Prije svega, dugujem ispriku stalnim čitateljima ovih stranica. Prošlo je puno vremena od zadnjeg teksta na ovim stranicama. Nisam, naravno, izgubio polet, već sam bio prilično zaokupljen na nekoliko projekata, pa su ove stranice, nekako, završile u drugom planu. Uskoro će biti nešto više riječi o ovim projektima, a posebno ću opisati rad na razvoju aplikacije za upravljanje informacijskim rizicima. Osim na projektima, sudjelovao sam i u nekoliko događaja i javnih skupova. Krajem veljače sam na redovitim mjesečnim sastancima hrvatskog ogranka ISACA-e predstavio metodu za upravljanje rizicima - MEHARI, a u najfriškijem sjećanju je i prošlotjedno sudjelovanje na prvoj konferenciji internih revizora u Opatiji, u organizaciji Hrvatskog instituta internih revizora. HIIR je, pored hrvatskog ogranka ISACA-e, jedina stručna organizacija koja se, među ostalim, bavi i revizijom informacijskih sustava.
Glavnu riječ u planiranju, organizaciji, a naročito vođenju stručnog programa konferencije u Opatiji imali su sami revizori. Organizacijski dio nije nimalo podbacio, a stručni dio bio je osobito zanimljiv, naročito onaj koji se odnosio se na reviziju informacijskih sustava.
Borea je održala jednu veoma zanimljivu i dobro posjećenu radionicu o korištenju CAATT alata IDEA. Radionica se bazirala na stvarnom primjeru iz poslovne prakse i u, preko 120 minuta, predstavili smo glavne analitičke mogućnosti softvera IDEA.
Također, održao sam i prezentaciju koja se odnosila na jedno od najpodcjenjenijih područja informacijske sigurnosti - upravljanje log zapisima. Ova tematika podjednako je zanimljiva i stručnjacima za sigurnost kao i revizorima informacijskih sustava. Revizorima je zanimljiva iz dva razloga. Prvo, revizija svakog imalo osjetljivijeg informacijskog sustava mora uključivati i reviziju procesa upravljanja log zapisima. Drugi razlog leži u činjenici da log zapisi sadrže brojne informacije o radu i korištenju informacijskog sustava. Ove informacije se moraju svakako sagledati u situacijama kada se izvodi detaljna analiza pojedinih sigurnosnih mjera odnosno kada se testira provedba predviđenih postavki.
Konferencija u Opatiji pokazala je veliko zanimanje za problematiku revizije informacijskih sustava, što nimalo ne čudi s obzirom na sve prisutnije regulatorne zahtjeve. Raduje što su sudionici konferencije bili spremni podijeliti svoja razmišljanja u ovom dijelu struke koje se, u našem okruženju, tek treba etablirati.
31.3.09
29.1.09
Heartland: najveća krađa podataka do sada?
Siječanj je, izgleda, rezerviran za rekorde u računalnom kriminalu. Ove godine imamo Heartland Payment System, šestog po veličini američkog procesora kartičnih transakcija. Konačni izvještaji nisu još dostupni, no pretpostavlja se da je incident otkriven krajem 2008. opsegom premašio krađu podataka u TJX-u iz 2007. Nije još poznat ni karakter ukradenih podataka (Heartland, naravno, nastoji ublažiti javni efekt), kao ni tehnika izvedbe. Ipak, pretpostavlja se da je maliciozni program, smješten u kritičnom dijelu sustava, bilježio obrađivane transkacije (Heartland obrađuje oko 100 milijuna transakcija mjesečno). Treba reći da je Heartland obrađivao transkacije koje su realizirane u nizu manjih dućana i restorana širom Sjedinjenih država (Internet transkacije jedva da su i bile zastupljene)
Na tehničke okolnosti ću se vratiti kada budu poznati rezultati istrage, no želim ukazati na činjenicu da je Heartland nekoliko mjeseci prije incidenta certificiran kao sukladan sa zahtjevima PCI DSS standrada (to je bo slučaj i u prošlogodišnjem incidentu kod tvrtke Hannaford). Još jedna potvrda da biti sukladan ne znači i biti siguran.
Vjerujem da će ovaj incident (i slični koje sigurno možemo očekivati) pokrenuti neke promjene u primjeni PCI DSS standarda. Mora se posvetiti veća pažnja ne samo činjenici radi li se operativan nadzor sigurnosti informacijskog sustava, nego i kako se taj nadzor provodi. PCI DSS certifikacija je samo snimak stanja u određenom trenutku (onda kada QSA boravi u tvrtki). Logovi, sistemski događaji, konfiguracijski podaci, ranjivosti - to moraju biti glavni, ali ne i jedini, indikatori kvalitetete sigurnosnih mjera.
Podsjetio bih da je incident iz 2005. kod tvrtke CardSytem Solutions (također, procesor kartičnih transakcija) rezultirao, pored krađe 40 milijuna podataka, i prestankom rada ove tvrtke. Očekuje li ista sudbina i Heartland?
Na tehničke okolnosti ću se vratiti kada budu poznati rezultati istrage, no želim ukazati na činjenicu da je Heartland nekoliko mjeseci prije incidenta certificiran kao sukladan sa zahtjevima PCI DSS standrada (to je bo slučaj i u prošlogodišnjem incidentu kod tvrtke Hannaford). Još jedna potvrda da biti sukladan ne znači i biti siguran.
Vjerujem da će ovaj incident (i slični koje sigurno možemo očekivati) pokrenuti neke promjene u primjeni PCI DSS standarda. Mora se posvetiti veća pažnja ne samo činjenici radi li se operativan nadzor sigurnosti informacijskog sustava, nego i kako se taj nadzor provodi. PCI DSS certifikacija je samo snimak stanja u određenom trenutku (onda kada QSA boravi u tvrtki). Logovi, sistemski događaji, konfiguracijski podaci, ranjivosti - to moraju biti glavni, ali ne i jedini, indikatori kvalitetete sigurnosnih mjera.
Podsjetio bih da je incident iz 2005. kod tvrtke CardSytem Solutions (također, procesor kartičnih transakcija) rezultirao, pored krađe 40 milijuna podataka, i prestankom rada ove tvrtke. Očekuje li ista sudbina i Heartland?
18.1.09
Tek dva od tri računala otporna na Downadup
Downoadup/Conficker, o kojemu je izvjestio čak i CNN, me je podsjetio na dobra stara vremena kada su se maliciozni programi nazivali virusima. Postoje dvije poveznice između ovog programa i virusa iz davnih vremena.
Prvo, Downadup/Conficker se manifestira na bučan i masovan način (koji su moderni maliciozni programi gotovo napustili). Prema nekim procjenama, do današnjeg dana je zahvatio oko 9 milijuna računala (preko 6 milijuna novozaraženih računala u zadnjih nekoliko dana, a broj će se svakako povećati već sutra). Kao da su autori ovog programa bili motivirani i retro porivom za pet minuta slave, što su uz ovakvu dinamiku širenja i postigli.
Drugo, Downadup/Conficker iskorištava jednu ranjivost u Windows operativnom sustavu koja je poznata već dulje vrijeme (od listopada 2008.) i za koju postoji popravak (patch) ali koji, iz nekog razloga, na mnogim računalima nije primjenjen. Ovaj moment se ponavlja iz godine u godinu. Ako računalne ranjivosti baš i moramo silom prilika prihvatiti kao nužnost današnje softverske industrije, korisnici i dalje pokazuju jako malo volje da svojim ponašanjem ublaže negativne učinke takve realnosti. Ponovo moramo naglasiti potrebu za dosljednim upravljanjem računalnim ranjivostima.
Jedan detalj me dodatno iznenadio. Tvrtka Qualys je objavila u 2003. jedno istraživanje (“The Law of Vulnerabilities”) prema kojemu se u roku od 30 dana od dana objave programskog popravka, tek na 50% računala ovaj popravak zaista i primjeni. Ako pogledamo i slijedećih 30 dana, na kraju tog razdoblja popravak nedostaje na oko 30% računala. Kako se čini, Downadup/Conficker je potvrdio ovu zakonitost. Naime, tvrtka Qualys provodi provjeru ranjivosti na temelju SaaS servisu, pa redovito vodi statističke analize o zastupljenosti pojedinih računalnih ranjivosti u poslovnom okruženju koje SaaS servis QualysGuard poslužuje. Ova je analiza pokazala da početkom siječnja (dakle, dva mjeseca od pojave popravka MS08-067 koji spriječava pojavu programa Downadup/Conficker) tek dva od tri računala sadrži spomenuti popravak. Ovi podaci su još ozbiljniji ako uzmemo u obzir da Qualys-ove analize obuhvaćaju korisnike njihovih SaaS usluga, a to su prije svega korporativni korisnici (tek u malom postotku su obuhvaćeni kućni korisnici). Dodatno nas mora zabrinuti činjenica da se pristup nije promjenio od 2003. godine.
Dobra vijest je da Downadup/Conficker, iako napisan izuzetno inovativno i temeljito, kako se čini ne sadrži osobito maliciozan učinak (barem ne verzija koja je poznata u trenutku pisanja ovog teksta). No, kad uzmete u obzir da je značajka modernog malicioznog koda ipak znatno veća opskurnost i tišina djelovanja te veća doza nedobronamjernosti, mislim da je potrebno još jednom ponoviti staru lekciju o održavanju dobrog stanja računalnih sustava.
Prvo, Downadup/Conficker se manifestira na bučan i masovan način (koji su moderni maliciozni programi gotovo napustili). Prema nekim procjenama, do današnjeg dana je zahvatio oko 9 milijuna računala (preko 6 milijuna novozaraženih računala u zadnjih nekoliko dana, a broj će se svakako povećati već sutra). Kao da su autori ovog programa bili motivirani i retro porivom za pet minuta slave, što su uz ovakvu dinamiku širenja i postigli.
Drugo, Downadup/Conficker iskorištava jednu ranjivost u Windows operativnom sustavu koja je poznata već dulje vrijeme (od listopada 2008.) i za koju postoji popravak (patch) ali koji, iz nekog razloga, na mnogim računalima nije primjenjen. Ovaj moment se ponavlja iz godine u godinu. Ako računalne ranjivosti baš i moramo silom prilika prihvatiti kao nužnost današnje softverske industrije, korisnici i dalje pokazuju jako malo volje da svojim ponašanjem ublaže negativne učinke takve realnosti. Ponovo moramo naglasiti potrebu za dosljednim upravljanjem računalnim ranjivostima.
Jedan detalj me dodatno iznenadio. Tvrtka Qualys je objavila u 2003. jedno istraživanje (“The Law of Vulnerabilities”) prema kojemu se u roku od 30 dana od dana objave programskog popravka, tek na 50% računala ovaj popravak zaista i primjeni. Ako pogledamo i slijedećih 30 dana, na kraju tog razdoblja popravak nedostaje na oko 30% računala. Kako se čini, Downadup/Conficker je potvrdio ovu zakonitost. Naime, tvrtka Qualys provodi provjeru ranjivosti na temelju SaaS servisu, pa redovito vodi statističke analize o zastupljenosti pojedinih računalnih ranjivosti u poslovnom okruženju koje SaaS servis QualysGuard poslužuje. Ova je analiza pokazala da početkom siječnja (dakle, dva mjeseca od pojave popravka MS08-067 koji spriječava pojavu programa Downadup/Conficker) tek dva od tri računala sadrži spomenuti popravak. Ovi podaci su još ozbiljniji ako uzmemo u obzir da Qualys-ove analize obuhvaćaju korisnike njihovih SaaS usluga, a to su prije svega korporativni korisnici (tek u malom postotku su obuhvaćeni kućni korisnici). Dodatno nas mora zabrinuti činjenica da se pristup nije promjenio od 2003. godine.
Dobra vijest je da Downadup/Conficker, iako napisan izuzetno inovativno i temeljito, kako se čini ne sadrži osobito maliciozan učinak (barem ne verzija koja je poznata u trenutku pisanja ovog teksta). No, kad uzmete u obzir da je značajka modernog malicioznog koda ipak znatno veća opskurnost i tišina djelovanja te veća doza nedobronamjernosti, mislim da je potrebno još jednom ponoviti staru lekciju o održavanju dobrog stanja računalnih sustava.
19.12.08
Različiti aspekti zaštite privatnosti
Ovih dana sam odgovarao na pitanje o povezanosti mojeg zadnjeg napisa sa temama ovog bloga. Taj napis, naime, treba čitati kao dio problematike zaštite privatnosti. Zaštita privatnosti se najčešće sagledava kroz prizmu čuvanja i neotkrivanja osobnih podataka. No, zaštita privatnosti ima (barem) još dva aspekta vezana za informacijske tehnologije, koje bi, po mojem mišljenju, trebalo detaljno sagledati.
Prvi aspekt se odnosi na sve dominantniju informatizaciju javne uprave, koja nas, istini za volju, tek očekuje u pravom zamahu. Naime, može se očekivati da će različiti informatički servis - najčešće u nadležnosti državnih tijela - imati sve značajniji utjecaj. Takvi će servisi evoluirati od informativnog karaktera prema pružanju različitih kritičnih servisa i obavljanju važnih transakcija. Čuvanje osobnih podataka neće više biti jedini zahtjev koje će ove aplikacije morati ispuniti. Točnost, vjerodostojnost i neporecivost imati će kritično značenje. Posebno će se to odnositi na sustave i aplikacije koje će imati funkciju arbitra u pojedinim društvenim transakcijama. Zamislite, na primjer, funkciju digitalnog javnog bilježnika: neodgovorna realizacija takvog i sličnih sustava postati će izvor manipulacija i korupcije. Možemo s pravom postaviti pitanje kako će pojedinci (građani, osobe) biti zaštićeni u takvim sustavima? Kako će javni servis dokazaviti svoju vjerodostojnost? Hoće li pojedinci moći osporavati transakcije obavljene ovim servisima? Smatram da ova problematika mora pridobiti posebnu pozornost i postati važno područje zaštite osobnih prava u digitalnom svijetu.
Drugi aspekt zaštite privatnosti zapravo i ne predstavlja suštinsku novost. Naime, već su se i tradicionalni elektronički mediji pokazali veoma iskoristivim u svrhu manipulacije javnošću. Novi mediji, vezani prije svega za Internet, imaju još i veći potencijal za takve manipulacije. S obzirom da su upravo pojedinci (građani,osobe) ponajviše izloženi manipulacijama na svim područjima (od ekonomije do politike), smatram da ograničenje aktivnosti koje pokazuju tendenciju manipulacijama i zaštita pojedinaca od manipulacija također moraju postati važno područje zaštite osobnih prava u digitalnom svijetu.
Upravo je ovaj drugi aspekt bio poveznica s prethodnim napisom s ovih stranica. Smatram da su prave aktivnosti tek pred nama, a slobodno mi sugerirajte i druge aspekte zaštite osobnih sloboda u digitalnom svijetu.
Prvi aspekt se odnosi na sve dominantniju informatizaciju javne uprave, koja nas, istini za volju, tek očekuje u pravom zamahu. Naime, može se očekivati da će različiti informatički servis - najčešće u nadležnosti državnih tijela - imati sve značajniji utjecaj. Takvi će servisi evoluirati od informativnog karaktera prema pružanju različitih kritičnih servisa i obavljanju važnih transakcija. Čuvanje osobnih podataka neće više biti jedini zahtjev koje će ove aplikacije morati ispuniti. Točnost, vjerodostojnost i neporecivost imati će kritično značenje. Posebno će se to odnositi na sustave i aplikacije koje će imati funkciju arbitra u pojedinim društvenim transakcijama. Zamislite, na primjer, funkciju digitalnog javnog bilježnika: neodgovorna realizacija takvog i sličnih sustava postati će izvor manipulacija i korupcije. Možemo s pravom postaviti pitanje kako će pojedinci (građani, osobe) biti zaštićeni u takvim sustavima? Kako će javni servis dokazaviti svoju vjerodostojnost? Hoće li pojedinci moći osporavati transakcije obavljene ovim servisima? Smatram da ova problematika mora pridobiti posebnu pozornost i postati važno područje zaštite osobnih prava u digitalnom svijetu.
Drugi aspekt zaštite privatnosti zapravo i ne predstavlja suštinsku novost. Naime, već su se i tradicionalni elektronički mediji pokazali veoma iskoristivim u svrhu manipulacije javnošću. Novi mediji, vezani prije svega za Internet, imaju još i veći potencijal za takve manipulacije. S obzirom da su upravo pojedinci (građani,osobe) ponajviše izloženi manipulacijama na svim područjima (od ekonomije do politike), smatram da ograničenje aktivnosti koje pokazuju tendenciju manipulacijama i zaštita pojedinaca od manipulacija također moraju postati važno područje zaštite osobnih prava u digitalnom svijetu.
Upravo je ovaj drugi aspekt bio poveznica s prethodnim napisom s ovih stranica. Smatram da su prave aktivnosti tek pred nama, a slobodno mi sugerirajte i druge aspekte zaštite osobnih sloboda u digitalnom svijetu.
10.12.08
Realna i virtualna javnost
Približava se kraj godine i običaj je raditi završne izvještaje o događajima iz protekle godine. Nedavni prosvjed organizirane pomoću Facebooka prilika su za povlačenje zanimljivih usporedbi s lažnim intervjuom premijera Sanadera Jutarnjem listu, a o kojemu sam pisao u veljači. U čemu je srodnost ovih događaja i koje to ima veze s temom ovih stranica?
I jedan i drugi slučaj su vezani za manipulaciju identitetima i za bezrezervno (i ponekad neopravdano) povjerenje korisnika u vjerodostojnost informacijskog sustava.
O prvom slučaju ste upoznati, no koje su značajke ovog drugog, tj. organizacije prosvjeda i pokušaja okupljanja sudionika ovih prosvjeda početkom prosinca u većim Hrvatskim gradovima?
Naime, ne mogu se oteti dojmu da je konačni učinak prosvjeda bio razočaravajući za redovite pratitelje i kroničare društvenih zbivanja: od početne euforije pojačane nespretnom intervencijom policije pa do osporavanja i ograđivanja potaknutih profilom i kompetencijom organizatora. Takvo je nezadovoljstvo prije svega motivirano izvedbom i razultatima samog događaja, a manje sadržajem koji je ponuđen događajem. Sudionici smatraju da su "nasjeli" pozivima organizatora, da su nesmotreno pristali biti publika i dati svojevrsni legitimitet osobama koje to nisu zasluživale, te da je konačni učinak događaja manji od očekivanog.
Ne želim, naravno, uopće ulaziti u temu prosvjeda i motive prosvjednika. Zaintrigirale su me dvije, međusobno povezane, činjenice. Prvo, lakoća kojom su organizatori postigli pozornost javnosti; drugo, činjenica da su prosvjedi okupili podosta sudionika za koje možemo sa sigurnošću reći da nisu uključeni u Faceobook zajednicu.
Rekao bih da je pozornost javnosti (koja je i rezultirala okupljanjem šarolikog profila prosvjednika) rezultat neprovjerenog odobravanja medija bez obzira što kompetencije organizatora nisu provjerene. Drugim rječima, organizatori su se, iskorištavajuće neke druge trendove u medijskom prostoru, uspjeli dobro prodati tradicionalnim medijima (kao što se prodao autor lažnog premijervog intervjua). Razočarenja i osporavanja došla su prekasno.
Za razliku od intervjua lažnog premijera koji je mogao biti spriječen uz veću opreznost novinara ili urednika, ovdje smo na djelu imali masovnu reakciju koja teško da je mogla biti izbjegnuta, no ukazuje nam na problem potencijalnih manipulacija većih razmjera. Naime, poslovni model koji stoji iza Facebooka fokusiran je na direktni marketing članovima zajednice. Mogući su naravno i obratni smjerovi, tj, da članovi zajednice djeluju prema okolini, no pouzdanost i vjerodostojnost takvih aktivnosti nije podržana poslovnim modelom Facebooka, barem ne bez "bugova", pa će rezultati biti uglavnom konfuzni i nerelevantni. Ipak, ima i uspješnih primjera, npr. prosvjed srednjoškolaca održan ovog ljeta, no u tom su slučaju ideja i poruka bili artikulirani mimo Facebooka, a koji je iskoršten prije svega kao mobilizacijski mehanizam unutar uske interesne skupine.
Stoga, smatram da se društveni život ne može oslanjati na anonimnim i neprovjerljivim korisničkim identitetima, čija se relevantnost postiže, ne suštinskim sadržajem, već količinom "klikova". Mali je korak do masovnog socijalnog inženjeringa.
Vjerujem da će i ovaj događajh pokazati da je potrebno jasno raspoznavati virtualne od realnih zajednica. Također, nadam se da "Javnost" može postojati isključivo kao realna zajednica s provjerenim i provjerljivim metodama djelovanja. Nisam, naravno, protivnik virtualne javnosti no smatram da, kao i u slučaju arhitekture virtualnih operativnih sustava, ova vrsta javnosti mora ostati unutar vlastitog konteksta.
I jedan i drugi slučaj su vezani za manipulaciju identitetima i za bezrezervno (i ponekad neopravdano) povjerenje korisnika u vjerodostojnost informacijskog sustava.
O prvom slučaju ste upoznati, no koje su značajke ovog drugog, tj. organizacije prosvjeda i pokušaja okupljanja sudionika ovih prosvjeda početkom prosinca u većim Hrvatskim gradovima?
Naime, ne mogu se oteti dojmu da je konačni učinak prosvjeda bio razočaravajući za redovite pratitelje i kroničare društvenih zbivanja: od početne euforije pojačane nespretnom intervencijom policije pa do osporavanja i ograđivanja potaknutih profilom i kompetencijom organizatora. Takvo je nezadovoljstvo prije svega motivirano izvedbom i razultatima samog događaja, a manje sadržajem koji je ponuđen događajem. Sudionici smatraju da su "nasjeli" pozivima organizatora, da su nesmotreno pristali biti publika i dati svojevrsni legitimitet osobama koje to nisu zasluživale, te da je konačni učinak događaja manji od očekivanog.
Ne želim, naravno, uopće ulaziti u temu prosvjeda i motive prosvjednika. Zaintrigirale su me dvije, međusobno povezane, činjenice. Prvo, lakoća kojom su organizatori postigli pozornost javnosti; drugo, činjenica da su prosvjedi okupili podosta sudionika za koje možemo sa sigurnošću reći da nisu uključeni u Faceobook zajednicu.
Rekao bih da je pozornost javnosti (koja je i rezultirala okupljanjem šarolikog profila prosvjednika) rezultat neprovjerenog odobravanja medija bez obzira što kompetencije organizatora nisu provjerene. Drugim rječima, organizatori su se, iskorištavajuće neke druge trendove u medijskom prostoru, uspjeli dobro prodati tradicionalnim medijima (kao što se prodao autor lažnog premijervog intervjua). Razočarenja i osporavanja došla su prekasno.
Za razliku od intervjua lažnog premijera koji je mogao biti spriječen uz veću opreznost novinara ili urednika, ovdje smo na djelu imali masovnu reakciju koja teško da je mogla biti izbjegnuta, no ukazuje nam na problem potencijalnih manipulacija većih razmjera. Naime, poslovni model koji stoji iza Facebooka fokusiran je na direktni marketing članovima zajednice. Mogući su naravno i obratni smjerovi, tj, da članovi zajednice djeluju prema okolini, no pouzdanost i vjerodostojnost takvih aktivnosti nije podržana poslovnim modelom Facebooka, barem ne bez "bugova", pa će rezultati biti uglavnom konfuzni i nerelevantni. Ipak, ima i uspješnih primjera, npr. prosvjed srednjoškolaca održan ovog ljeta, no u tom su slučaju ideja i poruka bili artikulirani mimo Facebooka, a koji je iskoršten prije svega kao mobilizacijski mehanizam unutar uske interesne skupine.
Stoga, smatram da se društveni život ne može oslanjati na anonimnim i neprovjerljivim korisničkim identitetima, čija se relevantnost postiže, ne suštinskim sadržajem, već količinom "klikova". Mali je korak do masovnog socijalnog inženjeringa.
Vjerujem da će i ovaj događajh pokazati da je potrebno jasno raspoznavati virtualne od realnih zajednica. Također, nadam se da "Javnost" može postojati isključivo kao realna zajednica s provjerenim i provjerljivim metodama djelovanja. Nisam, naravno, protivnik virtualne javnosti no smatram da, kao i u slučaju arhitekture virtualnih operativnih sustava, ova vrsta javnosti mora ostati unutar vlastitog konteksta.
Pretplati se na:
Postovi (Atom)