WikiLeaks nam ovih dana curi iz svih medija, znamo mnoge pikanterije američke diplomacije, zabavljaju nas reakcije lokalnih političara širom svijeta, a doznali smo podosta i o seksualnom životu Juliana Assangea. No, nisam našao previše informacija o jednoj važnoj temi koja će zanimati mnoge od vas: kako se moglo desiti da jedna velika informatička sila kao što je američka administracija napravi takav propust? Je li WikiLeaks uzrokovan banalnom nesmotrenošću informatičara ili pak sofisticiranom akcijom insidera?
Nisam naravno imao priliku upoznati informatičke sustave američke vlade, no iz različitih je izvora moguće rekonstruirati uzroke i tijek najznačajnije krađe podataka do sada.
Kako se desilo da ogromna količina povjerljivih podataka bude izložena i da nitko ne otkrije kontinuiranu krađu ovih podataka? Korijeni ovog slučaja su vezani za događaje 11. rujna 2001. Naime, američka je vlada nakon terorističkih napada bila izložena kritici zbog nefikasnog rada obavještajne zajednice. Navodno, postojale su određene "sirove" informacije koje su ukazivale na moguće napade na ciljeve u Sjedinjenim Državama, no nisu bile dostupne analitičarima koji bi ih mogli protumačiti na pravi način. Da bi u budućnosti spriječili nastanak takvog informativnog vakuma, američka je vlada odlučila povezati brojne državne agencije - osobito Pentagon i State Department, a informacije koje one prikupljaju učiniti međusobno dostupnima.
U godinema koje su slijedile, SIPRnet - državna varijanta Internet mreže, no izolirana od javne mreže i znatno sigurnija, povezala je različite agencije američke vlade, vojske i obavještajne zajednice. Ovaj svojevrstan "crowdsourcing" projekt, bio je motiviran željom da se što bolje iskoristi potencijal informacija koje dostavlja brojna diplomatska, vojna i obavještajna mreža širom svijeta. No, kao i svaki inovativan informatički projekt, tako je i ovaj, pored potencijalnih doprinosa, nosio i rizike. Glavni rizik, u ovom slučaju, vezan je za problem dosljedne kontrole pristupa materijalima koji se nalaze na mreži. Na SIPRnet mreži bili su dostupni materijali klasificirani oznakom SECRET (materijali s oznakom TOP SECRET nalaze se na drugoj, odvojenoj i posebno štićenoj mreži), a pristup materijalima imaju vladini službenici ili pripadnici vojske koji su prošli odgovarajuću provjeru ("clearance"). Svi vi koji ste se susreli s problematikom klasifikacije i kontrole pristupa nestrukturiranim podacima (dokumenti, tekstualne datoteke...) znate da je gotovo nemoguće napraviti striktnu kontrolu prava pristupa na razini dokumena: to u pravilu unosi značajan dodatni napor i nove troškove, ali ograničava dostupnost i iskoristivost dokumenata. Primjena principa "need-to-know" - dakle da pojedinom korisniku bude omogućen pristup samo do onih informacija koje su neophodne za njegov posao, gotovo je nemoguća misija. Široka dostupnost i labava kontrola pristupa bili su, dakle, preduvjet uspjeha projekta američke vlade, a sigurnost podataka temeljila se na povjerenju koje je dodjeljeno korisnicima.
Bilo je, naravno, pitanje vremena kada će podaci procuriti.
Wikileaks je sredinom godine objavio brojne povjerljive dokumente vezane za rat u Iraku i Afganistanu. Dokumente je, prema vlastitom priznanju - pogledajte odličan tekst iz Wired-a, prikupio i proslijedio WikiLeaks-u pripadnik američke vojske, 22-godišnji obavještajni analitičar Bradley Manning. Prije nekoliko tjedana, WikiLeaks je objavio i povjerljive poruke američkih diplomata, smatra se da je i ovu skupinu dokumenata prikupio Manning, iako se on u ovom slučaju nije istrčao s priznanjem a WiliLeaks naravno nije otkrio izvor informacija..
Povjerljivi podaci o ratu u Iraku i Afganistanu i diplomatske poruke su smještene u bazama podataka na različitim serverima SIPRneta. Mannning je imao pristup na oba sustava, a podataka nije nedostajalo. Gotovo da nisu prethodno filtrirani. Istina, treba reći da su dokumenti koji su išli prema vrhu američke vlasti i vojnom vrhu bili klasificirani kao TOP SECRET i nisu bili na ovim sustavima, niti su dostupni putem SIPRnet-a (zato su neki i lagano razočarani što su kroz WikiLeaks procurile tek sitnije ribe). Ipak, Manning je i bez najpovjerljivijih podataka imao dosta materijala, a dokumenti o ratu u Iraku su bili osobito šokantni. Treba primjetiti da većina podataka kojima je mogao pristupiti, Manningu nisu nimalo trebali u svakodnevnom poslu, no to je posljedica nemogućnosti dosljedne primjene principa "need-to-know".
Manning je, prema vlastitoj izjavi, podatke je kopirao na CD-RW diskove, a potom na drugom mjestu prenosio podatke na USB memorije. Treba reći da sigurnosna pravila američke vojske nalažu veoma strogu primjenu mjera fizičke zaštite pa se postavlja pitanje kako je Manning mogao unijeti CD u zaštićeni radni prostor gdje se nalazilo računalo s pristupom SIPRnet-u. Odgovor je jednostavan - Manning je bio na službi u Iraku gdje je i izvukao podatke. Smatra se da se mjere informatičke zaštite na lokacijama izvan stalnih vojnih baza u SAD-u i svijetu ne provode dosljedno i striktno. Tako je, izgleda, bilo i u stožeru u Iraku gdje je radio Manning, koji nije imao problema oko unosa medija u štićeni prostor. Kako i sam kaže, bio je iznenađen niskom razinom mjera informacijske sigurnosti i činjenicom da nitko nije uočio krađu podataka. Smtram velikim propustom i činjenicu da je računalo s kojeg je Manning pristupio SIPRnet-u, a koje je trebalo biti konfigurirano prema veoma strogim i ograničavajućim pravilima, imalo CD pisač.
Iz ovog slučaja možemo prepoznati tri glavna momenta koji se obično ponavljaju u slučajevima insiderskih prijetnji.
Prvo, ne samo da situacija čini lopova nego i okolina može djelovati kao značajan katalizatorski moment za insiderske prijetnje. Osobito u vojsci, gdje stresne situacije u kojima se mogu naći vojnici na službi ili zadacima izvan matične zemlje, djeluju kao poticaj za akcije koje je manifestirao Manning.
Drugo, vi možete kontrolirati pristup resursima informacijskog sustava ali ne možete kontrolirati trošenje povjerenja koje ste dodjeliti svom korisniku.
I treće: mjere fizičke kontrole su često najjača mjera zaštite od insiderskih prijetnji.
25.9.10
Operacionalizacija informacijske sigurnosti
Odmah na početku ispričavam se za dulji izostanak novih tekstova (kolege me na to redovito upozoravaju - pozdrav Zlatku!). Zapravo, već dulje vrijeme planiram objaviti moj pogled na stanje operativnog aspekta informacijske sigurnosti u našoj okolini, s obzirom da je to tematika s kojom se već godinama susrećem.
Prošlo je nešto preko dva mjeseca od objave otkrivanja trojanca Stuxnet. Brojni napisi objavljeni u ovom razdoblju potvrdili su izuzetnu malicioznost ovog programa, Microsoft je uz dosta petljanja objavio (neke) popravke, a pojavili su se i teorije (koje sam i ja implicitno naznačio u mom napisu) o državnom sponzorstvu ovog trojanca.
Cijela situacija oko trojanca Stuxnet nameće jedno pitanje: koliko su hrvatske državne institucije, javni sektor i privatne tvrtke otporne na ovako profilirane prijetnje (ili Advanced Persistent Threat, kako ih se u zadnje vrijeme naziva)? Bojim se da je odgovor jako tanak.
Kao što sam već više puta primjetio ovdje ali i u drugim prilikama, svijest o informacijskoj sigurnosti je unatrag desetak godina izuzetno evoluirala, što se naravno odrazilo i na stvarno stanje i procese u našim tvrtkama. Dokaz ovome je opće prihvaćnje normi iz obitelji ISO 2700x, jačanje regulatornih zahtjeva naročito onih iza kojih stoji HNB, te praktično uvođenje osnovnih sigurnosnih procesa. Ipak, rekao bih da se stalo na pola puta. Izuzetno smo jaki na razini definicije i propisivanja sigurnosnih zahtjeva, dok operativna provedba procesa još zaostaje. Zapravo, primjena sigurnosnih principa je zadovoljavajuća kada je upitanju očuvanje dostupnosti i kontinuiteta poslovanja, no čini mi se da su druge prijetnje (naročito namjerno djelovanje ljudskog faktora, koji predstavlja suštinu APT prijetnji) još uvijek podcjenjene.
Ova se situacija može jednostavno protumačiti: prekidi dostupnosti uslijed prirodnih ili tehničkih nepogoda mogu se lako objasniti, iskustva o njima su veoma bolna, lako su razumljivi i provedivi unutar postojećeg opsega kompetencija informatičkih službi, a često su vezani i sa jakim interesom dobavljača s obzirom da svaki takav projekt generira dodatnu prodaju hardverskih komponenti.
Djelovanje ljudskog faktora (naročito motiviranog) druga je priča. Obrana se u ovom slučaju temelji isto tako na djelovanju ljudskog faktora. Alati i sigurnosni sustavi nisu na odmet, no sami po sebi neće dati rezultate, pa su nažalost česti primjeri nesmotrenih investicija u opremu bez zadovoljavajućih rezultata.
Obrana od motiviranog ljudskog djelovanja temelji se na dva aspekta obrane. Prvi je usmjeren na procese koji djeluju na računalne (ali i ljudske) ranjivosti i nedostatke, a drugi je usmjeren na praćenje i otkrivanje neposrednog djelovanja i manifestacija prijetnji. Prvi je preventivan, dok drugi mora detektirati i ograničiti djelovanje. Prvi je proaktivan, drugi je korektivan.
Ovi procesi u mnogim organizacijama nisu provedeni na cjelovit način niti možemo govoriti o upravljivosti ovim procesima. Bojim se da bi djelovanje dobro motiviranog i tehnički utemeljenog ljudskog faktora moglo imati pogubne posljedice.
U ovakvoj situaciji, mnoge organizacije zapravo neće nikad ni saznati da su bile žrtve takvih napada.
No postoji i drugi odgovor.
Možda malo tko ima potrebe pokrenuti sofisticirane tehnološke napade protiv državnih institucija (ako zanimljive informacije može dobiti na drugi način) ili možda naše tvrtke zapravo ne posjeduju atraktivan intelektualni kapital ili druge jedinstvene informacije koji bi motivirale konkurenciju (kao u prošlogodišnjem slučaju napada na Google). Pored toga, nepotrebno je napominjati, trećem ključnom elementu, našim osobnim podacima, sami neprekidno i dobrovoljno smanjujemo vrijednost tako da njihova kompromitacija, valjda neće više nikoga ni uzbuđivati.
Prošlo je nešto preko dva mjeseca od objave otkrivanja trojanca Stuxnet. Brojni napisi objavljeni u ovom razdoblju potvrdili su izuzetnu malicioznost ovog programa, Microsoft je uz dosta petljanja objavio (neke) popravke, a pojavili su se i teorije (koje sam i ja implicitno naznačio u mom napisu) o državnom sponzorstvu ovog trojanca.
Cijela situacija oko trojanca Stuxnet nameće jedno pitanje: koliko su hrvatske državne institucije, javni sektor i privatne tvrtke otporne na ovako profilirane prijetnje (ili Advanced Persistent Threat, kako ih se u zadnje vrijeme naziva)? Bojim se da je odgovor jako tanak.
Kao što sam već više puta primjetio ovdje ali i u drugim prilikama, svijest o informacijskoj sigurnosti je unatrag desetak godina izuzetno evoluirala, što se naravno odrazilo i na stvarno stanje i procese u našim tvrtkama. Dokaz ovome je opće prihvaćnje normi iz obitelji ISO 2700x, jačanje regulatornih zahtjeva naročito onih iza kojih stoji HNB, te praktično uvođenje osnovnih sigurnosnih procesa. Ipak, rekao bih da se stalo na pola puta. Izuzetno smo jaki na razini definicije i propisivanja sigurnosnih zahtjeva, dok operativna provedba procesa još zaostaje. Zapravo, primjena sigurnosnih principa je zadovoljavajuća kada je upitanju očuvanje dostupnosti i kontinuiteta poslovanja, no čini mi se da su druge prijetnje (naročito namjerno djelovanje ljudskog faktora, koji predstavlja suštinu APT prijetnji) još uvijek podcjenjene.
Ova se situacija može jednostavno protumačiti: prekidi dostupnosti uslijed prirodnih ili tehničkih nepogoda mogu se lako objasniti, iskustva o njima su veoma bolna, lako su razumljivi i provedivi unutar postojećeg opsega kompetencija informatičkih službi, a često su vezani i sa jakim interesom dobavljača s obzirom da svaki takav projekt generira dodatnu prodaju hardverskih komponenti.
Djelovanje ljudskog faktora (naročito motiviranog) druga je priča. Obrana se u ovom slučaju temelji isto tako na djelovanju ljudskog faktora. Alati i sigurnosni sustavi nisu na odmet, no sami po sebi neće dati rezultate, pa su nažalost česti primjeri nesmotrenih investicija u opremu bez zadovoljavajućih rezultata.
Obrana od motiviranog ljudskog djelovanja temelji se na dva aspekta obrane. Prvi je usmjeren na procese koji djeluju na računalne (ali i ljudske) ranjivosti i nedostatke, a drugi je usmjeren na praćenje i otkrivanje neposrednog djelovanja i manifestacija prijetnji. Prvi je preventivan, dok drugi mora detektirati i ograničiti djelovanje. Prvi je proaktivan, drugi je korektivan.
Ovi procesi u mnogim organizacijama nisu provedeni na cjelovit način niti možemo govoriti o upravljivosti ovim procesima. Bojim se da bi djelovanje dobro motiviranog i tehnički utemeljenog ljudskog faktora moglo imati pogubne posljedice.
U ovakvoj situaciji, mnoge organizacije zapravo neće nikad ni saznati da su bile žrtve takvih napada.
No postoji i drugi odgovor.
Možda malo tko ima potrebe pokrenuti sofisticirane tehnološke napade protiv državnih institucija (ako zanimljive informacije može dobiti na drugi način) ili možda naše tvrtke zapravo ne posjeduju atraktivan intelektualni kapital ili druge jedinstvene informacije koji bi motivirale konkurenciju (kao u prošlogodišnjem slučaju napada na Google). Pored toga, nepotrebno je napominjati, trećem ključnom elementu, našim osobnim podacima, sami neprekidno i dobrovoljno smanjujemo vrijednost tako da njihova kompromitacija, valjda neće više nikoga ni uzbuđivati.
27.7.10
Trebaju li političari biti Facebooku?
Jutarnji list je proteklog tjedna objavio članak o nespremnosti naših političara za otvaranje profila na Facebooku i sudjelovanje u društvenim mrežama, istog tjedna kada je i Facebook objavio podatak o 500 miljuna korisnika svog servisa.
Treba li nas zabrinjavati što naših političara nema na socijalnim mrežama?
Ovu temu sam već ranije dotaknuo na ovim stranicama, a glavni motiv mog interesa je stajalište da građani/pojedinci/osobe moraju biti zaštićeni od svih oblika zloupotrebe informacijskog sustava ili manipulacija informacijskim sustavom - bez obzira radi li se o zaštiti privatnosti koju ugrožavaju velike korporacije ili državne institucije ili se radi o očuvanju javnosti i prava na objektivno mišljenje koje ne smije biti ugroženo manipulacijama i inžinjeringom.
Kako se socijalne mreže uklapaju u ova polazišta?
Jedno od osnovnih mehanizama na kojem se temelji korištenje informacijskog sustava je mehanizam povjerenja. Ovim mehanizmom pružatelj i primatelj informacijskih servisa međusobno izmjenjuju simetrična ili asimetrična prava za korištenje servisa, a ova prava temelje na međusobnom povjerenju. U poslovnim sustavima se ovaj mehanizam može lako opisati iako upravljanje povjerenjem nigdje nije jednostavan posao. Kada je u pitanju povjerenje koje mora dodjeliti pojedinac na privatnoj razini, stvari se strašno kompliciraju, a ja ću se osvrnuti samo na dio ove problematike koja se odnosi na socijalne mreže.
Specifičnost socijalnih mreži je u tome što krajnji korisnici servisa ujedno imaju odgovornost dodjele povjerenja. Sama socijalna mreža je tek posrednik u ovom procesu. Dakle sudjelovanjem u socijalnim mrežama pojedinci koriste razne reputacijske alate kako bi odobrili ili opozvali povjerenje, stvarajući ili preuzimajući određeni model komunikacije među korisnicima, bilo da se radi o komunikaciji ravnopravnih članova ili o komunikaciju pojednog člana i grupe svojih sljedbenika. Ovakav model dodjele povjerenja, ali i sami servisi koji se koriste na socijalnim mrežama imaju znatne manjkavosti koje se oslikavaju u nemogućnosti verifikacije identiteta, manipulacije reputacijskim podacima, nekontroliranom preuzimanju sadržaja, a što na koncu vodi vodi do značajnih mogućnosti za manipulaciju informacijama koje se na socijalnim mrežama pružaju. Ne treba zanemariti i direktne prijetnje socijalnih mreža privatnosti sudionika a, što svakako treba zabrinuti odgovorne osobe u poslovnim sustavima ili državnim organizacijama, socijalne mreže su i izraziti kanal curenja informacija.
No, sudjelovanje političara uključuje i još jedan potencijalni problem: miješanje javnosti i svijeta virtualnih grupa. Sve da nas uopće nije briga o prije spomenutim problemima socijalnih mreža, uključivanje političara ne može biti njihova osobna stvar koja se tiče samo njih i uključenih članova socijalnih mreža (kao što mediji voli reći, političari su javne osobe pa moraju biti spremni na pojačan interes javnosti). Ne treba biti previše bistar kako bi se zaključilo da je interes političara za socijalne mreže povezan prije svega s mogućnošću socijalnih mreža za oblikovanje javnog mišljenja i građenje ciljane slike o samom/samoj sebi. Sasvim sam siguran da javnost ne može profitirati od sudjelovanja političara u javnim mrežama. Javnost može dobiti samo još jedan oblik manipulacije javim mišljenjem. Najgore što se na koncu može dogoditi da virtualna javnost zamjeni realnu javnost i da virutalne grupe zamjene javnu raspravu ili političke procese.
Stoga, zahvalan sam svima političarima koji nisu na Facebooku.
Treba li nas zabrinjavati što naših političara nema na socijalnim mrežama?
Ovu temu sam već ranije dotaknuo na ovim stranicama, a glavni motiv mog interesa je stajalište da građani/pojedinci/osobe moraju biti zaštićeni od svih oblika zloupotrebe informacijskog sustava ili manipulacija informacijskim sustavom - bez obzira radi li se o zaštiti privatnosti koju ugrožavaju velike korporacije ili državne institucije ili se radi o očuvanju javnosti i prava na objektivno mišljenje koje ne smije biti ugroženo manipulacijama i inžinjeringom.
Kako se socijalne mreže uklapaju u ova polazišta?
Jedno od osnovnih mehanizama na kojem se temelji korištenje informacijskog sustava je mehanizam povjerenja. Ovim mehanizmom pružatelj i primatelj informacijskih servisa međusobno izmjenjuju simetrična ili asimetrična prava za korištenje servisa, a ova prava temelje na međusobnom povjerenju. U poslovnim sustavima se ovaj mehanizam može lako opisati iako upravljanje povjerenjem nigdje nije jednostavan posao. Kada je u pitanju povjerenje koje mora dodjeliti pojedinac na privatnoj razini, stvari se strašno kompliciraju, a ja ću se osvrnuti samo na dio ove problematike koja se odnosi na socijalne mreže.
Specifičnost socijalnih mreži je u tome što krajnji korisnici servisa ujedno imaju odgovornost dodjele povjerenja. Sama socijalna mreža je tek posrednik u ovom procesu. Dakle sudjelovanjem u socijalnim mrežama pojedinci koriste razne reputacijske alate kako bi odobrili ili opozvali povjerenje, stvarajući ili preuzimajući određeni model komunikacije među korisnicima, bilo da se radi o komunikaciji ravnopravnih članova ili o komunikaciju pojednog člana i grupe svojih sljedbenika. Ovakav model dodjele povjerenja, ali i sami servisi koji se koriste na socijalnim mrežama imaju znatne manjkavosti koje se oslikavaju u nemogućnosti verifikacije identiteta, manipulacije reputacijskim podacima, nekontroliranom preuzimanju sadržaja, a što na koncu vodi vodi do značajnih mogućnosti za manipulaciju informacijama koje se na socijalnim mrežama pružaju. Ne treba zanemariti i direktne prijetnje socijalnih mreža privatnosti sudionika a, što svakako treba zabrinuti odgovorne osobe u poslovnim sustavima ili državnim organizacijama, socijalne mreže su i izraziti kanal curenja informacija.
No, sudjelovanje političara uključuje i još jedan potencijalni problem: miješanje javnosti i svijeta virtualnih grupa. Sve da nas uopće nije briga o prije spomenutim problemima socijalnih mreža, uključivanje političara ne može biti njihova osobna stvar koja se tiče samo njih i uključenih članova socijalnih mreža (kao što mediji voli reći, političari su javne osobe pa moraju biti spremni na pojačan interes javnosti). Ne treba biti previše bistar kako bi se zaključilo da je interes političara za socijalne mreže povezan prije svega s mogućnošću socijalnih mreža za oblikovanje javnog mišljenja i građenje ciljane slike o samom/samoj sebi. Sasvim sam siguran da javnost ne može profitirati od sudjelovanja političara u javnim mrežama. Javnost može dobiti samo još jedan oblik manipulacije javim mišljenjem. Najgore što se na koncu može dogoditi da virtualna javnost zamjeni realnu javnost i da virutalne grupe zamjene javnu raspravu ili političke procese.
Stoga, zahvalan sam svima političarima koji nisu na Facebooku.
23.7.10
Veoma nezgodna ranjivost
Proteklog tjedna je svijet obišla vijest o pojavi nove ranjivosti u svim verzijama Windows operativnog sustava od XP-a na dalje. Ranjivost je vezana za način kojim Windows obrađuje LNK datoteke. LNK datoteke se najčešće vezuju za ikonice prikazane na ekranu - popularno ih nazivamo shortcut - i u sebi sadržavaju link prema stvarnim objektima operativnog sustava do kojih se dolazi klikom na samu ikonicu. Najčešće se koriste za brz pristup programskom kodu. Do danas smo bili uvjereni da moramo kliknuti na ikonicu kako bi došli do nekog objekta ili pokrenuli program. No, ovog se tjedna pokazalo da to nije i jedini način pokretanja programa. Naime, Windowsi na nedovoljno oprezan - netko bi rekao nekontroliran - način obrađuje podatke ugrađene u LNK datoteke, tj. shortcute i pokazalo se da je dovoljno samo otvoriti mapu gdje se nalazi shortcut pa će program biti pokrenut. To će se desiti u slučaju da je podatak o linku formuliran na poseban način koji Windows krivo tumači. Korumpirani LNK file je samo vektor napada, a pravi napad eskalira ako program koji će se pokrenuti bez znanja i odobrenja korisnika ima maliciozni sadržaj.
Naravno, ovaj bug otvara brojne mogućnosti napadačima. Idealana primjena buga je širenje malicioznog koda putem USB memorijskih uređaja, no jednako tako je moguća disperzija putem mrežnih share objekata pa čak i pristupom putem web preglednika.
O kritičnosti buga govori i visoka ocjena registrirane ranjivosti CVE-2010-2568 prema CVSS sustavu ocjenjivanja ranjivosti.
Microsoft za sada nije objavio programski popravak, već nekoliko tehnika kojima se omogućuje zaobilaženje problema. Najvažnija preporuka je onemogućiti prikaz ikona za shortcut datoteke. Ova operacija se mora provesti izmjenom registry datoteka ili pozivanjem skripte putem Microsoftovih stranica.
Također, korisnici bi se trebali pridržavati standardnih uputa o izbjegavanju otvaranja sadržaja ili medija koji dolaze iz nepoznatih izvora.
Prvi slučaj u kojem je otkriveno iskorištavanje ovog buga vezan je za ugrožavanje industrijskih Siemens SCADA sustava i otkrivanje trojanca Stuxnet. Stuxnet je zapravo i omogućio utvrđivanje samog nedostataka u Windows operativnom sustavu. Trojanac Stuxnet koristi deafultni password za pristup Siemensom SCADA sustavu, čita podatke sa sustava i šalje ih na udaljeni server koji upravlja samim Stuxnet trojancem, smješten u Maleziji. No, analiza samog trojanca je pokazla da je sposoban napraviti i brojne druge akcije.
Slučaj Siemens SCADA i Stuxnet trojanac daju dobar štof teoretičarima zavjera. Naime, utvrđeno je da je Stuxnet bio najviše raširen u iranskoj bazi korisnika Siemens SCADA sustava (za neupućene, SCADA sustavi su industrijski računalni sustavi koji omogućuju kontrolne aktivnosti na širokom spektru industrijske primjene - od kemijske industrije, elektrodistribucije te brojnih drugih, uključujući i nuklearnu tehniku). Siemens je u proteklom razdoblju bio i meta američke kritike jer je navodno olakšavao provedbu iranskog nuklearnog programa o čemu piše i The Wall Street Journal. Naposljetku, Siemens je početkom godine objavio planove o zatvarnju ureda u Iranu.
Stuxnet je očigledno izvrsno napravljan alat industrijske špijunaže. Osim zero-day ranjivosti i izvrsno napisanog programa koji je dugo ostao prikriven postoji i još jedan zapanjujući detalj. Instalacija samog trojanca je bila potpisana legitimnim certifikatim dobro poznate tajvanske tvrtke Realtek Semiconductor. Istraga će svakako morati utvrditi na koji način su napadači došli u posjed samog certifikata.
Prema sadašnjim podacima, Stuxnet je u životu od siječnja ove godine. No, ostaje veliko pitanje je li ovakva ranjivost mogla i prije ostati nezamjećena i postoje li druge zloupotrebe o kojima ne znamo puno.
Bez obzira na specifičnost trojanca Stuxnet, ranjivost LNK datoteka imati će puno veći utjecaj nego što se sad naslućuje. Ovaj zaključak temeljim na nekoliko činjenica.
Prvo, bez obzira koliko brzo će Microsoft objaviti službeni patch, primjena patcheva u praksi znatno zaostaje, a dovoljno je da tek nekoliko računala u mreži nema ažurno stanje patcheva pa da cijela mreža bude ugrožena.
Drugo, nemojte se pouzdavati u efikasnost antivirusnog sustava. Naime, ranjivost se može iskoristiti i za ciljane napade koji imaju nekarakterističan profil programskog koda pa ih antivirusni programi neće odmah detektirati. Takva je situacija tipična za ciljane (targeted) računalne napade.
Treće, ranjivost je idealna za primjenu u scenarijima socijalnog inžinjeringa, koji se u praksi pokazuju kao najefikasniji u slučajevima insiderskih napada, industrijske špijunaže i u drugim oblcima krađe informacija.
LNK ranjivost, a posebno Stuxnet trojanac, su još jedan dokaz da računalna sigurnost bazirana na firewallu i antvirusnom sustavu nije jamac zaštite kada su u pitanju visoki ulozi.
Naravno, ovaj bug otvara brojne mogućnosti napadačima. Idealana primjena buga je širenje malicioznog koda putem USB memorijskih uređaja, no jednako tako je moguća disperzija putem mrežnih share objekata pa čak i pristupom putem web preglednika.
O kritičnosti buga govori i visoka ocjena registrirane ranjivosti CVE-2010-2568 prema CVSS sustavu ocjenjivanja ranjivosti.
Microsoft za sada nije objavio programski popravak, već nekoliko tehnika kojima se omogućuje zaobilaženje problema. Najvažnija preporuka je onemogućiti prikaz ikona za shortcut datoteke. Ova operacija se mora provesti izmjenom registry datoteka ili pozivanjem skripte putem Microsoftovih stranica.
Također, korisnici bi se trebali pridržavati standardnih uputa o izbjegavanju otvaranja sadržaja ili medija koji dolaze iz nepoznatih izvora.
Prvi slučaj u kojem je otkriveno iskorištavanje ovog buga vezan je za ugrožavanje industrijskih Siemens SCADA sustava i otkrivanje trojanca Stuxnet. Stuxnet je zapravo i omogućio utvrđivanje samog nedostataka u Windows operativnom sustavu. Trojanac Stuxnet koristi deafultni password za pristup Siemensom SCADA sustavu, čita podatke sa sustava i šalje ih na udaljeni server koji upravlja samim Stuxnet trojancem, smješten u Maleziji. No, analiza samog trojanca je pokazla da je sposoban napraviti i brojne druge akcije.
Slučaj Siemens SCADA i Stuxnet trojanac daju dobar štof teoretičarima zavjera. Naime, utvrđeno je da je Stuxnet bio najviše raširen u iranskoj bazi korisnika Siemens SCADA sustava (za neupućene, SCADA sustavi su industrijski računalni sustavi koji omogućuju kontrolne aktivnosti na širokom spektru industrijske primjene - od kemijske industrije, elektrodistribucije te brojnih drugih, uključujući i nuklearnu tehniku). Siemens je u proteklom razdoblju bio i meta američke kritike jer je navodno olakšavao provedbu iranskog nuklearnog programa o čemu piše i The Wall Street Journal. Naposljetku, Siemens je početkom godine objavio planove o zatvarnju ureda u Iranu.
Stuxnet je očigledno izvrsno napravljan alat industrijske špijunaže. Osim zero-day ranjivosti i izvrsno napisanog programa koji je dugo ostao prikriven postoji i još jedan zapanjujući detalj. Instalacija samog trojanca je bila potpisana legitimnim certifikatim dobro poznate tajvanske tvrtke Realtek Semiconductor. Istraga će svakako morati utvrditi na koji način su napadači došli u posjed samog certifikata.
Prema sadašnjim podacima, Stuxnet je u životu od siječnja ove godine. No, ostaje veliko pitanje je li ovakva ranjivost mogla i prije ostati nezamjećena i postoje li druge zloupotrebe o kojima ne znamo puno.
Bez obzira na specifičnost trojanca Stuxnet, ranjivost LNK datoteka imati će puno veći utjecaj nego što se sad naslućuje. Ovaj zaključak temeljim na nekoliko činjenica.
Prvo, bez obzira koliko brzo će Microsoft objaviti službeni patch, primjena patcheva u praksi znatno zaostaje, a dovoljno je da tek nekoliko računala u mreži nema ažurno stanje patcheva pa da cijela mreža bude ugrožena.
Drugo, nemojte se pouzdavati u efikasnost antivirusnog sustava. Naime, ranjivost se može iskoristiti i za ciljane napade koji imaju nekarakterističan profil programskog koda pa ih antivirusni programi neće odmah detektirati. Takva je situacija tipična za ciljane (targeted) računalne napade.
Treće, ranjivost je idealna za primjenu u scenarijima socijalnog inžinjeringa, koji se u praksi pokazuju kao najefikasniji u slučajevima insiderskih napada, industrijske špijunaže i u drugim oblcima krađe informacija.
LNK ranjivost, a posebno Stuxnet trojanac, su još jedan dokaz da računalna sigurnost bazirana na firewallu i antvirusnom sustavu nije jamac zaštite kada su u pitanju visoki ulozi.
18.3.10
Sudjelovanje na drugoj konferenciji Hrvatskog instituta internih revizora
Idući tjedan, od 25. do 27.03. 2010. u Opatiji se održava druga konferencija Hrvatskog instituta internih revizora. U petak drugog dana konferencije sudjelovati ću u radu sekcije koja se bavi sigurnošću informacijskih sustava. Tema moje prezentacije su sigurnosni incidenti i uloga internih revizora u uspostavi procesa praćenja sigurnosnih incidenata.
Sigurnosni incidenti su siva zona informacijske sigurnosti. Naše tvrtke u zadnjih nekoliko godina pokazuju porast zanimanja za organizacijski aspekt informacijske sigurnosti, sve više se govori o različitim radnim okvirima (a pomalo se ovi okviri i primjenjuju), interna revizije se sve ozbiljnije suočava s ovom problematikom... Istovremeno, o sigurnosnim incidentima, naročito onima koji se manifestiraju u kategorijama povjerljivosti i cjelovitosti, još uvijek se premalo zna. Glavni razlog ove ignorancije leži u nedostatku i manjkavostima procesa sigurnosnog nadzora nad radom informacijskog sustava. Rezultat: o informacijskim rizicima vlada bolja slika nego što ona (možda) treba biti, nedostaje komponenta povjesnog pogleda na mnoge računalne prijetnje.
Uloga IT revizora je dvojaka. Prvo, IT revizori svakako moraju biti među pokretačma inicijative za uspostavu procesa praćenja sigurnosnih incidenata. Drugo, IT revizori mogu (pa i moraju) i sudjelovati u postupku rješavanja ovih incidenata, naravno u okvirima svojih nadležnosti.
Vidimo se u Opatiji.
Sigurnosni incidenti su siva zona informacijske sigurnosti. Naše tvrtke u zadnjih nekoliko godina pokazuju porast zanimanja za organizacijski aspekt informacijske sigurnosti, sve više se govori o različitim radnim okvirima (a pomalo se ovi okviri i primjenjuju), interna revizije se sve ozbiljnije suočava s ovom problematikom... Istovremeno, o sigurnosnim incidentima, naročito onima koji se manifestiraju u kategorijama povjerljivosti i cjelovitosti, još uvijek se premalo zna. Glavni razlog ove ignorancije leži u nedostatku i manjkavostima procesa sigurnosnog nadzora nad radom informacijskog sustava. Rezultat: o informacijskim rizicima vlada bolja slika nego što ona (možda) treba biti, nedostaje komponenta povjesnog pogleda na mnoge računalne prijetnje.
Uloga IT revizora je dvojaka. Prvo, IT revizori svakako moraju biti među pokretačma inicijative za uspostavu procesa praćenja sigurnosnih incidenata. Drugo, IT revizori mogu (pa i moraju) i sudjelovati u postupku rješavanja ovih incidenata, naravno u okvirima svojih nadležnosti.
Vidimo se u Opatiji.
Pretplati se na:
Postovi (Atom)