7.12.12

QualysGuard InfoDay 2012

QualysGuard InfoDay je događaj koji okuplja ne samo domaće korisnike servisa QualysGuard nego i sve stručnjake koji se žele upoznati sa skupom sigurnosnih servisa tvrtke Qualys kao i s jedinstvenim poslovno/tehnološkim  modelom koji stoji iza ovog servisa

Na ovogodišnjoj konferenciji biti će predstavljene novosti u arhitekturi sustava QualysGuard te njegove nove funkcije i novi servisi. Qualys je ove godine najavio značajne novosti na području pregleda ranjivosti web servera, detekcije malicioznog koda na web serverima te je najavio „Web Application Firewall“ kao SaaS model.

Konferencija se održava 18.12.2012. u Palace Hotelu Zagreb, a obavijest o programu i upute za prijavu potražite na stranici http://www.borea.hr/o-nama/qualysguard-infoday-2012-2-47.

Pozvani ste, vidimo se.

11.9.12

Karika koja nedostaje

Magazin Banka u broju od kolovoza pod ovim naslovom donosi moj članak o reviziji informacijskih sustava. BANKA_8-12_DP

11.6.12

Elektronička pošta ministrice Holy

Kako sada stvari stoje, prašina oko objave elektroničke pošte bivše ministrice Mirele Holy neće se skoro slegnuti. Ostaviti ću po strani politički kontekst i moguće političke implikacije, te odgovoriti na pitanja koja zanimaju "obične" čitatelje. Slučajeva krađe i neovlaštene objave elektroničkih poruka u našoj okolini ima sve više i više, pa se u ovakvim situacijama situacijama možete naći kao rukovoditelj ili zaposlenik poslovnih subjekata ili kao obični građani.

Je li moguće otkriti izvor iz kojeg je procurila elektronička pošta. Govoreći strogo tehnički - gotovo potpuno sam uvjeren da je moguće. Za razliku od slučajeva kada su curili zapisnici iz tužiteljstva ili dokumenti iz policije, elektronička pošta uz sebe veže mnoštvo popratnih informacija u različitim točkama obrade ili prijenosa koje je moguće dohvatiti i analizirati. Moglo bi se reći da na taj način elektronička pošta kompenzira svoju zavodljivost i brzopletost koja je mnoge osobe navela da u elektroničkoj pošti zapišu nešto što bi jedva izgovorili u neposrednom razgovoru te ih tako uvukla u neugodne situacije, a o čemu najbolje govori i slučaj Mirele Holy. Istraga provedena na adekvatan način morala bi rekonstruirati životni vijek problematične poruke, od nastanka pa do objave na televiziji. Istražitelji bi trebali krenuti upravo od mjesta objave, iako to možda neće biti najlakše ako novinar HRT bude inzistirao na ne-otkrivanju identiteta svojeg izvora.

Tko je mogao doći u posjed problematične elektroničke poruke?

Odmah u početku eliminirao bih hacktiviste, iako su ove grupe u svijetu poznate  po recentnim provalama u elektroničke pretince atraktivnih organizacija i tvrtki, te objavama kompromitirajućih poruka (a slučaj Sarah Palin je i neprimjereno citirati u kontekstu Mirele Holy). Timing provale i objave, selektivni pristup objavi pa i politički motivi hacktivističkih grupa čine ovu pretpostavku malo izglednom.

U slučaju da je mail objavio neki od legitimnih  primatelja (u ovom slučaju imamo samo jednu osobu - predsjednika uprave HŽ-a), tako nešto može se otkriti gore opisanom analizom računala i servera.

Postoji mogućnost i da je neko od trećih osoba poznavao korisničke račune i zaporke komunikacijskih partnera. Možda su Mirela Holy i Rene Valčić ove podatke pružili osobi od povjerenja (nekad je to bila praksa  rukovoditelja koji su svoje tajnice angažirali i za odgovoranje na elektroničku poštu, naročito u vremenima kada tehnologija nije bila mobilna kao danas ili je bila prekomplicirana za korištenje). U ovom slučaju se tijek istrage treba naprosto proširiti na ove osobe.

Postoji još jedna mogućnost: netko fizički i poslovno blizak komunikacijskim partnerima neovlašteno je došao u posjed korisničkih računa ili zaporki, te je mailove čitao ili ih distribuirao pod lažnim identitetom. To je tehnički sasvim moguće, iako zloupotreba ovisi i o posebnim mjerama kontrole pristupa koje se primjenjuju u korporacijskim okruženjima. U ovom slučaju, istraga o curenju elektroničkog maila mora se fokusirati na istragu događaja neovlaštenog pristupa serveru, mreži ili možda samog osobnog računala nekog sudionika. Upozorenje svim čitateljima: danas nije potrebno preveliko znanje da vam u standardnim poslovnim uvjetima netko otkrije lozinku za pristup računalu ili pak elektroničkoj pošti. Potrebna je tek motivacija i dobra prilika, najčešće neometan fizički pristup.

Postoji i treća mogućnost neovlaštenog pristupa: netko od administratora sustava (ili osoba koje su neovlašteno imale administartorski pristup) neovlašetno je manipulirao nekim od uključenih servera (političke strane Mirele Holiy ili tvrtke Renea Valčića). Kao profesionalcu, ovo mi uvijek izgleda zastrašujuće, naravno ne i nemoguće, no daljnje razmatranje nas vodi na tanak led političkih spekulacija, pa ću to prepustiti uključenima stranama, strankama i nadležnim tijelima.

Da bi se na otkrivanje i zloupotrebu lozinki i na neovlašten pristup efikasno odgovorilo, organizacija treba primijeniti nekoliko važnih, ne i preskupih mjera, a među njima su najznačajnije kontinuirano bilježenje događaja na sustavu, naročito onih vezanih za korištenje pristupnih prava. Ako istraga dođe do ove točke, to ujedno može biti najtanja poluga s obzirom da se ovakvi podaci u našoj okolini još uvijek rijetko bilježe a još rjeđe dugoročno pohranjuju. Ipak, vjerujem da je na drugim mjestima zabilježeno dovoljno podataka koji mogu nadomjestiti i ovaj nedostatak.

Slučaj bivše ministrice Holy smatram važnim i za senzibiliziranje javnosti za slučajeve neovlaštenog pristupa elektroničke pošte i drugih privatnih podataka, te na nekontroliranu objavu takvih podataka. Važno je ne osjećati se bespomoćnim u slučaju ako netko kompromitira vaše osobne podatke, elektroničku poštu i drugu komunikaciju. Ostaje velika nepoznanica stupanj uspješnosti rješavanja takvih slučajeva, no ako promatramo svjetske standarda, struka se na ovom području ubrzano razvija, što je sigurno i rezultat sve većih zahtjeva za takvim istragama.

Na kraju, ako se nađete u istoj situaciji kao Mirela Holy, nemojte poput nje na prvu loptu priznati krivnju. Ona je svakako postupila politički pošteno i ispravno (pomalo naivno, mnogi će dodati). No, u ovom slučaju u javnosti je objavljen tekst koji je isto tako mogao biti krivotvoren (javnost se, očigledno, nije željelo zamarati s informacijama koje bi dokazivale autentičnost objavljene poruke - prikazane adrese iz zaglavlja poruke to nisu) i Mirela Holy je imala puno pravo zanijekati autentičnost poruka i na taj način prepustiti drugim "igračima" da se razotkriju.

6.6.12

Flame: pogrešna dilema

Kao i u brojnim slučajevima u proteklim godinama, pojava "virusa" Flame popraćena je bombastičnim naslovima i katastrofičnim predviđanjima u javnim medijima. S druge strane, pojavljuju se i osporavatelji  koji smatraju da se radi samo o novom pretjeravanju industrije, medija i neobjektivnih stručnjaka. U sličnim situacijama javnost običava pojednostavljeno i kompromisno zaključiti da je istina negdje u sredini. No, slučaj Flame nije takav. Mi zaista svjedočimo moćnom malicioznom softveru koji nije prekretnica nego konačni dokaz trenda u razvoju i distribuciji malicioznih programa. Ipak, argumenti koji se u medijima koriste kako za naglašavanje opasnosti novog malicioznog programa tako i za njegovo minoriziranje nisu točni.

Tekstovi katastrofičara, a govorim o medijima okrenutim široj populaciji, ostavljaju dojam da se radi o virusu koji samo što nije poharao milijune bespomoćnih računala. Osporavatelji, s druge strane, iznose točan podatak da je program Flame osvojio tek oko tisuću računala te da je buka koja se stvorila potpuno nepotrebna.

Suprostavljene grupe koriste istu argumentaciju, no ona je u ovom slučaju potpuno pogrešna. Flame pripada kategoriji Advanced Persistant Threat malicioznih programa, a ovu kategoriju ne moraju odlikovati neki specifičan tehnološki mehanizam ili inovacija, koliko ciljevi i strategija njihovih  autora i operativnih skrbnika (je li možda neprimjereno nazvati ih  "korisnicima"?). Ciljevi koji stoje iza programa Flame, Stuxnet, te drugih sličnih događaja o kojima smo posali na ovim stranicama nije trčanje za pet minuta slave niti hranjenje ega njihovih autora. Njihovi autori nemaju namjeru bolno šokirati milijune korisnika, već, vođeni jasno postavljenim poslovnim ili političkim ciljevima, što je moguće diskretnije doći do traženih podataka. Zato Flame i slični programi izbjegavaju masovnu propagaciju koja je u pravilu nekontrolirana. Prve analize programa Flame okrenule su se i prema prošlosti, pa je tek danas utvrđeno da su se prve verzije ovog programa pojavile u 2010. godini, no cijelo ovo vrijeme ostale su neotkrivene od antivirusnih sustava (kako je navedeno neposredno po objavi prvih podataka, niti jedan od 43 antivirusnih programa nije prepoznao ovaj program - naravno, u međuvremenu su objavljeni uzorci pa danas to više nije slučaj). Kako sada izgleda, ovim programom je zaraženo oko tisuću (ili nekoliko tisuća) računala što je beznačajno ako govorimo o uobičajenom stupnju kontaminacije koju uzrokuju uobičajeni virusi. No, takav pristup je programu Flame osigurao i dugi život.

Od prvih analiza o programu Flame pa do trenutka pisanja ovog teksta, najznačajnijim momentom smatram objavu podataka o tehnici zaraze računala programom Flame. Prije nekoliko dana je objavljeno da je ovaj maliciozni program iskoristio jedan nedostatak u korištenju certifikata unutar Microsoft operativnih sustava, točnije njegove Terminal Services komponente. Uočena je slabost u konstrukciji ovog certifikata, te je otkriveno da se može koristiti ne samo za autentikaciju klijenata u Terminal Services komunikacijui nego i za potpisivanje programskog koda (što nikako nije bila namjera). Scenarij je upotpunjen krivotvorenjem Windows Update servisa kojim je računalo žrtve preuzelo update s pogrešne adrese. U kombinaciji s manipuliranim certifikatom, eto načina da sustav sa svim zakrpama (i ažurnim antivirusnim sustavom) postane zaražen malicioznim programom Flame.

Istraživači malicioznih programa su pružili osnovni profil ovog programa i prije objave uloge Microsoftovih certifikata.(za detaljnu analizu će trebati puno više vremena). Definitivno, radi se o kompleksnom i velikom programu, koji je modularno građen. Kao i kod drugih modernih i učinkovitih malicioznih programa, Flame komunicira sa komandnim sustavom (C&C). Modularana građa omogućuje primjenu različitih dodataka kojima se obogaćuje njegova funkcionalnost: Flame ima mogućnost krađe podataka, snimanja razgovora, kopiranja sadržaja ekrana, slanja svih podataka trećoj strani...

Dok se ne dozna više tehničkih detalja o funkcioniranju ovog programa, stručnu je javnost zainteresirala i njegova (politička) pozadina. Flame je otkriven na malom broju računala no zemljopisno ograničenih na područje bliskog istoka i njemu susjednih zemalja (Iran, dio Izraela pod palestinskom samoupravom, Sudan, Sirija, Egipat, Libanon...). Njegove instance u Mađarskoj i Austriji za sada se tumače kolateralnim slučajevima. Neizbježno, nameće se usporedba sa programom Stuxnet, iako sadržajno nemaju dodirnih točaka. Ipak, stručna javnost zaključuje da zbog njegove kompleksnosti (koja, pored visoke kompetencije, zahtjeva i znatnu materijalnu podršku), iza programa Flame stoje državne institucije. Po svemu sudeći, iste države (ili istih država) kao i u slučaju Stuxnet.

11.2.12

Goli u shopping centru

"To je isto kao da dođete u samoposlugu, uzmete neke artikle i kažete Ja bih to uzeo, to je moje ljudsko pravo da se hranim" kazao je, prema današnjem Jutarnjem listu, predsjednik Josipović, opravdavajući svoju potporu sporazumu ACTA.

Zadržimo li istu boju metafore, možemo reći: Zamislite da vas svaki put kada izlazite iz shopping centra zaustavlja zaštitarska služba i prisiljava razodjenuti kako bi provjerili jeste li što ukrali.

Uz puno uvažavanje intelektualnog vlasništva i razumijevajući što znači krađa nečijeg truda, mehanizmi primjene sporazuma ACTA, ali i sporazuma SOPA i PIPA koji su pred donošenjem, znače ugrožavanje općih vrijednosti kao što su sloboda komunikacije i prava na privatnost u korist korporativnih interesa.

Može se lako dokazati da industrija zabave nije prilagodila svoj model rada niti je primijenila raspoložive tehničke mjere koje bi njihov proizvod prilagodili novim uvjetima distribucija i korištenja. Dakle, informatički gledajući, imamo digitalno rješenje koje ne odgovara uspješno na rizike kojima je izložen. Vlasnici ovih proizvoda pokušavaju sporazumom ACTA, prebaciti posljedice ovih rizika, potpuno neopravdano, na populaciju koja možda niti ne koristi ove proizvode.

30.1.12

Sigurnosni pokazatelji o računalnom kriminalitetu

Svaka procjena sigurnosnih rizika u informacijskim sustavima dolazi na sklisko tlo kada se pokušavaju obuhvatiti podaci o računalnim incidentima iz prethodnog razdoblja. Pored podataka vezanih za samu organizaciju u kojoj se procjenjuju rizici, značajni su i statistički podaci o računalnom kriminalu za okruženje u kojem se organizacija nalazi, a osobito podaci o organizacijama sličnog profila.

Jedan članak iz subotnjeg Večernjeg lista uputio me na zanimljivu statistiku koju objavljuje MUP - godišnji izvještaj o temeljnim sigurnosnim pokazateljima za 2011. godinu (ovi su izvještaji dostupni još od 2006. godine). Izvještaj je veoma opsežan, a sadrži statističke pokazatelje za različite oblike kaznenih dijela koje je obrađivao MUP. Pokazatelji su kategorizirani prema odredbama Kaznenog zakona, a računalni kriminal je kategoriziran kao povreda tajnosti, cjelovitosti i dostupnosti računalnih podataka, računalno krivotvorenje i računalna prijevara. Treba napomenuti da je izmjenama Kaznenog zakona iz listopada 2011. računalni kriminal nešto drukčije kategoriziran pa iduće godine možemo očekivati modifikaciju kategorija pokazatelja u ovom izvještaju.

Pokazatelji o računalnom kriminalitetu su obuhvaćeni u grupi pokazatelja kaznenih djela u gospodarskom kriminalitetu. Kaznenih djela povrede tajnosti, cjelovitosti i dostupnosti računalnih podataka je u 2011. godini bilo 40 (u 2010. bilo ih je 9).  Nadalje, u prošloj godini je zabilježeno 89 kaznenih djela računalnog krivotvorenje (u 2010. bilo ih je 27). Najbrojnija su djela računalne prijevare, a u 2011. godini bilo ih je 684 (zanimljivo, u 2010. bilo ih je više - 903). Navedena kaznena djela predstavljaju oko 11% svih kaznenih djela gospodarskog kriminaliteta u 2011. godini.

Rekao bih da navedeni postotak nije beznačajan. Nadalje, iako bi se iz pokazatelja moglo zaključiti da je kaznenih djela računalnog kriminaliteta bilo manje u odnosu na 2010.  (zbog pada prijavljenih kaznenih djela računalne prijevare) mislim da bi to bio ipak preoptimističan zaključak. Naime, dobro nam je poznato da računalna kriminalna djela često ostaju neotkrivena ili su otkrivena tek nakon duljeg razdoblja. Isto tako, mnogi slučajevi se rješavaju diskretno, bez suvišnog publiciteta.  Postoji i jedan drugi pokazatelj, indirektan, koji osporava optimističan zaključak o eventualnom smanjenju kaznenih djela računalnog kriminala:  broj klasičnih razbojstava banaka je u 2011. porastao na 37 (od 9 takvih slučajeva u 2010). Naravno, ne radi se o istom profilu počinitelja niti o istom načinu djelovanja, no podatak govori o pojačanoj motivaciji napadača. Također, na istoj stranici, MUP nudi i pregled pokazatelja za razdoblje od 2002. do 2011. i analizirajući pokazatelje za iste kategorije kaznenih djela nedvojbeno se može prepoznati uzlazni trend.

Za nas bi bila posebno zanimljiva detaljna razrada ovih podataka: segment gospodarske djelatnosti u kojima su počinjena kaznena djela računalnog kriminaliteta, omjer "insiderskih" počinitelja u odnosu na vanjske napadače, procjena financijskih gubitaka uzrokovanih ovim kaznenim djelima, načini realizacije, načini otkrivanja, broj računalnih delikata usmjeren na državne institucije... Vjerujem da bi, pored ovih pokazatelja iz nadležnosti MUP-a, istraživanje napravljeno u direktnom kontaktu s gospodrastvom pokazalo podatke i  o onim događajama koji nisu prijavljeni odnosno koji su pravovremeno detektirani i otklonjeni, a konačna slika bila bi još nepovoljnija.