Namjestimo svoje cyber pozadine

Namjestimo svoje cyber pozadine

Foto: Dražen Tomić

Zadnjih desetak godina koliko se aktivno i profesionalno bavim informacijskom sigurnošću imao sam priliku vidjeti svašta.Od paranoičnih administratora koji svojevoljno onemogućavaju primjenu informacijskih tehnologija pa sve do potpuno indolentnih ljudi koji s velikom dozom sigurnosti u glasu tvrde kako su njihove informacije potpuno sigurne unatoč tome što koriste isti password za sve svoje accounte, unatoč tome što je isti zapisan na više lokacija uključujući naljepnicu na monitoru, osobu u telefonskom imeniku mobitela s imenom user:Petar034 i prezimenom: pwd: Pero_1972 gdje je 1972 naravno godina rođenja spomenutog Petra. Naravno, isti pwd se koristi i za pristup mailu petar034@ gmail.com i tokenu internetskog bankarstva, a ako ovaj slučajno ne podržava alfanumeričku zaporku, ona će onda biti pogađate – 1972.

Istovremeno paranoični administrator je svima u firmi zabranio pristup na pola interneta. Sebi je naravno omogućio udaljeni pristup kako bi u svakom trenutku mogao pristupiti serveru u firmi koji prema sigurnosnim preporukama vrti samo jedan IT servis – torrent. Developeri koji razvijaju softver gotovo redovito uopće nisu upoznati nisi s najosnovnijim pravilima sigurnog razvoja, a ako i jesu ne drže ih se. Hardkodirani passwordi i enkripcijski ključevi su više pravilo nego iznimka. Kontrola napisanog koda se gotovo nikada ne radi. Eto to je realnost u kojoj živimo. Zabijemo glavu u pijesak i nadamo se da će sve biti dobro. A neće!

Nakon cyber šlamperaja dolaze cyber ratovi, cyber kriminal, masovne krađe identiteta i raspadi komunikacijskih, energetskih i vodoopskrbnih  sustava. Tržišna utakmica fokusirana na jeftinu i brzu proizvodnju softvera ne doprinosi povećanju sigurnosti.  Stara poslovica koja kaže da je lanac čvrst koliko i najslabija karika ovdje ne vrijedi baš doslovno jer... softverske se karike kopiraju pa se internetski lanci grade gotovo isključivo od slabih karika.

Proteklih smo dana svjedočili otkriću vjerojatno najvećeg sigurnosnog propusta na internetu do sada – Heartbleed. S obzirom na to da su novine objavljivale svakakve gluposti o tome, evo i kratkog objašnjenja o čemu se zapravo radi. Internetski servisi kod razmjene povjerljivih podataka s računalima klijenata (npr. nas) moraju osigurati povjerljivost komunikacije.

Ovo se najčešće postiže enkripcijom komunikacijskog kanala upotrebom sigurnog komunikacijskog protokola SSL (Secure Sockets Layer). Svaki put kad unosite korisničko ime, zaporku, broj kreditne kartice, PIN, plaćate internetskim bankarstvom, svaki put kad s internetskim servisom razmjenjujete povjerljive informacije, služite se SSL-om.  Da bi internetski servis koji koristite znao pričati ovim jezikom, na njemu je instaliran poseban softver.  Unatoč tome što je protokol  siguran, sam softver ispostavilo se - nije. Pokazalo se da najraširenija verzija softvera za SSL komunikaciju može zlonamjernom klijentu poslati točan prijepis sadržaja memorije servera na kojem se izvršava.

To uključuje apsolutno sve, pa i nekriptirane podatke o korisničkim imenima, zaporkama, ključevima za enkripciju itd. Dodatni je problem u tome što nitko ne zna da su ovi povjerljivi podacim ukradeni. Klasični bi kriminalci ovo zvali savršenim zločinom. Nema tragova. Krađa enkripcijskih ključeva omogućava prisluškivanje komunikacije i lažno predstavljanje na internetu. Krađa brojeva kreditnih kartica – to već znate...

Sve to samo zato što je neki developer pišući OpenSSL šlampavo odradio svoj posao, nitko ga nije prekontrolirao ili je i taj to učinio šlampavo. A OpenSSL je postao najzastupljeniji protokol za sigurnu komunikaciju na internetu. I cijeli je lanac napravljen od trulih karika koje ne mogu izdržati ni 10 kg a na njima piše 1.000.000 tona. Banke, državne institucije, energetski sustavi, komunikacijski sustavi.... Procjenjuje se da je 17% sigurnih servera u biti, nesigurno. Odnosno bilo je dok nije pukla bruka.

Loš softver je zamijenjen novim (ne nužno i dobrim) i već nakon tjedan dana prašina se počela slijegati. Vraćamo se u kolotečinu, i dalje razvijamo loš softver, ne brinemo o sigurnosti, opet zabijamo glavu u pijesak i u spomenutoj pozi čekamo da nas netko ozbiljno opali po - sigurnosti, novčaniku, zdravlju, životima ili znate već...

Napomena: Isprike eventualno postojećem korisniku accounta petar034 na Google-u. Za potrebe ovog teksta radi se o potpuno izmišljenoj osobi u čijoj se ličnosti objedinjavaju moja brojna negativna iskustva i ona nema veze sa stvarnim osobama.

Još iz kategorije

KOMENTAR: HT stabilno, ali kreće nova transformacija

KOMENTAR: HT stabilno, ali kreće nova transformacija

25.07.2019. komentiraj

Poslovni rezultati najjačeg domaćeg telekoma Hrvatskog Telekoma pokazuju stabilnost s obzirom na vrlo izazovnu tržišnu utakmicu, ali i dokazuju da će doći do promjena koje dolazi s novim predsjednikom Uprave Konstantinos Nempisom koji je kompaniju preuzeo na početku drugog kvartala ove godine.

RFID – temelj uredske sigurnosti?

RFID – temelj uredske sigurnosti?

24.07.2019. komentiraj

Bili svjesni toga ili ne, svi smo u nekom trenutku u životu koristili RFID. Prvi radioodašiljači korišteni tijekom Drugog svjetskog rata pokrenuli su razvoj te tehnološke grane. Kroz stalnu evoluciju ona je u međuvremenu narasla tako da obuhvaća moderne često korištene ID kartice koje se oslanjaju na radiofrekvencijsku identifikaciju i daljinske ključeve na baterije. U ne tako dalekoj budućnosti možda će ljudi čak koristiti mikročipove ugrađene u tijela da bi se prijavljivali na računala i plaćali na aparatima za kavu i pića. Sveprisutnost RFID-a znači da se njegove prednosti često uzimaju zdravo za gotovo, no ne treba ih podcjenjivati.

KOMENTAR: Zatvoreno jedno poglavlje telekom tržišta u Hrvatskoj – Tele2 odlazi, konačna konsolidacija ili tko će kupiti Optima Telekom

KOMENTAR: Zatvoreno jedno poglavlje telekom tržišta u Hrvatskoj – Tele2 odlazi, konačna konsolidacija ili tko će kupiti Optima Telekom

17.07.2019. komentiraj

Za švedskog vlasnika Tele2 Hrvatska priča je završena. Tele2 AB je odmah na početku svog šestomjesečnog izvješća istaknuo kako Tele2 podaje svoje poslovanje u Hrvatskoj i kao takvog ga smatraju završenim i posebno to ističu tijekom cijelog izvješća. Čak ga i ne prikazuju u grupnim rezultatima nego navode kao „Tele2 Croatia is reported as a discontinued operation for all periods“ odnosno nema više Tele2 Hrvatska kao dijela grupacije.