28.1.10

"Open source" u Hrvata

Prije nekoliko tjedana je u Globusu objavljen članak o (ne)uvođenju "open source" softvera u državne institucije. Iako je ova tema izvan fokusa interesa ovih stranica, ipak ću, kao pobornik ideje "open sourca", odvojiti par redaka.

Naime, sa stajališta manje tvrtke apsolutno sam uvjeren da "open source" može zadovoljiti većinu zahtjeva koja se postavlja pred korištenje informacijskog sustava. U mojoj tvrtki koristimo specijalizirane sigurnosne sustave otvorenog koda ali i Linux kao osnovni operativni sustav na radnim stanicama i serverima, kao i različite serverske aplikacije koje nam olakšavaju rad. Glavna ograničenja vidimo u činjenici da se neki specijalizirani programski alati za sada mogu izvoditi isključivo na zatvorenim platformama (iako, postoje rješenja koja ruše i ove granice).

Naravno, poziv za uvođenje otvorenog koda treba rezultirati pametnom analizom kroz koju će se dokazati (ili možda opovrgnuti) "enterprise" potencijal ovih programa. Upravo bi ovakav projekt mogao biti kandidat za primjenu IT Governance principa i promišljeno uvođenje u produkciju (što, uglavnom, izostaje prilikom uvođenja "zatvorenog koda" jer se, eto, podrazumijeva njegova prikladnost). Pada mi napamet COBIT i poglavlje "Acquire and Implement"

Apsolutno sam suglasan sa financijskim aspektom cijele priče, o kojoj članak govori. Ne samo da bi se smanjili troškovi državne administracije, nego bi i novac koji je ipak neophodan za pogon informacijskog sustava u velikoj mjeri ostao u granicama države.

Postoji i još jedan aspekt o kojem članak ne govori. Primjenom otvorenog koda mogao bi se pokrenuti potencijal naših informatičkih stručnjaka u pravcu kreiranja novih informatičkih proizvoda (naravno, na principu otvorenog koda). Naš bi se informatički sektor, tako, mogao transformirati iz "reproduktivnog" u "stvaralački", što je neophodno za agresivniji izvozni pristup. Protivnici ove ideje imaju određena temeljna osporavanja: prema njima, otvoreni kod ne može biti gorivo održivog poslovnog modela, s obzirom da nije motiviran profitom a znanje ne tretira kao robu. Poznata je i epizoda u kojoj je Darl McBride, direktor tvrtke SCO koja je prije par godina pokušala reketariti "open source", uvjeravao američki Kongres kako "Open Source" predstavlja stratešku prijetnju američkom gospodarstvu i kapitalizmu u cjelini. Srećom, postoje brojni primjeri koji potvrđuju mogućnost pozitivnog poslovnog modela, a svima nama preostaje utvrditi što bi moglo najbolje funkcionirati u našoj okolini.

25.1.10

Uzrok napada na Google bio je poznat mjesecima

Izraelska tvrtka BugSec je još u kolovozu prošle godine obavijestila Microsoft o nedostatku u Internet Exploreru. Ovom upozorenju, očito je, Microsoft nije dodjelio visoki prioritet. Popravak nije objavljen na vrijeme, tek naknadne preporuke o zaobilaženju problematičnih funkcija u Internet Exploreru. Rezultat ove krive procjene osjetili su u prosincu Google i još tridesetak američkih tvrtki: upravo je ovaj nedostatak bio polazište napada kineskih hackera na ove tvrtke.

Ovakav razvoj događaja s prijavljenom pogreškom otvara nekoliko tema.

Prvo, pokazuje se da pritisak na stručnjake koji se bave računalnim ranjivostiima da ne objavljuju javno svoja otkrića, nije rezultirao adekvatnom predanošću od strane softverskih tvrtki. Nasuprot ovome, s pravom se može prihvatiti teza da bi neograničena objava svih nedostataka zapravo potaknula proizvođače na ažurnu izradu popravaka. Microsoft je popravak za uočeni napad objavio tek prije nekoliko dana. Ako uzmemo u obzir da će trebati tjedni i tjedni dok se ovaj popravak primjeni na zadovoljavajućem broju računala, lako možemo procjeniti da će znatan broj računala ostati ranjiv i do devet mjeseci (ovo tek površno spominjem, no radi se o kompleksnom problemu o kojem ću govoriti u slijedećim tjednima).

Drugo, znanje i informacije (pa bile one i softverski nedostaci) je nemoguće ograničiti i kontrolirati. Nedostatak u Internet Exploreru je bio jednako dostupan svim istraživačima, bez granica. Osim toga, underground sektor informatičke industrije promjenio je pristup, slično i napadačima. Naime, nekoliko sam puta spomenuo prošle godine da napadače ne motivira više pet minuta slave, već direktna korist od realiziranih napada. Isto tako se ni istraživači računarnih ranjivost neće rukovoditi općim dobrom, već će uočene nedostatke znati (a zapravo već znaju) dobro unovčiti.

Na koncu, dolazimo do suštine risk management procesa. Softverske kuće moraju primjereno procjeniti prijavljene ili uočene nedostatke, zapravo primjeniti principe upravljanja rizicima i u ovakvim slučajevima. Proizvođači moraju biti svjesni da je znanje napadača ("Threat" komponenta risk managementa) potpuno doraslo onima sa svijetle strane informacijskih tehnologija, što proizvođače obvezuje na održavanje visoke ocjene sposobnosti potencijalnih napadača. Drugim rječima, rizik od ovakvih napada ne smije biti nerazumljivo nizak pa da se na popravak čeka pet mjeseci.

16.1.10

Napadi na Google - očekivano iznenađenje

Ovotjedna objava napada kineskih hackera na Google i tridesetak drugih američkih kompanija izazvala je brojne i glasne reakcije, no vjerujem da stručnjaci za računalnu sigurnost nisu previše iznenađeni tehničkim aspektom ovog ofenzive (ja sam o tome pisao tijekom ljeta prošle godine). Tijekom 2009. mogla su se pročitati brojna upozorenja o transformaciji klasičnih računalnih prijetnji i tehnika napada koju ove prijetnje koriste, uz najave trenda koji se upravo manifestirao. Frontalni i pompozni napadi kojima je cilj stvaranje publiciteta su odavno zastarjeli. Nastupilo je razdoblje diskretnih i ciljanih napada, usmjerenih na poznatu žrtvu. Cilj napadače nije steći pet minuta slave što je brže moguće, već strpljivim djelovanjem doći do svojih ciljeva, ma kakvi oni bili - od podataka iz kartičnog poslovanja pa do povjerljivih poslovnih tajni. Slava, pri tome, uopće nije bitna.

Suština ove taktike je slijedeća: sofisticiranim tehnikama prodire se u mrežu žrtve, a odmah potom se korišteni alati odbacuju poput padobrana, te se napadač ukopova u dostupnu nišu, zadržavajući prikrivenu i stalnu vezu sa nalogodavcima. Napadač se u drugoj fazi može ponašati donekle ležernije i na raspolaganju mu je dovoljno vremena da otkrije i iskoristi brojne nedostatke unutarnje mreže. Postavljeni cilj je na dohvat ruke. Pored toga, treba znati da klasični obrambeni mehanizmi - firewall i antivirusna zaštita - nisu nimalo djelotvorni kod ovih napada.

Činjenica da je slučaj Google razvikan i razvučen po svim medijima ne poriče moju tezu da slava nije motiv ovih napada. Ovaj slučaj je razvikan prije svega zato što je Google to htio, iz vlastitih razloga kojima se bave vanjskopolitički novinari.

Vjerujem da ste već doznali da su napadači u slučaju Google zloupotrebili zero-day ranjivost u Internet Exploreru (a ne nedostatak Acrobat Reader-a, kako se u prvi mah pomislilo). Nije mi poznato zbog čega Google koristi IE pored vlastitog preglednika za kojeg tvrde de je sigurnosno besprijekoran. Objašnjenje da su kompromitirana računala služila testiranju nisu najuvjerljivija...

Kineski su napadači nekom od tehnika socijalnog inžinjeringa naveli žrtvu da posjeti web stranicu sa malicioznim kodom, odmah potom je računalo žrtve bilo zaraženo, a instalirani program je uspostavio siguran i kriptiran kanal, prema komandnom centru iz kojeg je primao naredbe. Nije poznato što je točno napadač radio nakon toga, tvrdnje o krađi podataka o mail računima kineskih disidenata treba tek potrditi.

Na tehničkoj razini nema iznenađenja, no na socijalnoj ili političkoj razini ovi će slučajevi uzrokovati nekoliko značajnih pomaka.

Ovaj napad dokazuje da su ciljani napadi postali realnost ne samo kod ekstremno atraktivnih i vrijednih ciljeva - npr. prema američkim vladnim institucijama - nego i u poslovnom svijetu. To, nažalost znači, da se tehnike napada približavaju komodizaciji, a samo je pitanje vremna kada će kompetencije armije kineskih hackera - možda bi "armija" trebalo pisati s velikim A, postati dostupna i običnim smrtncima - mislim na one sa crne strane.

Stoga bi svi praktičari upravljanja rizicima morali prilagoditi standardne procjene koje se odnose na visinu prijetnji malicioznog ljudskog faktora. Ove prijetnje postaju sve realnije, a motiviranost i znanje su svakako značajne kompetente prijetnji koje dolaze, ne samo iz okruženja kineske armije hackera, nego i iz iz drugih sličnih laboratorija.

Naravno, pretpostavljam da ste komponentu utjecaja računalnih ranjivosti već ranije povećali.

Na kraju, kako se obraniti od ovih prijetnji. Pored mjera koje sam naveo u tekstu o slučaju Heartland, mislim da će još jedna mjera naći svoje opravdanje (iako, priznajem, do sada nisam striktno inzistirao na ovoj mjeri). Naime, do sada se očekivalo da su isključivo perimetarske adrese izložene vanjskim napadačima, pa se testovima nastojalo simulirati maksimalnu kompetenciju i sposobnost ovih napadača. Interni testovi su bili rijetki i, rekao bih, površni (obično se računalo na relativnu dobronamjernost i umjerenu tehničku kompetenciju internih korisnika). Ovo će se definitivno morati promjeniti. Testiranje sigurnosti interne mreže morati će uzeti u obzir i negativni potencijal napadača ubačenih iz vanjskog okruženja.