Namjestimo svoje cyber pozadine

Namjestimo svoje cyber pozadine

Foto: Dražen Tomić

Zadnjih desetak godina koliko se aktivno i profesionalno bavim informacijskom sigurnošću imao sam priliku vidjeti svašta.Od paranoičnih administratora koji svojevoljno onemogućavaju primjenu informacijskih tehnologija pa sve do potpuno indolentnih ljudi koji s velikom dozom sigurnosti u glasu tvrde kako su njihove informacije potpuno sigurne unatoč tome što koriste isti password za sve svoje accounte, unatoč tome što je isti zapisan na više lokacija uključujući naljepnicu na monitoru, osobu u telefonskom imeniku mobitela s imenom user:Petar034 i prezimenom: pwd: Pero_1972 gdje je 1972 naravno godina rođenja spomenutog Petra. Naravno, isti pwd se koristi i za pristup mailu petar034@ gmail.com i tokenu internetskog bankarstva, a ako ovaj slučajno ne podržava alfanumeričku zaporku, ona će onda biti pogađate – 1972.

Istovremeno paranoični administrator je svima u firmi zabranio pristup na pola interneta. Sebi je naravno omogućio udaljeni pristup kako bi u svakom trenutku mogao pristupiti serveru u firmi koji prema sigurnosnim preporukama vrti samo jedan IT servis – torrent. Developeri koji razvijaju softver gotovo redovito uopće nisu upoznati nisi s najosnovnijim pravilima sigurnog razvoja, a ako i jesu ne drže ih se. Hardkodirani passwordi i enkripcijski ključevi su više pravilo nego iznimka. Kontrola napisanog koda se gotovo nikada ne radi. Eto to je realnost u kojoj živimo. Zabijemo glavu u pijesak i nadamo se da će sve biti dobro. A neće!

Nakon cyber šlamperaja dolaze cyber ratovi, cyber kriminal, masovne krađe identiteta i raspadi komunikacijskih, energetskih i vodoopskrbnih  sustava. Tržišna utakmica fokusirana na jeftinu i brzu proizvodnju softvera ne doprinosi povećanju sigurnosti.  Stara poslovica koja kaže da je lanac čvrst koliko i najslabija karika ovdje ne vrijedi baš doslovno jer... softverske se karike kopiraju pa se internetski lanci grade gotovo isključivo od slabih karika.

Proteklih smo dana svjedočili otkriću vjerojatno najvećeg sigurnosnog propusta na internetu do sada – Heartbleed. S obzirom na to da su novine objavljivale svakakve gluposti o tome, evo i kratkog objašnjenja o čemu se zapravo radi. Internetski servisi kod razmjene povjerljivih podataka s računalima klijenata (npr. nas) moraju osigurati povjerljivost komunikacije.

Ovo se najčešće postiže enkripcijom komunikacijskog kanala upotrebom sigurnog komunikacijskog protokola SSL (Secure Sockets Layer). Svaki put kad unosite korisničko ime, zaporku, broj kreditne kartice, PIN, plaćate internetskim bankarstvom, svaki put kad s internetskim servisom razmjenjujete povjerljive informacije, služite se SSL-om.  Da bi internetski servis koji koristite znao pričati ovim jezikom, na njemu je instaliran poseban softver.  Unatoč tome što je protokol  siguran, sam softver ispostavilo se - nije. Pokazalo se da najraširenija verzija softvera za SSL komunikaciju može zlonamjernom klijentu poslati točan prijepis sadržaja memorije servera na kojem se izvršava.

To uključuje apsolutno sve, pa i nekriptirane podatke o korisničkim imenima, zaporkama, ključevima za enkripciju itd. Dodatni je problem u tome što nitko ne zna da su ovi povjerljivi podacim ukradeni. Klasični bi kriminalci ovo zvali savršenim zločinom. Nema tragova. Krađa enkripcijskih ključeva omogućava prisluškivanje komunikacije i lažno predstavljanje na internetu. Krađa brojeva kreditnih kartica – to već znate...

Sve to samo zato što je neki developer pišući OpenSSL šlampavo odradio svoj posao, nitko ga nije prekontrolirao ili je i taj to učinio šlampavo. A OpenSSL je postao najzastupljeniji protokol za sigurnu komunikaciju na internetu. I cijeli je lanac napravljen od trulih karika koje ne mogu izdržati ni 10 kg a na njima piše 1.000.000 tona. Banke, državne institucije, energetski sustavi, komunikacijski sustavi.... Procjenjuje se da je 17% sigurnih servera u biti, nesigurno. Odnosno bilo je dok nije pukla bruka.

Loš softver je zamijenjen novim (ne nužno i dobrim) i već nakon tjedan dana prašina se počela slijegati. Vraćamo se u kolotečinu, i dalje razvijamo loš softver, ne brinemo o sigurnosti, opet zabijamo glavu u pijesak i u spomenutoj pozi čekamo da nas netko ozbiljno opali po - sigurnosti, novčaniku, zdravlju, životima ili znate već...

Napomena: Isprike eventualno postojećem korisniku accounta petar034 na Google-u. Za potrebe ovog teksta radi se o potpuno izmišljenoj osobi u čijoj se ličnosti objedinjavaju moja brojna negativna iskustva i ona nema veze sa stvarnim osobama.

Još iz kategorije

Mindset developera se mijenja, i poslodavci se moraju tome prilagoditi

Mindset developera se mijenja, i poslodavci se moraju tome prilagoditi

23.09.2020. komentiraj

Tehnologija te industrija općenito svakako se razvijaju, ali isto to čine i zaposlenici, posebno kad se radi o razvoju softvera i razvoju općenito. Konkretnije, developeri mijenjaju mentalni sklop po pitanju posla i njihovi poslodavci moraju polako pratiti što se događa jer bi se mogli često suočavati s manjkom kvalitetnih ljudi na bitnim pozicijama.

Stvari za koje će svi prodavači složiti da im nisu baš drage u njihovom poslu

Stvari za koje će svi prodavači složiti da im nisu baš drage u njihovom poslu

22.09.2020. komentiraj

Ne biste vjerovali, ali zaista je izazovno za pronaći statistiku koliko je zaposlenih u prodaji globalno. No, statistike za SAD se u vrlo transparentne i lako dostupne. Otprilike 15 milijuna prodavača u Sjedinjenim Državama živi od jedne od najstarijih svjetskih profesija – dakle prodaje. Svi prodajemo različite stvari, a naša iskustva razlikuju se ovisno o industriji, zemljopisnom položaju i vrsti prodaje u kojoj poslujemo. Ali svi prodavači dijele zajedničku vezu u onome s čime se svakodnevno moramo nositi. Samo prodavač (ili bivši prodavač) razumije borbu i stvari koje ljude na terenu mogu izluditi. U nastavku pišem o stvarima za koje mislim da se svi prodavači složiti da ih mrze.

Edge computing i mini podatkovni centri budućnost su industrije podatkovnih centara

Edge computing i mini podatkovni centri budućnost su industrije podatkovnih centara

21.09.2020. komentiraj

Edge computing neće mijenjati industriju podatkovnih centara već će ju nadopuniti sukladno promjenama koje tehnologija i potrebe tržišta donose. Promjene koje nastaju odnose se na povećanu gustoću prisutnosti mikro i mini podatkovnih centara uz tradicionalne velike centralizirane podatkovne centre koji su već prisutni.