj u kojem je otkriveno iskorištavanje ovog buga vezan je za ugrožavanje industrijskih Siemens SCADA sustava i otkrivanje trojanca Stuxnet. Stuxnet je zapravo i omogućio utvrđivanje samog nedostataka u Windows operativnom sustavu. Trojanac Stuxnet koristi deafultni password za pristup Siemensom SCADA sustavu, čita podatke sa sustava i šalje ih na udaljeni server koji upravlja samim Stuxnet trojancem, smješten u Maleziji. No, analiza samog trojanca je pokazla da je sposoban napraviti i brojne druge akcije.
Slučaj Siemens SCADA i Stuxnet trojanac daju dobar štof teoretičarima zavjera. Naime, utvrđeno je da je Stuxnet bio najviše raširen u iranskoj bazi korisnika Siemens SCADA sustava (za neupućene, SCADA sustavi su industrijski računalni sustavi koji omogućuju kontrolne aktivnosti na širokom spektru industrijske primjene - od kemijske industrije, elektrodistribucije te brojnih drugih, uključujući i nuklearnu tehniku). Siemens je u proteklom razdoblju bio i meta američke kritike jer je navodno olakšavao provedbu iranskog nuklearnog programa o čemu piše i The Wall Street Journal. Naposljetku, Siemens je početkom godine objavio planove o zatvarnju ureda u Iranu.
Stuxnet je očigledno izvrsno napravljan alat industrijske špijunaže. Osim zero-day ranjivosti i izvrsno napisanog programa koji je dugo ostao prikriven postoji i još jedan zapanjujući detalj. Instalacija samog trojanca je bila potpisana legitimnim certifikatim dobro poznate tajvanske tvrtke Realtek Semiconductor. Istraga će svakako morati utvrditi na koji način su napadači došli u posjed samog certifikata.
Prema sadašnjim podacima, Stuxnet je u životu od siječnja ove godine. No, ostaje veliko pitanje je li ovakva ranjivost mogla i prije ostati nezamjećena i postoje li druge zloupotrebe o kojima ne znamo puno.
Bez obzira na specifičnost trojanca Stuxnet, ranjivost LNK datoteka imati će puno veći utjecaj nego što se sad naslućuje. Ovaj zaključak temeljim na nekoliko činjenica.
Prvo, bez obzira koliko brzo će Microsoft objaviti službeni patch, primjena patcheva u praksi znatno zaostaje, a dovoljno je da tek nekoliko računala u mreži nema ažurno stanje patcheva pa da cijela mreža bude ugrožena.
Drugo, nemojte se pouzdavati u efikasnost antivirusnog sustava. Naime, ranjivost se može iskoristiti i za ciljane napade koji imaju nekarakterističan profil programskog koda pa ih antivirusni programi neće odmah detektirati. Takva je situacija tipična za ciljane (targeted) računalne napade.
Treće, ranjivost je idealna za primjenu u scenarijima socijalnog inžinjeringa, koji se u praksi pokazuju kao najefikasniji u slučajevima insiderskih napada, industrijske špijunaže i u drugim oblcima krađe informacija.
LNK ranjivost, a posebno Stuxnet trojanac, su još jedan dokaz da računalna sigurnost bazirana na firewallu i antvirusnom sustavu nije jamac zaštite kada su u pitanju visoki ulozi.
Naravno, ovaj bug otvara brojne mogućnosti napadačima. Idealana primjena buga je širenje malicioznog koda putem USB memorijskih uređaja, no jednako tako je moguća disperzija putem mrežnih share objekata pa čak i pristupom putem web preglednika.
O kritičnosti buga govori i visoka ocjena registrirane ranjivosti CVE-2010-2568 prema CVSS sustavu ocjenjivanja ranjivosti.
Microsoft za sada nije objavio programski popravak, već nekoliko tehnika kojima se omogućuje zaobilaženje problema. Najvažnija preporuka je onemogućiti prikaz ikona za shortcut datoteke. Ova operacija se mora provesti izmjenom registry datoteka ili pozivanjem skripte putem Microsoftovih stranica.
Također, korisnici bi se trebali pridržavati standardnih uputa o izbjegavanju otvaranja sadržaja ili medija koji dolaze iz nepoznatih izvora.
Prvi slučaj u kojem je otkriveno iskorištavanje ovog buga vezan je za ugrožavanje industrijskih Siemens SCADA sustava i otkrivanje trojanca Stuxnet. Stuxnet je zapravo i omogućio utvrđivanje samog nedostataka u Windows operativnom sustavu. Trojanac Stuxnet koristi deafultni password za pristup Siemensom SCADA sustavu, čita podatke sa sustava i šalje ih na udaljeni server koji upravlja samim Stuxnet trojancem, smješten u Maleziji. No, analiza samog trojanca je pokazla da je sposoban napraviti i brojne druge akcije.
Slučaj Siemens SCADA i Stuxnet trojanac daju dobar štof teoretičarima zavjera. Naime, utvrđeno je da je Stuxnet bio najviše raširen u iranskoj bazi korisnika Siemens SCADA sustava (za neupućene, SCADA sustavi su industrijski računalni sustavi koji omogućuju kontrolne aktivnosti na širokom spektru industrijske primjene - od kemijske industrije, elektrodistribucije te brojnih drugih, uključujući i nuklearnu tehniku). Siemens je u proteklom razdoblju bio i meta američke kritike jer je navodno olakšavao provedbu iranskog nuklearnog programa o čemu piše i The Wall Street Journal. Naposljetku, Siemens je početkom godine objavio planove o zatvarnju ureda u Iranu.
Stuxnet je očigledno izvrsno napravljan alat industrijske špijunaže. Osim zero-day ranjivosti i izvrsno napisanog programa koji je dugo ostao prikriven postoji i još jedan zapanjujući detalj. Instalacija samog trojanca je bila potpisana legitimnim certifikatim dobro poznate tajvanske tvrtke Realtek Semiconductor. Istraga će svakako morati utvrditi na koji način su napadači došli u posjed samog certifikata.
Prema sadašnjim podacima, Stuxnet je u životu od siječnja ove godine. No, ostaje veliko pitanje je li ovakva ranjivost mogla i prije ostati nezamjećena i postoje li druge zloupotrebe o kojima ne znamo puno.
Bez obzira na specifičnost trojanca Stuxnet, ranjivost LNK datoteka imati će puno veći utjecaj nego što se sad naslućuje. Ovaj zaključak temeljim na nekoliko činjenica.
Prvo, bez obzira koliko brzo će Microsoft objaviti službeni patch, primjena patcheva u praksi znatno zaostaje, a dovoljno je da tek nekoliko računala u mreži nema ažurno stanje patcheva pa da cijela mreža bude ugrožena.
Drugo, nemojte se pouzdavati u efikasnost antivirusnog sustava. Naime, ranjivost se može iskoristiti i za ciljane napade koji imaju nekarakterističan profil programskog koda pa ih antivirusni programi neće odmah detektirati. Takva je situacija tipična za ciljane (targeted) računalne napade.
Treće, ranjivost je idealna za primjenu u scenarijima socijalnog inžinjeringa, koji se u praksi pokazuju kao najefikasniji u slučajevima insiderskih napada, industrijske špijunaže i u drugim oblcima krađe informacija.
LNK ranjivost, a posebno Stuxnet trojanac, su još jedan dokaz da računalna sigurnost bazirana na firewallu i antvirusnom sustavu nije jamac zaštite kada su u pitanju visoki ulozi.
18.3.10
Sudjelovanje na drugoj konferenciji Hrvatskog instituta internih revizora
Idući tjedan, od 25. do 27.03. 2010. u Opatiji se održava druga konferencija Hrvatskog instituta internih revizora. U petak drugog dana konferencije sudjelovati ću u radu sekcije koja se bavi sigurnošću informacijskih sustava. Tema moje prezentacije su sigurnosni incidenti i uloga internih revizora u uspostavi procesa praćenja sigurnosnih incidenata.
Sigurnosni incidenti su siva zona informacijske sigurnosti. Naše tvrtke u zadnjih nekoliko godina pokazuju porast zanimanja za organizacijski aspekt informacijske sigurnosti, sve više se govori o različitim radnim okvirima (a pomalo se ovi okviri i primjenjuju), interna revizije se sve ozbiljnije suočava s ovom problematikom... Istovremeno, o sigurnosnim incidentima, naročito onima koji se manifestiraju u kategorijama povjerljivosti i cjelovitosti, još uvijek se premalo zna. Glavni razlog ove ignorancije leži u nedostatku i manjkavostima procesa sigurnosnog nadzora nad radom informacijskog sustava. Rezultat: o informacijskim rizicima vlada bolja slika nego što ona (možda) treba biti, nedostaje komponenta povjesnog pogleda na mnoge računalne prijetnje.
Uloga IT revizora je dvojaka. Prvo, IT revizori svakako moraju biti među pokretačma inicijative za uspostavu procesa praćenja sigurnosnih incidenata. Drugo, IT revizori mogu (pa i moraju) i sudjelovati u postupku rješavanja ovih incidenata, naravno u okvirima svojih nadležnosti.
Vidimo se u Opatiji.
Sigurnosni incidenti su siva zona informacijske sigurnosti. Naše tvrtke u zadnjih nekoliko godina pokazuju porast zanimanja za organizacijski aspekt informacijske sigurnosti, sve više se govori o različitim radnim okvirima (a pomalo se ovi okviri i primjenjuju), interna revizije se sve ozbiljnije suočava s ovom problematikom... Istovremeno, o sigurnosnim incidentima, naročito onima koji se manifestiraju u kategorijama povjerljivosti i cjelovitosti, još uvijek se premalo zna. Glavni razlog ove ignorancije leži u nedostatku i manjkavostima procesa sigurnosnog nadzora nad radom informacijskog sustava. Rezultat: o informacijskim rizicima vlada bolja slika nego što ona (možda) treba biti, nedostaje komponenta povjesnog pogleda na mnoge računalne prijetnje.
Uloga IT revizora je dvojaka. Prvo, IT revizori svakako moraju biti među pokretačma inicijative za uspostavu procesa praćenja sigurnosnih incidenata. Drugo, IT revizori mogu (pa i moraju) i sudjelovati u postupku rješavanja ovih incidenata, naravno u okvirima svojih nadležnosti.
Vidimo se u Opatiji.
23.2.10
Upoznajte URIS na djelu
Prije, otprilike, pola godine pisao sam o aplikaciji URIS namjenjenoj za procjenu rizika informacijskih sustava. Ova aplikacija se temelji na međunarodno priznatoj metodolagiji MEHARI. Više o razlozima za razvoj aplikacije kao i o potrebi za korištenjem ove aplikacije možete pronaći u gore spomenutom napisu.
Joško Martinac iz poduzeća Adservio, autor razvojno-aplikativnog dijela aplikacije URIS, prije nekoliko dana je napravio šest kraćih snimaka rada ove aplikacije, a možete ih pogledati na ovoj stranici. Ove snimke jako dobro ilustriraju glavne funkcije i vjerujem da će vam znatno približiti mogućnosti i načine primjene. Treba reći da se aplikacija stalno dorađuje, pa će, u trenutku kada budete gledali ove snimke, dopune i nova poboljšanja biti u funkciji (marketinški stručnjaci: ne budite prestrogi prema kvaliteti materijala!).
U nastavku slijedi šest snimaka.
Napomena: snimke će bolje izgledati ako ih pogledate preko dolje navedenih linkova na YouTube (umjesto preglednika ugrađenog u samu stranicu). Ako pak želite još bolju kvalitetu snimka, na kraju stranice ćete naći uputu o preuzimanju originalnih avi datoteka.
Aplikacija URIS - uvodni pregled:
(ovaj snimak možete pogledati i ovdje - YouTube)
Aplikacija URIS - procjena vrijednosti informacijske imovine:
(ovaj snimak možete pogledati i ovdje - YouTube)
Aplikacija URIS - procjena vrijednosti informacijske imovine (nastavak) i procjena visine prijetnji:
(ovaj snimak možete pogledati i ovdje - YouTube)
Aplikacija URIS - ocjena prisutnih kontrolnih mjera:
(ovaj snimak možete pogledati i ovdje - YouTube)
Aplikacija URIS - izračun rizika:
(ovaj snimak možete pogledati i ovdje - YouTube)
Aplikacija URIS - izvještavanje:
(ovaj snimak možete pogledati i ovdje - YouTube)
Ako želite vidjeti ove snimke u još boljoj kvaliteti i ako nemate komunikacijskih ograničenja, možete preuzeti originalne avi datoteke (pažnja: veličine datoteka su od 30 MB do 60 MB) s donjih linkova:
Prvi dio
Drugi dio
Treći dio
Četvrti dio
Peti dio
Šesti dio
Ovo su naravno tek glavne značajke aplikacije. Slobodno nam se javite ukoliko želite saznati više informacija o ovoj aplikaciji, upriličiti prezentaciju aplikacije ili pak želite cjelovito riješiti problematiku uvođenja upravljanja informacijskim rizicima.
Joško Martinac iz poduzeća Adservio, autor razvojno-aplikativnog dijela aplikacije URIS, prije nekoliko dana je napravio šest kraćih snimaka rada ove aplikacije, a možete ih pogledati na ovoj stranici. Ove snimke jako dobro ilustriraju glavne funkcije i vjerujem da će vam znatno približiti mogućnosti i načine primjene. Treba reći da se aplikacija stalno dorađuje, pa će, u trenutku kada budete gledali ove snimke, dopune i nova poboljšanja biti u funkciji (marketinški stručnjaci: ne budite prestrogi prema kvaliteti materijala!).
U nastavku slijedi šest snimaka.
Napomena: snimke će bolje izgledati ako ih pogledate preko dolje navedenih linkova na YouTube (umjesto preglednika ugrađenog u samu stranicu). Ako pak želite još bolju kvalitetu snimka, na kraju stranice ćete naći uputu o preuzimanju originalnih avi datoteka.
Aplikacija URIS - uvodni pregled:
(ovaj snimak možete pogledati i ovdje - YouTube)
Aplikacija URIS - procjena vrijednosti informacijske imovine:
(ovaj snimak možete pogledati i ovdje - YouTube)
Aplikacija URIS - procjena vrijednosti informacijske imovine (nastavak) i procjena visine prijetnji:
(ovaj snimak možete pogledati i ovdje - YouTube)
Aplikacija URIS - ocjena prisutnih kontrolnih mjera:
(ovaj snimak možete pogledati i ovdje - YouTube)
Aplikacija URIS - izračun rizika:
(ovaj snimak možete pogledati i ovdje - YouTube)
Aplikacija URIS - izvještavanje:
(ovaj snimak možete pogledati i ovdje - YouTube)
Ako želite vidjeti ove snimke u još boljoj kvaliteti i ako nemate komunikacijskih ograničenja, možete preuzeti originalne avi datoteke (pažnja: veličine datoteka su od 30 MB do 60 MB) s donjih linkova:
Prvi dio
Drugi dio
Treći dio
Četvrti dio
Peti dio
Šesti dio
Ovo su naravno tek glavne značajke aplikacije. Slobodno nam se javite ukoliko želite saznati više informacija o ovoj aplikaciji, upriličiti prezentaciju aplikacije ili pak želite cjelovito riješiti problematiku uvođenja upravljanja informacijskim rizicima.
17.2.10
IT sigurnost u predsjednikovom uredu
Kako danas javlja Večernji list, novoizabrani predsjednik Ivo Josipović će u svom uredu koristiti Windows operativni sustav.
U članku se citira nepoznati izvor iz predsjednikovog ureda koji kaže:
"– Windowsi su dobri i zbog određenih sigurnosnih standarda koji se moraju čuvati i tu nema milosti ni za koga pa ni za predsjednika – kaže naš izvor."
Prilično je neozbiljno i nekompetentno koristiti sigurnost kao argument u korist Windows operativnog sustava, a nasuprot Linuxu i drugim programima napisanim na temeljima otvorenog koda. Zapravo, takva samouvjerenost je problematična već sama po sebi i ne jamči nam da će informacije u predsjednikovom uredu biti zaštićene na pravi način.
Manje bi me začudilo da su se kao argumenti izvukli npr. nemogućnost otkazivanja ugovora Microsoftu, nemogućnost migracije u kratkom vremenu ili pak nesklonost predsjednikovih ljudi na učenje (iako je svaki od ovih argumenata jednako klimav). Argument može biti i neka važna aplikacija koja ne ide pod Linuxom, no ne vjerujem da će se netko na Pantovčaku baviti npr. Photoshopom.
Ne zagovaram a priori činjenicu da je Linux sigurniji od Windowsa, no kada netko, a naročito iz državnih tijela, tvrdi suprotno, morao bi imati dobre argumente. A takvih argumenata, kada govorimo o struci informacijske sigurnosti u svijetu, nema. Ako je u pitanju sigurnost, otvoreni kod općenito a i Linux kao operativni sustav posebno imaju niz argumenata na svojoj strani. Osporavatelji najčešće izvlače argument da besplatan kod ne može biti kvalitetno napravljen, previđajući činjenicu da broj čovjek/sati utrošen na razvoj i broj očiju zaposlen na testiranju otvorenog koda premašuju mnoge komercijale proizvode, a njegova arhitektura i izvedba nisu vođene tržišnim diktatom i zacrtanim rokovima realizacije pod svaku cijenu.
Za ilustraciju, uzmimo primjer nedavne napade na Google. Uzrok ovih napada bila je ranjivost u Internet Exploreru o kojoj je Microsoft znao mjesecima, a da nije pripremio popravak. Ovako nešto je nemoguće u otvorenom kodu. Nasuprot Internet Exploreru, statistike govore da se prijavljene ranjivosti u Firefoxu otklanjaju u znatno kraćem roku, što je svakako rezultat činjenice da Firefox pripada otvorenom kodu. Slika je naravno kompleksnija i zahtjeva nešto više prostora, nije baš ni sasvim crno-bijela, no trendovi svakako govore u prilog sigurnosti otvorenog koda.
Omiljeni argument osporavatelja sigurnosti Linuxa je i taj da ovaj operativni sustav nema puno ranjivosti jer je naprosto nezanimljiv istraživačima ranjivosti. Zbog malog broja instalacija (usporedimo li statistiku Linux desktop instalacija nasuprot Windowsima) oni se i ne pokušvaju baviti Linuxom, jer otkrivene ranjivosti ne mogu dobro naplatiti. Čak i da nema arhitekturne prednosti sigurnosnih svojstava Linux operativnog sustava i da je argument na mjestu, treba reći da će povećani broj Linux korisnika donijeti sa sobom i povećani broj razvojnih inicijativa i timova, povećani broj testova, a u konačnici povećanu sigurnost. Drugim riječima, povećanim korištenjem Open Sourcea automatski raste i razvojna podloga, što je potpuno suprotno zatvorenom i komercijalnom softveru.
U članku se citira nepoznati izvor iz predsjednikovog ureda koji kaže:
"– Windowsi su dobri i zbog određenih sigurnosnih standarda koji se moraju čuvati i tu nema milosti ni za koga pa ni za predsjednika – kaže naš izvor."
Prilično je neozbiljno i nekompetentno koristiti sigurnost kao argument u korist Windows operativnog sustava, a nasuprot Linuxu i drugim programima napisanim na temeljima otvorenog koda. Zapravo, takva samouvjerenost je problematična već sama po sebi i ne jamči nam da će informacije u predsjednikovom uredu biti zaštićene na pravi način.
Manje bi me začudilo da su se kao argumenti izvukli npr. nemogućnost otkazivanja ugovora Microsoftu, nemogućnost migracije u kratkom vremenu ili pak nesklonost predsjednikovih ljudi na učenje (iako je svaki od ovih argumenata jednako klimav). Argument može biti i neka važna aplikacija koja ne ide pod Linuxom, no ne vjerujem da će se netko na Pantovčaku baviti npr. Photoshopom.
Ne zagovaram a priori činjenicu da je Linux sigurniji od Windowsa, no kada netko, a naročito iz državnih tijela, tvrdi suprotno, morao bi imati dobre argumente. A takvih argumenata, kada govorimo o struci informacijske sigurnosti u svijetu, nema. Ako je u pitanju sigurnost, otvoreni kod općenito a i Linux kao operativni sustav posebno imaju niz argumenata na svojoj strani. Osporavatelji najčešće izvlače argument da besplatan kod ne može biti kvalitetno napravljen, previđajući činjenicu da broj čovjek/sati utrošen na razvoj i broj očiju zaposlen na testiranju otvorenog koda premašuju mnoge komercijale proizvode, a njegova arhitektura i izvedba nisu vođene tržišnim diktatom i zacrtanim rokovima realizacije pod svaku cijenu.
Za ilustraciju, uzmimo primjer nedavne napade na Google. Uzrok ovih napada bila je ranjivost u Internet Exploreru o kojoj je Microsoft znao mjesecima, a da nije pripremio popravak. Ovako nešto je nemoguće u otvorenom kodu. Nasuprot Internet Exploreru, statistike govore da se prijavljene ranjivosti u Firefoxu otklanjaju u znatno kraćem roku, što je svakako rezultat činjenice da Firefox pripada otvorenom kodu. Slika je naravno kompleksnija i zahtjeva nešto više prostora, nije baš ni sasvim crno-bijela, no trendovi svakako govore u prilog sigurnosti otvorenog koda.
Omiljeni argument osporavatelja sigurnosti Linuxa je i taj da ovaj operativni sustav nema puno ranjivosti jer je naprosto nezanimljiv istraživačima ranjivosti. Zbog malog broja instalacija (usporedimo li statistiku Linux desktop instalacija nasuprot Windowsima) oni se i ne pokušvaju baviti Linuxom, jer otkrivene ranjivosti ne mogu dobro naplatiti. Čak i da nema arhitekturne prednosti sigurnosnih svojstava Linux operativnog sustava i da je argument na mjestu, treba reći da će povećani broj Linux korisnika donijeti sa sobom i povećani broj razvojnih inicijativa i timova, povećani broj testova, a u konačnici povećanu sigurnost. Drugim riječima, povećanim korištenjem Open Sourcea automatski raste i razvojna podloga, što je potpuno suprotno zatvorenom i komercijalnom softveru.
16.2.10
Članak u "Novom listu"
Još jedan članak na temu OIB. Novi list je prošli tjedan objavio podatak da računi za siječanj jednog domaćeg pružatelja telekomunikacijskih usluga sadrže OIB samog pretplatnika (u ovom slučaju govorimo o privatnim pretplatnicima). Operater je, ujedno, ovo i obrazložio te obavještava pretplatnika da je njegov OIB dobio od Ministarstva financija.
Smatram da je ovo u potpunom neskladu sa Zakonom o zaštiti osobnih podataka.
Procjena da javni status OIB-a ne ugoržava našu privatnost je, bojim se, račun bez krčmara. Koliko god nam sada to izgledalo bezazleno, podataka označenih OIB-om biti će sve više i više. Što ih bude više, time će i vrijednost OIB-a rasti.
Ovo ima još jednu posljedicu. Naime, oni koji se bave rizicima informacijskog sustava lako će zaključiti da povećana vrijednost OIBA dodatno pojačava povećava rizik zloupotrebe. Naime, bez obzira koliko dobro postavili mjere zaštite OIB-a, njegova vrijednost će jače motivirati napadače na iskorištavanje nedostataka ili zaobilaženje ovih mjera.
Inače, u samom članku je i jedan moj komentar na ovaj slučaj.
Smatram da je ovo u potpunom neskladu sa Zakonom o zaštiti osobnih podataka.
Procjena da javni status OIB-a ne ugoržava našu privatnost je, bojim se, račun bez krčmara. Koliko god nam sada to izgledalo bezazleno, podataka označenih OIB-om biti će sve više i više. Što ih bude više, time će i vrijednost OIB-a rasti.
Ovo ima još jednu posljedicu. Naime, oni koji se bave rizicima informacijskog sustava lako će zaključiti da povećana vrijednost OIBA dodatno pojačava povećava rizik zloupotrebe. Naime, bez obzira koliko dobro postavili mjere zaštite OIB-a, njegova vrijednost će jače motivirati napadače na iskorištavanje nedostataka ili zaobilaženje ovih mjera.
Inače, u samom članku je i jedan moj komentar na ovaj slučaj.
9.2.10
Članak u časopisu Banka
5.2.10
Očekuju li nas krađe mobilnih identiteta? (2)
Jučer sam pisao o najavljenoj promjeni načina prodaje prepaid paketa, kojom će se značajno ugroziti zaštita osobnih podataka u Hrvatskoj. Moram reći da zapravo nisam uvjeren da je kontrola poziva i identifikacija sugovornika bio glavni (a naročito ne jedini) motiv države. Argumenti koje sam naveo u prošlom postu idu tome u prilog: samo zbog činjenica da se trenutno na tržištu nalazi veliki broj neregistriranih prepaid kartica ruši mogućnost da se u slijedećih barem pet do osam godina provede planirana kontrola.
Što je onda motiv?
Odgovor možda leži u prepaid mobilnom Internetu. Ovo je, vjerujem, najlakši način za očuvanje anonimnosti u Internet komunikaciji, a koji svakako pruža puno više potencijala za zloupotrebu od običnih razgovora ili slanja SMS poruka. Za svaki drugi oblik fiksnog ili mobilnog pristupa Internetu, pružatelj usluga može dati vlastima direktne ili indirektne podatke o identitetu korisnika Internet usluge. Iako je prošlo više od godine dana od pojave prepaid Internet usluge na našem tržištu, sada je - sa stajališta države - zapravo krajnji trenutak za uvođenje kontrole. Na ovaj način će se, smatra država, reducirati mogućnost anonimnog korištenja Interneta.
Ipak, ostajem na zaključku iz prethodnog zapisa i mislim da će ova odluka ugroziti privatnost samo dobronamjernih korisnika. Niskotehnološka rješenja (kao što je zapisivanje imena kupaca prepaid paketa) neće djelovati u borbi protiv cyber kriminala.
Što je onda motiv?
Odgovor možda leži u prepaid mobilnom Internetu. Ovo je, vjerujem, najlakši način za očuvanje anonimnosti u Internet komunikaciji, a koji svakako pruža puno više potencijala za zloupotrebu od običnih razgovora ili slanja SMS poruka. Za svaki drugi oblik fiksnog ili mobilnog pristupa Internetu, pružatelj usluga može dati vlastima direktne ili indirektne podatke o identitetu korisnika Internet usluge. Iako je prošlo više od godine dana od pojave prepaid Internet usluge na našem tržištu, sada je - sa stajališta države - zapravo krajnji trenutak za uvođenje kontrole. Na ovaj način će se, smatra država, reducirati mogućnost anonimnog korištenja Interneta.
Ipak, ostajem na zaključku iz prethodnog zapisa i mislim da će ova odluka ugroziti privatnost samo dobronamjernih korisnika. Niskotehnološka rješenja (kao što je zapisivanje imena kupaca prepaid paketa) neće djelovati u borbi protiv cyber kriminala.
4.2.10
Očekuju li nas krađe mobilnih identiteta?
Ovih dana se u medijima govori o vladinoj uredbi prema kojoj će se i prepaid kartice za mobilnu telefoniju prilikom kupnje morati registrirati imenom i prezimenom kupca odnosno korisnika.
O pogubnosti ove odluke za zaštitu privatnosti rečeno je dosta toga. Ja bih samo dodao da će takva odluka u javnosti oslabiti ionako nizak standard svijesti o zaštiti osobnih podataka. Proširuje se sveopća banalizacija privatnosti, a s vremenom će prosječni građanin sve teže razlikovati što je dozvoljeno a što ne.
No, ima jedan drugi detalj na koji želim ukazati. Ova odredba će zapravo potaknuti krađe mobilnih identiteta. Naime, osobe kojima je iz bilo kojeg razloga stalo da prikriju svoj telefonski identitet, sigurno će načina i sredstava da dođu do tuđih prepaid kartica. U početku će to biti trgovina s postojećim prepaid brojevima koji nisu registrirani imenom korisnika (pročitao sam ovih dana da je trenutno u Hrvatskoj 75% brojeva prema prepaid modelu, velik broj će se sigurno naći na ovoj burzi), a izgubljeni i zaboravljeni telefoni skupljati će se kao PVC boce. Nažalost, ova grana sive ekonomije će uskoro potaknuti krađe i otimačine telefona. Naročito će na meti biti djeca i maloljetnici (možda najzastupljeniji segment korisnika ovog tarifnog modela).
U svakom slučaju, oni koji iz tko zna kojih razloga budu htjeli ostati anonimni to će i uspjeti, a svima nama drugima će ostati nelagodan osjećak blizine Velikog brata.
O pogubnosti ove odluke za zaštitu privatnosti rečeno je dosta toga. Ja bih samo dodao da će takva odluka u javnosti oslabiti ionako nizak standard svijesti o zaštiti osobnih podataka. Proširuje se sveopća banalizacija privatnosti, a s vremenom će prosječni građanin sve teže razlikovati što je dozvoljeno a što ne.
No, ima jedan drugi detalj na koji želim ukazati. Ova odredba će zapravo potaknuti krađe mobilnih identiteta. Naime, osobe kojima je iz bilo kojeg razloga stalo da prikriju svoj telefonski identitet, sigurno će načina i sredstava da dođu do tuđih prepaid kartica. U početku će to biti trgovina s postojećim prepaid brojevima koji nisu registrirani imenom korisnika (pročitao sam ovih dana da je trenutno u Hrvatskoj 75% brojeva prema prepaid modelu, velik broj će se sigurno naći na ovoj burzi), a izgubljeni i zaboravljeni telefoni skupljati će se kao PVC boce. Nažalost, ova grana sive ekonomije će uskoro potaknuti krađe i otimačine telefona. Naročito će na meti biti djeca i maloljetnici (možda najzastupljeniji segment korisnika ovog tarifnog modela).
U svakom slučaju, oni koji iz tko zna kojih razloga budu htjeli ostati anonimni to će i uspjeti, a svima nama drugima će ostati nelagodan osjećak blizine Velikog brata.
28.1.10
"Open source" u Hrvata
Prije nekoliko tjedana je u Globusu objavljen članak o (ne)uvođenju "open source" softvera u državne institucije. Iako je ova tema izvan fokusa interesa ovih stranica, ipak ću, kao pobornik ideje "open sourca", odvojiti par redaka.
Naime, sa stajališta manje tvrtke apsolutno sam uvjeren da "open source" može zadovoljiti većinu zahtjeva koja se postavlja pred korištenje informacijskog sustava. U mojoj tvrtki koristimo specijalizirane sigurnosne sustave otvorenog koda ali i Linux kao osnovni operativni sustav na radnim stanicama i serverima, kao i različite serverske aplikacije koje nam olakšavaju rad. Glavna ograničenja vidimo u činjenici da se neki specijalizirani programski alati za sada mogu izvoditi isključivo na zatvorenim platformama (iako, postoje rješenja koja ruše i ove granice).
Naravno, poziv za uvođenje otvorenog koda treba rezultirati pametnom analizom kroz koju će se dokazati (ili možda opovrgnuti) "enterprise" potencijal ovih programa. Upravo bi ovakav projekt mogao biti kandidat za primjenu IT Governance principa i promišljeno uvođenje u produkciju (što, uglavnom, izostaje prilikom uvođenja "zatvorenog koda" jer se, eto, podrazumijeva njegova prikladnost). Pada mi napamet COBIT i poglavlje "Acquire and Implement"
Apsolutno sam suglasan sa financijskim aspektom cijele priče, o kojoj članak govori. Ne samo da bi se smanjili troškovi državne administracije, nego bi i novac koji je ipak neophodan za pogon informacijskog sustava u velikoj mjeri ostao u granicama države.
Postoji i još jedan aspekt o kojem članak ne govori. Primjenom otvorenog koda mogao bi se pokrenuti potencijal naših informatičkih stručnjaka u pravcu kreiranja novih informatičkih proizvoda (naravno, na principu otvorenog koda). Naš bi se informatički sektor, tako, mogao transformirati iz "reproduktivnog" u "stvaralački", što je neophodno za agresivniji izvozni pristup. Protivnici ove ideje imaju određena temeljna osporavanja: prema njima, otvoreni kod ne može biti gorivo održivog poslovnog modela, s obzirom da nije motiviran profitom a znanje ne tretira kao robu. Poznata je i epizoda u kojoj je Darl McBride, direktor tvrtke SCO koja je prije par godina pokušala reketariti "open source", uvjeravao američki Kongres kako "Open Source" predstavlja stratešku prijetnju američkom gospodarstvu i kapitalizmu u cjelini. Srećom, postoje brojni primjeri koji potvrđuju mogućnost pozitivnog poslovnog modela, a svima nama preostaje utvrditi što bi moglo najbolje funkcionirati u našoj okolini.
Naime, sa stajališta manje tvrtke apsolutno sam uvjeren da "open source" može zadovoljiti većinu zahtjeva koja se postavlja pred korištenje informacijskog sustava. U mojoj tvrtki koristimo specijalizirane sigurnosne sustave otvorenog koda ali i Linux kao osnovni operativni sustav na radnim stanicama i serverima, kao i različite serverske aplikacije koje nam olakšavaju rad. Glavna ograničenja vidimo u činjenici da se neki specijalizirani programski alati za sada mogu izvoditi isključivo na zatvorenim platformama (iako, postoje rješenja koja ruše i ove granice).
Naravno, poziv za uvođenje otvorenog koda treba rezultirati pametnom analizom kroz koju će se dokazati (ili možda opovrgnuti) "enterprise" potencijal ovih programa. Upravo bi ovakav projekt mogao biti kandidat za primjenu IT Governance principa i promišljeno uvođenje u produkciju (što, uglavnom, izostaje prilikom uvođenja "zatvorenog koda" jer se, eto, podrazumijeva njegova prikladnost). Pada mi napamet COBIT i poglavlje "Acquire and Implement"
Apsolutno sam suglasan sa financijskim aspektom cijele priče, o kojoj članak govori. Ne samo da bi se smanjili troškovi državne administracije, nego bi i novac koji je ipak neophodan za pogon informacijskog sustava u velikoj mjeri ostao u granicama države.
Postoji i još jedan aspekt o kojem članak ne govori. Primjenom otvorenog koda mogao bi se pokrenuti potencijal naših informatičkih stručnjaka u pravcu kreiranja novih informatičkih proizvoda (naravno, na principu otvorenog koda). Naš bi se informatički sektor, tako, mogao transformirati iz "reproduktivnog" u "stvaralački", što je neophodno za agresivniji izvozni pristup. Protivnici ove ideje imaju određena temeljna osporavanja: prema njima, otvoreni kod ne može biti gorivo održivog poslovnog modela, s obzirom da nije motiviran profitom a znanje ne tretira kao robu. Poznata je i epizoda u kojoj je Darl McBride, direktor tvrtke SCO koja je prije par godina pokušala reketariti "open source", uvjeravao američki Kongres kako "Open Source" predstavlja stratešku prijetnju američkom gospodarstvu i kapitalizmu u cjelini. Srećom, postoje brojni primjeri koji potvrđuju mogućnost pozitivnog poslovnog modela, a svima nama preostaje utvrditi što bi moglo najbolje funkcionirati u našoj okolini.
25.1.10
Uzrok napada na Google bio je poznat mjesecima
Izraelska tvrtka BugSec je još u kolovozu prošle godine obavijestila Microsoft o nedostatku u Internet Exploreru. Ovom upozorenju, očito je, Microsoft nije dodjelio visoki prioritet. Popravak nije objavljen na vrijeme, tek naknadne preporuke o zaobilaženju problematičnih funkcija u Internet Exploreru. Rezultat ove krive procjene osjetili su u prosincu Google i još tridesetak američkih tvrtki: upravo je ovaj nedostatak bio polazište napada kineskih hackera na ove tvrtke.
Ovakav razvoj događaja s prijavljenom pogreškom otvara nekoliko tema.
Prvo, pokazuje se da pritisak na stručnjake koji se bave računalnim ranjivostiima da ne objavljuju javno svoja otkrića, nije rezultirao adekvatnom predanošću od strane softverskih tvrtki. Nasuprot ovome, s pravom se može prihvatiti teza da bi neograničena objava svih nedostataka zapravo potaknula proizvođače na ažurnu izradu popravaka. Microsoft je popravak za uočeni napad objavio tek prije nekoliko dana. Ako uzmemo u obzir da će trebati tjedni i tjedni dok se ovaj popravak primjeni na zadovoljavajućem broju računala, lako možemo procjeniti da će znatan broj računala ostati ranjiv i do devet mjeseci (ovo tek površno spominjem, no radi se o kompleksnom problemu o kojem ću govoriti u slijedećim tjednima).
Drugo, znanje i informacije (pa bile one i softverski nedostaci) je nemoguće ograničiti i kontrolirati. Nedostatak u Internet Exploreru je bio jednako dostupan svim istraživačima, bez granica. Osim toga, underground sektor informatičke industrije promjenio je pristup, slično i napadačima. Naime, nekoliko sam puta spomenuo prošle godine da napadače ne motivira više pet minuta slave, već direktna korist od realiziranih napada. Isto tako se ni istraživači računarnih ranjivost neće rukovoditi općim dobrom, već će uočene nedostatke znati (a zapravo već znaju) dobro unovčiti.
Na koncu, dolazimo do suštine risk management procesa. Softverske kuće moraju primjereno procjeniti prijavljene ili uočene nedostatke, zapravo primjeniti principe upravljanja rizicima i u ovakvim slučajevima. Proizvođači moraju biti svjesni da je znanje napadača ("Threat" komponenta risk managementa) potpuno doraslo onima sa svijetle strane informacijskih tehnologija, što proizvođače obvezuje na održavanje visoke ocjene sposobnosti potencijalnih napadača. Drugim rječima, rizik od ovakvih napada ne smije biti nerazumljivo nizak pa da se na popravak čeka pet mjeseci.
Ovakav razvoj događaja s prijavljenom pogreškom otvara nekoliko tema.
Prvo, pokazuje se da pritisak na stručnjake koji se bave računalnim ranjivostiima da ne objavljuju javno svoja otkrića, nije rezultirao adekvatnom predanošću od strane softverskih tvrtki. Nasuprot ovome, s pravom se može prihvatiti teza da bi neograničena objava svih nedostataka zapravo potaknula proizvođače na ažurnu izradu popravaka. Microsoft je popravak za uočeni napad objavio tek prije nekoliko dana. Ako uzmemo u obzir da će trebati tjedni i tjedni dok se ovaj popravak primjeni na zadovoljavajućem broju računala, lako možemo procjeniti da će znatan broj računala ostati ranjiv i do devet mjeseci (ovo tek površno spominjem, no radi se o kompleksnom problemu o kojem ću govoriti u slijedećim tjednima).
Drugo, znanje i informacije (pa bile one i softverski nedostaci) je nemoguće ograničiti i kontrolirati. Nedostatak u Internet Exploreru je bio jednako dostupan svim istraživačima, bez granica. Osim toga, underground sektor informatičke industrije promjenio je pristup, slično i napadačima. Naime, nekoliko sam puta spomenuo prošle godine da napadače ne motivira više pet minuta slave, već direktna korist od realiziranih napada. Isto tako se ni istraživači računarnih ranjivost neće rukovoditi općim dobrom, već će uočene nedostatke znati (a zapravo već znaju) dobro unovčiti.
Na koncu, dolazimo do suštine risk management procesa. Softverske kuće moraju primjereno procjeniti prijavljene ili uočene nedostatke, zapravo primjeniti principe upravljanja rizicima i u ovakvim slučajevima. Proizvođači moraju biti svjesni da je znanje napadača ("Threat" komponenta risk managementa) potpuno doraslo onima sa svijetle strane informacijskih tehnologija, što proizvođače obvezuje na održavanje visoke ocjene sposobnosti potencijalnih napadača. Drugim rječima, rizik od ovakvih napada ne smije biti nerazumljivo nizak pa da se na popravak čeka pet mjeseci.
16.1.10
Napadi na Google - očekivano iznenađenje
Ovotjedna objava napada kineskih hackera na Google i tridesetak drugih američkih kompanija izazvala je brojne i glasne reakcije, no vjerujem da stručnjaci za računalnu sigurnost nisu previše iznenađeni tehničkim aspektom ovog ofenzive (ja sam o tome pisao tijekom ljeta prošle godine). Tijekom 2009. mogla su se pročitati brojna upozorenja o transformaciji klasičnih računalnih prijetnji i tehnika napada koju ove prijetnje koriste, uz najave trenda koji se upravo manifestirao. Frontalni i pompozni napadi kojima je cilj stvaranje publiciteta su odavno zastarjeli. Nastupilo je razdoblje diskretnih i ciljanih napada, usmjerenih na poznatu žrtvu. Cilj napadače nije steći pet minuta slave što je brže moguće, već strpljivim djelovanjem doći do svojih ciljeva, ma kakvi oni bili - od podataka iz kartičnog poslovanja pa do povjerljivih poslovnih tajni. Slava, pri tome, uopće nije bitna.
Suština ove taktike je slijedeća: sofisticiranim tehnikama prodire se u mrežu žrtve, a odmah potom se korišteni alati odbacuju poput padobrana, te se napadač ukopova u dostupnu nišu, zadržavajući prikrivenu i stalnu vezu sa nalogodavcima. Napadač se u drugoj fazi može ponašati donekle ležernije i na raspolaganju mu je dovoljno vremena da otkrije i iskoristi brojne nedostatke unutarnje mreže. Postavljeni cilj je na dohvat ruke. Pored toga, treba znati da klasični obrambeni mehanizmi - firewall i antivirusna zaštita - nisu nimalo djelotvorni kod ovih napada.
Činjenica da je slučaj Google razvikan i razvučen po svim medijima ne poriče moju tezu da slava nije motiv ovih napada. Ovaj slučaj je razvikan prije svega zato što je Google to htio, iz vlastitih razloga kojima se bave vanjskopolitički novinari.
Vjerujem da ste već doznali da su napadači u slučaju Google zloupotrebili zero-day ranjivost u Internet Exploreru (a ne nedostatak Acrobat Reader-a, kako se u prvi mah pomislilo). Nije mi poznato zbog čega Google koristi IE pored vlastitog preglednika za kojeg tvrde de je sigurnosno besprijekoran. Objašnjenje da su kompromitirana računala služila testiranju nisu najuvjerljivija...
Kineski su napadači nekom od tehnika socijalnog inžinjeringa naveli žrtvu da posjeti web stranicu sa malicioznim kodom, odmah potom je računalo žrtve bilo zaraženo, a instalirani program je uspostavio siguran i kriptiran kanal, prema komandnom centru iz kojeg je primao naredbe. Nije poznato što je točno napadač radio nakon toga, tvrdnje o krađi podataka o mail računima kineskih disidenata treba tek potrditi.
Na tehničkoj razini nema iznenađenja, no na socijalnoj ili političkoj razini ovi će slučajevi uzrokovati nekoliko značajnih pomaka.
Ovaj napad dokazuje da su ciljani napadi postali realnost ne samo kod ekstremno atraktivnih i vrijednih ciljeva - npr. prema američkim vladnim institucijama - nego i u poslovnom svijetu. To, nažalost znači, da se tehnike napada približavaju komodizaciji, a samo je pitanje vremna kada će kompetencije armije kineskih hackera - možda bi "armija" trebalo pisati s velikim A, postati dostupna i običnim smrtncima - mislim na one sa crne strane.
Stoga bi svi praktičari upravljanja rizicima morali prilagoditi standardne procjene koje se odnose na visinu prijetnji malicioznog ljudskog faktora. Ove prijetnje postaju sve realnije, a motiviranost i znanje su svakako značajne kompetente prijetnji koje dolaze, ne samo iz okruženja kineske armije hackera, nego i iz iz drugih sličnih laboratorija.
Naravno, pretpostavljam da ste komponentu utjecaja računalnih ranjivosti već ranije povećali.
Na kraju, kako se obraniti od ovih prijetnji. Pored mjera koje sam naveo u tekstu o slučaju Heartland, mislim da će još jedna mjera naći svoje opravdanje (iako, priznajem, do sada nisam striktno inzistirao na ovoj mjeri). Naime, do sada se očekivalo da su isključivo perimetarske adrese izložene vanjskim napadačima, pa se testovima nastojalo simulirati maksimalnu kompetenciju i sposobnost ovih napadača. Interni testovi su bili rijetki i, rekao bih, površni (obično se računalo na relativnu dobronamjernost i umjerenu tehničku kompetenciju internih korisnika). Ovo će se definitivno morati promjeniti. Testiranje sigurnosti interne mreže morati će uzeti u obzir i negativni potencijal napadača ubačenih iz vanjskog okruženja.
Suština ove taktike je slijedeća: sofisticiranim tehnikama prodire se u mrežu žrtve, a odmah potom se korišteni alati odbacuju poput padobrana, te se napadač ukopova u dostupnu nišu, zadržavajući prikrivenu i stalnu vezu sa nalogodavcima. Napadač se u drugoj fazi može ponašati donekle ležernije i na raspolaganju mu je dovoljno vremena da otkrije i iskoristi brojne nedostatke unutarnje mreže. Postavljeni cilj je na dohvat ruke. Pored toga, treba znati da klasični obrambeni mehanizmi - firewall i antivirusna zaštita - nisu nimalo djelotvorni kod ovih napada.
Činjenica da je slučaj Google razvikan i razvučen po svim medijima ne poriče moju tezu da slava nije motiv ovih napada. Ovaj slučaj je razvikan prije svega zato što je Google to htio, iz vlastitih razloga kojima se bave vanjskopolitički novinari.
Vjerujem da ste već doznali da su napadači u slučaju Google zloupotrebili zero-day ranjivost u Internet Exploreru (a ne nedostatak Acrobat Reader-a, kako se u prvi mah pomislilo). Nije mi poznato zbog čega Google koristi IE pored vlastitog preglednika za kojeg tvrde de je sigurnosno besprijekoran. Objašnjenje da su kompromitirana računala služila testiranju nisu najuvjerljivija...
Kineski su napadači nekom od tehnika socijalnog inžinjeringa naveli žrtvu da posjeti web stranicu sa malicioznim kodom, odmah potom je računalo žrtve bilo zaraženo, a instalirani program je uspostavio siguran i kriptiran kanal, prema komandnom centru iz kojeg je primao naredbe. Nije poznato što je točno napadač radio nakon toga, tvrdnje o krađi podataka o mail računima kineskih disidenata treba tek potrditi.
Na tehničkoj razini nema iznenađenja, no na socijalnoj ili političkoj razini ovi će slučajevi uzrokovati nekoliko značajnih pomaka.
Ovaj napad dokazuje da su ciljani napadi postali realnost ne samo kod ekstremno atraktivnih i vrijednih ciljeva - npr. prema američkim vladnim institucijama - nego i u poslovnom svijetu. To, nažalost znači, da se tehnike napada približavaju komodizaciji, a samo je pitanje vremna kada će kompetencije armije kineskih hackera - možda bi "armija" trebalo pisati s velikim A, postati dostupna i običnim smrtncima - mislim na one sa crne strane.
Stoga bi svi praktičari upravljanja rizicima morali prilagoditi standardne procjene koje se odnose na visinu prijetnji malicioznog ljudskog faktora. Ove prijetnje postaju sve realnije, a motiviranost i znanje su svakako značajne kompetente prijetnji koje dolaze, ne samo iz okruženja kineske armije hackera, nego i iz iz drugih sličnih laboratorija.
Naravno, pretpostavljam da ste komponentu utjecaja računalnih ranjivosti već ranije povećali.
Na kraju, kako se obraniti od ovih prijetnji. Pored mjera koje sam naveo u tekstu o slučaju Heartland, mislim da će još jedna mjera naći svoje opravdanje (iako, priznajem, do sada nisam striktno inzistirao na ovoj mjeri). Naime, do sada se očekivalo da su isključivo perimetarske adrese izložene vanjskim napadačima, pa se testovima nastojalo simulirati maksimalnu kompetenciju i sposobnost ovih napadača. Interni testovi su bili rijetki i, rekao bih, površni (obično se računalo na relativnu dobronamjernost i umjerenu tehničku kompetenciju internih korisnika). Ovo će se definitivno morati promjeniti. Testiranje sigurnosti interne mreže morati će uzeti u obzir i negativni potencijal napadača ubačenih iz vanjskog okruženja.
Pretplati se na:
Postovi (Atom)