18.11.11

Objava sigurnosnih incidenata

Može li se regulatornim zahtjevima urediti i unaprijediti informacijska sigurnost? Dijelim mišljenje onih koji nisu sasvim uvjereni u uspjeh takvih inicijativa, no stvari nisu crno-bijele (o tome ću nešto više drugom prilikom). Sada bih ukazao na jedan oblik regulatorne obveze čiji su počeci prisutni već nekoliko godina, a smatram je primjerom učinkovitog zakonskog pritiska na informacijsku sigurnost.

Naime, u SAD-u, točnije u saveznoj državi Kaliforniji, od 2003. godine je na snazi zakon koji propisuje obvezu objave svih sigurnosnih incidenata koji su rezultirali povredom osobnih podataka. Obaveza se odnosi na državne institucije, agencije i tvrtke u privatnom sektoru koji pohranjuju ili obrađuju osobne podatke. To znači da je svaka tvrtka koja je bila žrtva cyber napada i krađe osobnih podataka ili koja je uslijed nemara izgubila npr. backup traku s osobnim podacima, dužna obavijestiti oštećene osobe. Zakon je izazvao značajan učinak jer, pored dodatnog truda koje moraju provesti da bi odgovorile na ovu regulativu, organizacije je više pogodilo potencijalno ugrožavanje reputacije zbog obveza javne objave podataka o incidentima. Primjer Kalifornije slijedila je i većina drugih država, no savezni zakon još nije donesen.

Europska unija slijedi ovu inicijativu ponešto sporijim tempom. Za sada je obveza objave podataka incidentima predviđena samo za telekomunikacijske tvrtke (i ovogodišnje izmjene našeg Zakona o elektroničkim komunikacijama uključuju ove odredbe). Ipak, puno veći učinak imati će najavljene izmjene smjernica o zaštiti osobnih podataka, o kojima se govori u europskoj administraciji. Njima se predviđa obveza objave podataka o incidentima do kojih dolaze i u ne-telekomunikacijskim sektorima -  što će imati najveći učinak na sektor financijskih usluga. Trenutno, jedino Njemačka ima na snazi zakon koji sadrži takvu obavezu, a slične obaveze možemo očekivati i u našem zakonodavstvu.

Obveza javne objave podataka o ugrožavanju osobnih podataka svakako je dodatna mjera očuvanja privatnosti, bez obzira što američki primjer sa sobom nosi i neke nejasnoće oko implementacije zakona, pa se od države do države razlikuju uvjeti i rokovi objave, donekle se relativizira samo značenje incidenta... Očekujem da slične nepreciznosti ili nejasnoće, koje će biti rezultat utjecaja lobističkih grupa, možemo očekivati i u europskoj regulativi.

Gledajući na ovu regulativu s pozicije osobe koja se bavi informacijskom sigurnošću, smatram da je upravo praćenje i objava incidenata prava mjera uspješnosti programa informacijske sigurnosti u nekoj tvrtki. Dakle, ono što se može prikriti formalnim ispunjavanjem check-lista tijekom različitih revizija ili certifikacija, vrlo brzo će isplivati na površinu. Pravo vrednovanje informacijske sigurnosti proizlazi iz činjenice je li se neki incident dogodio ili nije. Ostaje samo još jedna prepreka koja se treba riješiti: organizacija stvarno mora znati da se incident dogodio, dakle mora aktivno pratiti i poznavati zbivanja na svojoj mreži i sustavima. Mora ovladati incidentom od prvog trenutka njegovog nastanka. Biti pasivan i čekati da te lupe posljedice incidenta biti će ne samo problem za reputaciju, nego će uključivati i zakonske posljedice.

Na kraju, ukazao bih i na jedan novi moment koji dolazi, ponovo, iz američke regulative. Naime, područje javnog interesa koje stoji iza obveze objave sigurnosnih incidenata širi se od zaštite privatnosti prema korporativnom poslovanju: SEC je donio smjernice prema kojima se tvrtke izlistane na burzi obvezuju objaviti podatke o sigurnosnim incidentima koji mogu utjecati na njihovo poslovanje. Takva odredba je proširenje postojeće obveze objave ne-informatičkih incidenata koji bi mogle utjecati na poslovanje neke tvrtke i cijenu dionice. Naravno,  nove smjernice otvaraju mnogo pitanja - prije svega oko kriterija prema kojima se određuje materijalan utjecaj pojedinih informatički incidenata, no čini se da je ovo još jedan dokaz da sigurnosni incidenti mogu imati značajan utjecaj na našu svakodnevnicu.

13.10.11

Insideri: T(r)ajna prijetnja vašim podacima

22.9.2011. sudjelovao sam na petoj konferenciji Sagena Security Day. Na konferenciji sam održao prezentaciju Insideri: T(r)ajna prijetnja vašim podacima. Prezentacija je ovih dana objavljena na stranici konferencije i možete je preuzeti u pdf formatu.

Prezentacija koju sam održao predstavlja sažetak preporuka koje savjetujem u postupku procjene rizika, a odnose se na specifičnu tematiku insidera. Naime, primijetio sam da se mnoge organizacije prioritetno bave događajima koje rezultiraju ugrožavanjem dostupnosti. To je lako objašnjivo: kvarovi opreme, te prekidi ili ispadi infrastrukture su bliži općoj percepciji i lakše ih je opisati. Insideri spadaju u domenu nepoznatoga i nedostaju instrumenti za njihovo dobro opisivanje i procjenu potencijala.

Prezentacija je trajala gotovo 60 minuta i priloženi tekst ne sadrži popratno tumačenje koje sam tom prilikom iznio. Ipak, vjerujem da će vam biti jasne glavne smjernice, a slobodno se javite za sva druga tumačenja.


19.6.11

Tržišni principi cyber-napada

Eskalacija sigurnosnih incidenata u svijetu zasigurno je razlog da i naši mediji posvećuju sve veću pažnju ovoj tematici. Tako smo u proteklih desetak dana mogli pročitati ili vidjeti priloge o cyber prijetnjama u Večernjem listu (subotnji dodatak Obzor od 11.6.2011. - link nije dostupan), u Vjesniku od 15.6.2011. i u jednom od prošlotjednih dnevnika HRT-a.

Autori su temi pristupili uz puni respekt prema ozbiljnosti ovih prijetnji i ukazujući na visoku izloženost modernog načina poslovanja cyber-napadima. Meni je osobito zanimljiv bio pokušaj određivanja uzroka eskalacije sigurnosnih incidenata.

Vjesnik, tako, citira jednog dužnosnika međunarodne organizacije koji, misleći na cyber-napadače, kaže da su "ti kriminalci od nas pametniji deset ili čak stotinu puta" čime ujedno opravdava znatno zaostajanje žrtava cyber-napada.

Bez imalo namjere za podcjenjivanjem cybernapadača (njihova "kreativna" jezgra zaista posjeduju zavidno znanje), smatram da na uzroke treba gledati iz suprotne vizure - iz vizure sustava (organizacija, tvrtki, institucija) čiji su sustavi izloženi bilo kakvom obliku cyber-prijetnji. Gledajući, dakle, iz pozicije organizacije koja mora graditi svoju obranu zaključujem da poslovni model koji stoji iza zaštitnih i proaktivnih procesa informacijske sigurnosti sadrži niz slabosti u odnosu na poslovni model koji stoji iza modela napadačke (kriminalne) informacijske sigurnosti (odnosno anti-sigurnosti). Glavna slabost se odnosi na nerazmjernu motivaciju osoba na suprotnim stranama.

Cyber napadači su izuzetno motivirani, s jakim financijskim temeljima i u pravilu s izraženim osobnim materijalnim koristima. Kada se to spoji s odgovarajućim vještinama, bojim se da za njih nema nedostižnih ciljeva.

S druge strane, u prosječno ili čak nadprosječno osvještenoj tvrtki ili organizaciji, ne postoji puna motiviranost upravljačkih struktura za davanje sigurnosnih inicijativa. Čak i ako postoji grupa kompetentnih pojedinaca na operativno/taktičkoj razini, vrlo je česta situacija da se njihov entuzijazam i agilnost tope u sudaru s činovničkim mentalitetom i pristupom. Možda ste se i vi sreli sa slučajevima da management daje potporu samo najnužnijim mjerama, propuštajući uzeti ozbiljno novonastupajuće prijetnje i propuštajući prepoznati sve moguće posljedice. Rezultat takve prakse je zaostajanje otpornosti na cyber-napade, naročito u elementima gdje dominira ljudski faktor.

Dakle s jedne strane imamo "cyber-underground" institucije koje dobro znaju što žele i kako će to postići, a s druge strane imamo organizacije koje su njihove predodređene žrtve. Možemo ići i korak dalje i reći da se uspješnost cyber-napadača temelji na principima tržišne ekonomije, a da se zaštitna informacijska sigurnost temelji na "dogovornoj" ekonomiji.

15.6.11

Novi problemi za MMF

Nakon poznatih događaja s bivšim glavnim direktorom, Međunarodni monetarni fond je upao u nove probleme. Prije nekoliko dana je objavljeno da su postali žrtvom sofisticiranog i po svemu sudeći ozbiljnog cyber napada. Napad nema veze s bivšim direktorom, a tek će se vidjeti (možda) je li ima veze s krađom podataka u tvrtki RSA. Naravno, predstavnici MMF-a su opovrgli ovu teoriju, no znakovito je da su prije tjedan dan najavili svojim zaposlenicima da mijenjaju postojeće SecurID tokene (ovdje treba spomenuti da je tvrtka RSA nedavno savjetovala svojim korisnicima da zamjene ili opozovu svoje SecurID tokene, a što je, izgleda, jedini dobar odgovor na nedavnu krađu protokola ovih autentikacijskih uređaja).

Ipak, veza sa kompromitacijom SecurID tokena je za sada samo u domeni pretpostavki. O napadu na MMF je za sada procurilo jako malo informacija. Kako se čini, MMF je bio žrtva ciljanog phishing napada ("spear-phishing"). Netko od njegovih zaposlenika bio je prevarom naveden na spuštanje posebno iskrojenog malicioznog programa koji je neokrznut prošao pored antivirusnih sustava. Izgleda da je napad bio izuzetno uspješan i da je barem jedno osobno računalo bilo kompromitirano dulje vrijeme (neki tvrde i nekoliko mjeseci). Napadači su za to vrijeme bili u prilici spustiti mnoštvo povjerljivih i veoma osjetljivih informacija i statističkih podataka o državama članicama MMF-a. MMF, naravno, nije objavio ni slova o prirodi ukradenih podataka.

Napad na MMF je prvi javno dostupan primjer da se interes dobro motiviranih napadača, najčešće državno sponzoriranih (ipak, tvrdnju da Kina stoji iza napada na MMF treba za sada uzeti s rezervom), pomiče s high-tech tvrtki i vojne industrije na financijsko tržište, pri čemu se cilja ne na osobne podatke i kreditne kartice, nego na značajne poslovne informacije.

Područje koje se do sada vezivalo za insiderske napade postaje dostupno i vanjskim prijetnjama.

7.6.11

Dva teksta

Unatrag godinu dana (i koj mjesec više) objavio sam dva teksta u časopisu Banka, o čemu sam vas i obavijestio na ovim stranicama. Evo, tek sada objavljujem pdf verzije ovih članaka.

Tekst "Što je privatno, a što javno" potražite na ovdje, a tekst "Zeus bog računalnih prijevara" ovdje.

28.5.11

Preko RSA do zvijezda!

Za ovaj napis sam namjeravao izabrati jednu zanimljivu temu koja bi nadoknadila moju inertnost u objavi tekstova u prvih nekoliko mjeseci. Tema je morala na određeni način ilustrirati zbivanja u informacijskoj sigurnosti tijekom ovog razdoblja. Izbor je pao na slučaj kompromitacije američke tvrtke RSA, odnosno na krađu znanja i povjerljivih informacija o funkcioniranju sustava SecurID. Za neupućene, SecurID je tehnologiji koja omogućuje autentikaciju korisnika informacijskih servisa jednokratnim lozinkama koje se generiraju namjenskim uređajima - "tokenima" (veliki broj naših korisnika Internet bankarstva koristi sličnu tehnologiju prilikom prijave na web servere svojih banaka).

Naime, u ožujku ove godine nepoznati napadači (za koje se pretpostavlja da dolaze iz Kine) proveli su sofisticirani Advanced PersistentThreat (APT) kojima se prije puno mjeseci ciljalo na Google i druge značajne američke tvrtke. Napadaći na tvrtku RSA, kako se tvrdi, došli su do povjerljivih podataka tvrtke, uključujući i značajne informacije o funkcioniranju SecurID tehnologije. RSA je, naravno, pokušao umanjiti procjene o nastaloj šteti.

No, prigodno za ovaj tekst kojim želim potvrditi kontinuitet ovog bloga, napad iz ožujka nepsoredno se veže za friške slučajeve iz svibnja.

Prije nego što nastavim priču, vrijedi pogledati kako je tekao napad na RSA.

Napadači su u prvoj fazi napada identificirali neke zaposlenike tvrtke RSA i prema njima usmjerili mail poruke s posebno konstruiranom xls tablicom. Ova tablica je sadržavala unikatni maliciozni kod koji je iskorištavao zero-day ranjivost u programu Adobe Flash (Adobe je tek kasnije objavio popravak za ovu ranjivost). Uspješnom realizacijom prve faze napada, napadači su ovladali napadnutim računalima, instalirali program za udaljenu administraciju te nastavili temeljito pročešljavati dostupna računala. Ciljali su na ponajprije na podatke o korisničkim računima koji bi im omogućili daljnju propagaciju mrežom tvrtke RSA. I ta faza je bila uspješna pa je napad uspješno, sa stajališta napadača, završio prebacivanjem velikih broja datoteka na udaljene servere FTP protokolom.

RSA je priznao da napad može kompromitirati uspješnost SecurID tokena i dao je preporuke svojim korisnicima o dodatnim sigurnosnim mjerama koje preporučuje u ovoj situaciji. Radilo se uglavnom o standardnim proceduralnim preporukama koje se primjenjuju u kontroli pristupa.

Sada se vraćamo u svibanj.

Cijeli bi slučaj RSA možda i pao u zaborav no upravo je objavljena vijest da je došlo do napada na tvrtku Lockheed Martin, jednog od vodećih imena američke vojne industrije. Smatra se da su napadači kompromitirali VPN pristup mreži ove tvrtke na kojem se udaljeni korisniciautenticiraju SecurID tehnologijom. Pogađate, ovaj je napad neposredno omogućen znanjem o funkcioniranju SecurID tehnologije do kojeg su napadači (ili njihove kolege) došli u svibnju.

Kada je ovaj tekst bio pred završetkom, saznalo se da su i druga dva velika proizvođača iz segmenta vojne industrije također napadnuta na sličan način: L-3 Communications i Northrop Grumman. Prema nekim izjavama koje su procurile iz ovih tvrtki, napadi i neposredna reakcija na nakon detekcije napada uzrokovala je izvanredno stanje u ovim tvrtkama.

Za sada nije objavljeno na koji je način kompomitirana SecurID tehnologija (osim što je izvjesno da su neposredno napadnuti sustavi za udaljeni pristup mrežama ovih vodećih imena američke vojne industrije), niti je objavljeno kakve su posljedice ovih napada.

Osim što je bio sjajna ilustracija APT prijetnji, napad na RSA je značajan zbog činjenice da je ovim napadom pribavljeno značajno znanje o funkcioniranju do tada, smatralo se, sigurne tehnologije, što je jamčilo uspjeh kod teških ciljeva koji obično takvu tehnologiju koriste.

U svijetu je 40 milijuna korisnika SecurID tehnologije. Jesu li velika imena vojne industrije jedine žrtve?

8.1.11

Spavači

Današnji Jutarnji list donosi članak "Za tržišni uspjeh sve je potrebniji privatni detektiv" koji govori o razvoju industrijske špijunaže u Hrvatskoj (usput, u članku se ova aktivnost zove "Business Intelligence" što u informatičkom žargonu znači nešto sasvim drugo). Članak donosi razgovor s vlasnikom zagrebačke detektivske agencije koji govori da sve više poslovnih ljudi traži usluge prikupljanja podataka o konkurentskim tvrtkama. Detektivi ove tvrtke, između ostalog, pronalaze "spavače" među zaposlenicima istraživanih tvrtki koji odaju poslovne tajne konkurenciji. Saznali smo da nemali broj stranih tvrtki traži usluge ove agencije. Također, saznali smo da je prošla godina zabilježila porast zahtjeva za ovim uslugama.

Optimisti će reći da je ovo dobra vijest za ekonomiju u cjelini. Do sada je najveća zaštita od insiderskih prijetnji bila činjenica da naše tvrtke nemaju ništa ponuditi konkurenciji, a, kako sada izgleda, stvari se mijenjaju i konkurentnost naših tvrtki se pojačava. Realisti će, pak, reći da se ipak, možda, radi o banalnijim informacijama koje imaju značaja za konkurenciju, npr. o popisu kupaca ili o cijenama s kojima se izlazi na javni natječaj. Treba također znati da ova djelatnost može uključivati i prikupljanje osobnih podataka, npr. stanja računa ili troškove na karticama partnera u slučaju brakorazvodnih parnica ili pak provjere potencijalnih zaposlenika.

No, ne ulazeći u motivaciju iza indistrijske špijunaže, smatram da članak može poslužiti kao odličan materijal praktičarima procjene informacijskih rizika. Naime, opasnost od insidera u našim tvrtkama se u pravilu podcjenjivala jer, kao, insideri nemaju toliko motiva za svoj rad, najviše što ih zanima su plaće svojih kolega ili računi poznatih klijenata, a to se može lako zaštiti i kontrolirati. Članak nam pokazuje da je aktivno regrutiranja spavača koji inače to ne bi nikad postali naša stvarnost, a jasno je da postoji i mehanizam učinkovite motivacije insidera/spavača.

Naravno, treba biti jasno da današnja industrijska špijunaža prije svega cilja na podatke u digitalnom obliku, na baze podatka, na dokumente smještene na serverima. Ono što je za teoretičare tek istraživanje konkurentskih prednosti, za žrtve to može biti računalni kriminal ili barem opipljiv razloga za otkaz, u svakom slučaju značajna poslovna šteta. Za ljude iz informatičke sigurnosti je ovo svakako znak da moraju dodatno otvoriti oči.Ako vrijedne informacije nisu insiderima odmah dostupne, postoje brojne tehnike kako se može doći do ovih informacija. Ove tehnike ne moraju biti velika mudrost i vanjski "motivatori" će spavače lako obučiti (to se obično naziva "low-tech hacking").

Ovdje prestaje svaka sličnost s WikiLeaksom - ako vam je tako nešto i palo napamet čitajući ovo. Industrijska špijunaža svoje informacije ne pušta na Mrežu, a, za razliku od američke vlade, žrtve indistrijske špijunaže možda nikad neće saznati da su ikada postali žrtve.

7.1.11

Zeus - bog računalnih prijevara

U siječanjskom broju časopisa Banka izašao je moj članak o botnetu Zeus. Članak opisuje način funkcionaranja i "poslovnu" pozadinu koja stoji iza ovog malicioznog programa, ili, bolje rečeno malicioznog sustava.

Članak potražite ovdje.