Namjestimo svoje cyber pozadine

Namjestimo svoje cyber pozadine

Foto: Dražen Tomić

Zadnjih desetak godina koliko se aktivno i profesionalno bavim informacijskom sigurnošću imao sam priliku vidjeti svašta.Od paranoičnih administratora koji svojevoljno onemogućavaju primjenu informacijskih tehnologija pa sve do potpuno indolentnih ljudi koji s velikom dozom sigurnosti u glasu tvrde kako su njihove informacije potpuno sigurne unatoč tome što koriste isti password za sve svoje accounte, unatoč tome što je isti zapisan na više lokacija uključujući naljepnicu na monitoru, osobu u telefonskom imeniku mobitela s imenom user:Petar034 i prezimenom: pwd: Pero_1972 gdje je 1972 naravno godina rođenja spomenutog Petra. Naravno, isti pwd se koristi i za pristup mailu petar034@ gmail.com i tokenu internetskog bankarstva, a ako ovaj slučajno ne podržava alfanumeričku zaporku, ona će onda biti pogađate – 1972.

Istovremeno paranoični administrator je svima u firmi zabranio pristup na pola interneta. Sebi je naravno omogućio udaljeni pristup kako bi u svakom trenutku mogao pristupiti serveru u firmi koji prema sigurnosnim preporukama vrti samo jedan IT servis – torrent. Developeri koji razvijaju softver gotovo redovito uopće nisu upoznati nisi s najosnovnijim pravilima sigurnog razvoja, a ako i jesu ne drže ih se. Hardkodirani passwordi i enkripcijski ključevi su više pravilo nego iznimka. Kontrola napisanog koda se gotovo nikada ne radi. Eto to je realnost u kojoj živimo. Zabijemo glavu u pijesak i nadamo se da će sve biti dobro. A neće!

Nakon cyber šlamperaja dolaze cyber ratovi, cyber kriminal, masovne krađe identiteta i raspadi komunikacijskih, energetskih i vodoopskrbnih  sustava. Tržišna utakmica fokusirana na jeftinu i brzu proizvodnju softvera ne doprinosi povećanju sigurnosti.  Stara poslovica koja kaže da je lanac čvrst koliko i najslabija karika ovdje ne vrijedi baš doslovno jer... softverske se karike kopiraju pa se internetski lanci grade gotovo isključivo od slabih karika.

Proteklih smo dana svjedočili otkriću vjerojatno najvećeg sigurnosnog propusta na internetu do sada – Heartbleed. S obzirom na to da su novine objavljivale svakakve gluposti o tome, evo i kratkog objašnjenja o čemu se zapravo radi. Internetski servisi kod razmjene povjerljivih podataka s računalima klijenata (npr. nas) moraju osigurati povjerljivost komunikacije.

Ovo se najčešće postiže enkripcijom komunikacijskog kanala upotrebom sigurnog komunikacijskog protokola SSL (Secure Sockets Layer). Svaki put kad unosite korisničko ime, zaporku, broj kreditne kartice, PIN, plaćate internetskim bankarstvom, svaki put kad s internetskim servisom razmjenjujete povjerljive informacije, služite se SSL-om.  Da bi internetski servis koji koristite znao pričati ovim jezikom, na njemu je instaliran poseban softver.  Unatoč tome što je protokol  siguran, sam softver ispostavilo se - nije. Pokazalo se da najraširenija verzija softvera za SSL komunikaciju može zlonamjernom klijentu poslati točan prijepis sadržaja memorije servera na kojem se izvršava.

To uključuje apsolutno sve, pa i nekriptirane podatke o korisničkim imenima, zaporkama, ključevima za enkripciju itd. Dodatni je problem u tome što nitko ne zna da su ovi povjerljivi podacim ukradeni. Klasični bi kriminalci ovo zvali savršenim zločinom. Nema tragova. Krađa enkripcijskih ključeva omogućava prisluškivanje komunikacije i lažno predstavljanje na internetu. Krađa brojeva kreditnih kartica – to već znate...

Sve to samo zato što je neki developer pišući OpenSSL šlampavo odradio svoj posao, nitko ga nije prekontrolirao ili je i taj to učinio šlampavo. A OpenSSL je postao najzastupljeniji protokol za sigurnu komunikaciju na internetu. I cijeli je lanac napravljen od trulih karika koje ne mogu izdržati ni 10 kg a na njima piše 1.000.000 tona. Banke, državne institucije, energetski sustavi, komunikacijski sustavi.... Procjenjuje se da je 17% sigurnih servera u biti, nesigurno. Odnosno bilo je dok nije pukla bruka.

Loš softver je zamijenjen novim (ne nužno i dobrim) i već nakon tjedan dana prašina se počela slijegati. Vraćamo se u kolotečinu, i dalje razvijamo loš softver, ne brinemo o sigurnosti, opet zabijamo glavu u pijesak i u spomenutoj pozi čekamo da nas netko ozbiljno opali po - sigurnosti, novčaniku, zdravlju, životima ili znate već...

Napomena: Isprike eventualno postojećem korisniku accounta petar034 na Google-u. Za potrebe ovog teksta radi se o potpuno izmišljenoj osobi u čijoj se ličnosti objedinjavaju moja brojna negativna iskustva i ona nema veze sa stvarnim osobama.

Još iz kategorije

KOMENTAR: HT nastavlja s pozitivnim trendovima

KOMENTAR: HT nastavlja s pozitivnim trendovima

15.02.2019. komentiraj

Kompletirani su rezultati svih domaćih telekoma i prema posljednjim koji su izašli najjačeg domaćeg telekoma Hrvatskog Telekoma može se lako konstatirati kako je tržište telekom rješenja i usluga u Hrvatskoj stabilno i da nastavlja rast. I HT kao najjači domaći telekom bilježi rast prihoda u Hrvatskoj za 0,6 posto, dok je taj prihod nešto manji ako se pribroje i rezultati Crnogorskog Telekoma.

INOVACIJA … i pravosuđe u Australiji

INOVACIJA … i pravosuđe u Australiji

14.02.2019. komentiraj

Kad se kod nas spominju „dobre prakse“ u nekim stranim zemljama, po mojem iskustvu, rezultira automatskim okidanjem tzv. „innovation killer statement“: „To kod nas tako ne može funkcionirati“!

KOMENTAR: Iznenađujuće dobri rezultati Tele2 u Hrvatskoj

KOMENTAR: Iznenađujuće dobri rezultati Tele2 u Hrvatskoj

13.02.2019. komentiraj

Redaju se rezultati, pa evo i Tele2 koji je sasvim iznenadio u 2018. godini s odličnim rezultatima jer mu je dobit prije kamata oporezivanja, amortizacije i deprecijacije (EBITDA) skočila visokih 3,57 puta što će mnoge iznenaditi. Međutim, ako se pogledaju i druge brojke od rasta broja korisnika pa sve do posljedično rasta prihoda jasno je da su takve brojke očekivane. Ono što je za Tele2 u Hrvatskoj možda i najvažnije je da su EBITDA marže napokon dostigle one na telekom tržište koje su uvijek bile vrlo visoke.