Zadnjih desetak godina koliko se aktivno i profesionalno bavim informacijskom sigurnošću imao sam priliku vidjeti svašta.Od paranoičnih administratora koji svojevoljno onemogućavaju primjenu informacijskih tehnologija pa sve do potpuno indolentnih ljudi koji s velikom dozom sigurnosti u glasu tvrde kako su njihove informacije potpuno sigurne unatoč tome što koriste isti password za sve svoje accounte, unatoč tome što je isti zapisan na više lokacija uključujući naljepnicu na monitoru, osobu u telefonskom imeniku mobitela s imenom user:Petar034 i prezimenom: pwd: Pero_1972 gdje je 1972 naravno godina rođenja spomenutog Petra. Naravno, isti pwd se koristi i za pristup mailu petar034@ gmail.com i tokenu internetskog bankarstva, a ako ovaj slučajno ne podržava alfanumeričku zaporku, ona će onda biti pogađate - 1972.
Istovremeno paranoični administrator je svima u firmi zabranio pristup na pola interneta. Sebi je naravno omogućio udaljeni pristup kako bi u svakom trenutku mogao pristupiti serveru u firmi koji prema sigurnosnim preporukama vrti samo jedan IT servis - torrent. Developeri koji razvijaju softver gotovo redovito uopće nisu upoznati nisi s najosnovnijim pravilima sigurnog razvoja, a ako i jesu ne drže ih se. Hardkodirani passwordi i enkripcijski ključevi su više pravilo nego iznimka. Kontrola napisanog koda se gotovo nikada ne radi. Eto to je realnost u kojoj živimo. Zabijemo glavu u pijesak i nadamo se da će sve biti dobro. A neće!
Nakon cyber šlamperaja dolaze cyber ratovi, cyber kriminal, masovne krađe identiteta i raspadi komunikacijskih, energetskih i vodoopskrbnih sustava. Tržišna utakmica fokusirana na jeftinu i brzu proizvodnju softvera ne doprinosi povećanju sigurnosti. Stara poslovica koja kaže da je lanac čvrst koliko i najslabija karika ovdje ne vrijedi baš doslovno jer... softverske se karike kopiraju pa se internetski lanci grade gotovo isključivo od slabih karika.
Proteklih smo dana svjedočili otkriću vjerojatno najvećeg sigurnosnog propusta na internetu do sada - Heartbleed. S obzirom na to da su novine objavljivale svakakve gluposti o tome, evo i kratkog objašnjenja o čemu se zapravo radi. Internetski servisi kod razmjene povjerljivih podataka s računalima klijenata (npr. nas) moraju osigurati povjerljivost komunikacije.
Ovo se najčešće postiže enkripcijom komunikacijskog kanala upotrebom sigurnog komunikacijskog protokola SSL (Secure Sockets Layer). Svaki put kad unosite korisničko ime, zaporku, broj kreditne kartice, PIN, plaćate internetskim bankarstvom, svaki put kad s internetskim servisom razmjenjujete povjerljive informacije, služite se SSL-om. Da bi internetski servis koji koristite znao pričati ovim jezikom, na njemu je instaliran poseban softver. Unatoč tome što je protokol siguran, sam softver ispostavilo se - nije. Pokazalo se da najraširenija verzija softvera za SSL komunikaciju može zlonamjernom klijentu poslati točan prijepis sadržaja memorije servera na kojem se izvršava.
To uključuje apsolutno sve, pa i nekriptirane podatke o korisničkim imenima, zaporkama, ključevima za enkripciju itd. Dodatni je problem u tome što nitko ne zna da su ovi povjerljivi podacim ukradeni. Klasični bi kriminalci ovo zvali savršenim zločinom. Nema tragova. Krađa enkripcijskih ključeva omogućava prisluškivanje komunikacije i lažno predstavljanje na internetu. Krađa brojeva kreditnih kartica - to već znate...
Sve to samo zato što je neki developer pišući OpenSSL šlampavo odradio svoj posao, nitko ga nije prekontrolirao ili je i taj to učinio šlampavo. A OpenSSL je postao najzastupljeniji protokol za sigurnu komunikaciju na internetu. I cijeli je lanac napravljen od trulih karika koje ne mogu izdržati ni 10 kg a na njima piše 1.000.000 tona. Banke, državne institucije, energetski sustavi, komunikacijski sustavi.... Procjenjuje se da je 17% sigurnih servera u biti, nesigurno. Odnosno bilo je dok nije pukla bruka.
Loš softver je zamijenjen novim (ne nužno i dobrim) i već nakon tjedan dana prašina se počela slijegati. Vraćamo se u kolotečinu, i dalje razvijamo loš softver, ne brinemo o sigurnosti, opet zabijamo glavu u pijesak i u spomenutoj pozi čekamo da nas netko ozbiljno opali po - sigurnosti, novčaniku, zdravlju, životima ili znate već...
Napomena: Isprike eventualno postojećem korisniku accounta petar034 na Google-u. Za potrebe ovog teksta radi se o potpuno izmišljenoj osobi u čijoj se ličnosti objedinjavaju moja brojna negativna iskustva i ona nema veze sa stvarnim osobama.
