You are currently browsing the archives for September, 2009.

DoS napadi

30/09/2009 // Posted in ICT forenzika  |  No Comments

Ovih dana aktualni su u medijima DoS napadi.

Ostavimo na stranu konkretan slučaj, moguće motive i počinitelje, pa čak i način na koji je konkretno napad učinjen. Orijentirajmo se na komentar što bi točno trebalo učiniti kod prevencije DoS napada te kod oporavka od istoga. Naime, kod ovakve vrste prijetnji, koje bi trebale biti obuhvaćene općom implementacijom ISMS-a, najvažnije je proaktivno ponašanje. Reaktivna (povratna) reakcija svodi se na uspostavljanje ugroženih mrežnih servisa, sanaciju eventualno počinjene štete i naposlijetku, eventualno, otkrivanje počinitelja.

Pet je temeljnih mjera koje je potrebno poduzeti kako bi se unaprijed smanjila mogućnost uspješnih DoS napada, odnosno smanjio njihov utjecaj na mrežne i aplikativne sustave:

  • Procedure konfiguriranja i nabave mrežne opreme (firewalli, routeri, switchevi) moraju biti u skladu s temeljnim ciljevima politika osiguranja mrežne sigurnosti, odnosno u ovom slučaju dostupnosti (u okviru klasične C-I-A trijade, izbjegavanje DoS napada je klasična razrada “Availability” vrha trokuta – u zadnje vrijeme postoje i tzv. permanent DoS napadi, kod kojega hackeri postižu kontrolu nad hardverskim komponentama i flashaju sustave programima blokirajući permanentno njihov rad, čime se ne ugrožava samo raspoloživost sustava nego i njihov integritet – “I” vrh trokuta)
  • Hardverski sustavi za prevenciju uskraćivanja usluge – radi se o samostalnim hardverskim komponentama (“appliances”) koje se instaliraju u mreži prije samog aplikacijskog servera koji se štiti a mogu podržavati i zajednički način rada sa mrežnom opremom. Postoji čitav niz ponuđača ovakvih uređaja od kojih svaki ima svoje mane i prednosti a zajedničko im je da posjeduju postavljanje i određivanje prioriteta u mrežnom prometu, mogućnost hardverske akceleracije prometa te inteligentne (proaktivne) analize prometa u potrazi za sumnjivim obrascima. Ovisno o mogućnosti regulacije prometa, brzini rada te implementiranim algoritmima cijena ovakvih sustava najčešće u osnovnoj konfiguraciji kreće od 15.000 EUR nadalje, uvećano za godišnje održavanje (u pravilu oko 20 % nabavne cijene)  pa je njihova cijena najčešći razlog zašto se svjesno ne primjenjuju u zaštiti mrežnih sustava
  • Sustavi za prevenciju upada (intrusion prevention systems), hardverski ili softverski, u slučaju DoS napada mogu biti efikasni ukoliko se radi o napadima koji imaju tipični obrazac odvijanja uz koji se može povezati određeni “digitalni potpis”. IPS sustavi tipično funkcioniraju slično sustavima antivirusne zaštite, tako da se od strane pružatelja zaštitnih usluga koji održava bazu “digitalnih otisaka” napada primjenjuju najnovije definicije koje zatim hardversko ili softversko rješenje koristi u analizi mrežnog prometa tragajući za tipičnim obrascima ponašanja. IPS sustavi moraju imati jaku procesorsku snagu jer moraju biti sposobni odvojiti legitimni promet od onoga koji je dio DoS napada, moraju vršiti online analizu sadržaja mrežnog prometa. Glavni ograničavajući čimbenik je taj što većina DoS napada koristi legitimne oblike prometa koji zbog svog volumena postižu maliciozne ciljeve.
  • Jasno dokumentirane procedure implementacije ISMSa, a unutar njih, razrada postupaka i kontingencijskih procedura vezano uz IP adrese, komunikacijske kanale i serverske resurse te oporavak od katastrofe i kontinuitet obavljanja temeljne djelatnosti i pružanje usluga; vezano uz to jasni SLA ugovori
  • Ugovori sa specijaliziranim konzultantskim kućama koje se bave tzv. odgovorom na napad. Takve kuće tipično pružaju specijalizirane usluge kriznog rukovođenja incidentom na tehničkom nivou, odnosno visoko su specijalizirane pri zaustavljanju napada, otklanjanju štetne radnje koja blokira pružanje mrežnih usluga i oporavak usluge na početne razine.Pritom je važno reći kako u Republici Hrvatskoj ne postoji niti jedna tvrtka koja bi se ekskluzivno bavila samo ovom djelatnošću – tržište ovakve usluge čiji korisnici su isključivo osviješteni korporativni korisnici je jednostavno previše malo da bi si tvrtke dozvolile specijalizaciju ove vrste. Stoga neka poduzeća nude odgovor na incidente u svojoj ponudi, no radi se o vrlo dinamičnoj grani tehničke informacijske sigurnosti i ostavlja se klijentima procjena validiteta takvih ugovora i ponuđenih usluga pošto nije jednostavno dobiti komercijalnu ponudu a još je teže obaviti komparaciju

Kada je jednom došlo do uspješnog napada, vrlo često je uz tehnički odgovor potreban i odgovor korištenjem metoda socijalnog inženjeringa. Vrlo je teško a s praktičnog stajališta ponekad i potpuno nemoguće utvrditi odakle dolazi napad i tko je za njega “kriv”, odnosno tko je inicijator u smislu jedne osobe ili organizacije. Naime, sofisticirane DoS napade koji nisu jednostavni “flooding” moguće je uz nešto detaljne pripreme pokrenuti na način da je čak i teoretski gotovo nemoguće otkriti koja osoba fizički stoji iza napada. Stoga je česta pojava neadekvatne reakcije onih koji su napadom pogođeni a koja često ide u smjeru “otkrivanja i kažnjavanja jednog krivca”. Potrebno se primarno orijentirati na načine zaustavljanja napada i sprečavanja ponavljanja istih napada u budućnosti.

Uobičajeno je da su investicije u informacijsku infrastrukturu na granici minimalno mogućeg i praktičnog umjesto da djeluju razvojno i proaktivno, jer još uvijek postoji svijest o tome kako je ICT isključivo trošak pošto se u Hrvatskoj danas vrlo rijetko računa povrat na investiciju u ICT sektoru a uprave korporacija posjeduju jako malo praktičnog znanja o ulozi i položaju strateške informatičke funkcije svodeći je na uslužnu potpornu djelatnost. Primjena ili nekorištenje nekih ili većine navedenih principa zaštite mrežnih usluga u svjetlu te činjenice spada u domenu procjene odnosno prihvaćanja objektivno postojećeg rizika.

U slučaju medijskih kuća koje kao isključivi komunikacijski medij koriste Internet i računalne mreže, mišljenja sam kako je poslovni model u kojemu se prihvaća rizik napada na mrežne sustave ili mu nije posvećena maksimalna pažnja (u praksi se to svodi na investicije i znanje, interno ili konzultantsko) u najmanju ruku manjkav, odnosno nije u skladu s temeljnim pravilima poslovne logike.

Curenje informacija

26/09/2009 // Posted in ICT sigurnost  |  No Comments

U dijelu hrvatskih medija prije nekoliko tjedana na senzacionalistički način je prenesena informacija o tome kako je u HEP-u internim dopisom zabranjeno odavanje osobnih informacija o zaposlenicima (u ovom kontekstu, vjerojatno se to odnosi na plaće rukovoditelja).

Zanimljivo je kako se u biti radi o klasičnoj zamjeni teza. Čak i one tvrtke koje nemaju striktne procedure upravljanja informacijskom sigurnošću primjenju po “automatizmu” procedure ili politike tajnosti osobnih podataka zaposlenika, njihovih plaća itd. Zapravo bi bilo bolje postaviti pitanje – što je točno činio u HEP-u do sada onaj koji je bio zadužen za osiguranje sigurnosti takvih podataka?

Ili možda mediji smatraju kako bi korporacije trebale držati sve svoje podatke na nekakvom front-endu, dostupnom javnosti?

Ovaj mini-slučaj definitivno govori o tome kakvo je stanje informacijske sigurnosti i sigurnosti osobnih podataka u Hrvatskoj danas.

Sigurnost cloud computinga s osvrtom na SaaS (Software as a Service)

18/09/2009 // Posted in ICT sigurnost  |  No Comments

U članku “Zašto ISO 27001 (možda) nije dovoljan” osvrnuli smo se na činjenicu kako razvoj sustava koji prate kvalitetu ISMS-a (možda!) ne prati dovoljno brzo tehnološki razvoj. Naravno, sustavi upravljanja kvalitetom temelje se na fleksibilnosti i tako su “univerzalni” i “uvijek primjenjivi” – dovoljno je reći kako Annex A ne predstavlja definitivni skup kontrola, nego svaka organizacija može dodati kontrole koje nisu u njemu predviđene.

Ostavimo za sada po strani ISO sustave i prokomentirajmo npr. SaaS (Software as a Service) koncept koji već nekoliko godina pružaju mnoge softverske kuće u Hrvatskoj i svijetu koje proizvode specijalizirane softvere. Cijela priča izgleda dobro –  softver radi na gotovo svim računalima koja imaju Internet browser tako da nisu potrebna ulaganja u novu opremu, cijena komunikacijskih linkova danas je toliko pala da predstavlja za manje i srednje firme gotovo zanemariv trošak u odnosu na sve ostale troškove poslovanja a što je najvažnije, SaaS koncept omogućuje tretiranje računalnog softvera kao usluge, čime se smanjuje potreba za većom količinom novčanih sredstava kojima bi se kupio softver kao stalna imovina, osobito ako je broj računala veći. Upravljanje licencama je isto jednostavno, tako da u slučaju smanjenja ili povećanja poslovne aktivnosti, ovisno o ugovoru, dovoljno je deklarirati povećanu ili smanjenu količinu licenci u sljedećem razdoblju. Naravno, u praksi se pokazalo kako su CIO-i vrlo nezadovoljni implementirani SaaS sustavima o čemu se više može pročitati u ovom članku.

Koncentrirajmo se na trenutak na sigurnost takvih sustava. Mnoge tvrtke u Hrvatskoj koriste SaaS softver za svoje interno računovodstvo, ali i za core business, odnosno CRM i B2B/B2C sustave bez da je ijedna sekunda promišljanja potrošena na pitanja kao što su – gdje su zapravo ti podaci, tko su tvrtke koje pružaju SaaS softver, koja im je reputacija, da li su ugovorom definirane obaveze proizvođača po pitanju kontinuiteta poslovanja, postoje li sustavi oporavka od katastrofe… još gora je situacija kod onih pružatelja aplikativnih rješenja, a takvih je većina, koji svoje aplikacije “hostaju” na stranim serverima, najčešće koristeći najjeftinije solucije kako bi smanjili vlastite troškove poslovanja, a koji niti da hoće, ne mogu odgovoriti niti na jedno od postavljenih pitanja.

Na pitanje da li bi povjerili strancu na ulici svoj novčanik, većina onih koji su implementirali takve sustave odgovorili bi niječno, no sudbinu dobrog dijela svog poslovanja povjerili su nepoznatim tvrtkama o kojima ne znaju ništa, koristeći distribuirane sustave obrade podataka o kojima znaju još manje.

Prema tome, svi koji koriste SaaS tehnologiju,trebali bi minimalno koristiti tehniku “dobrog gospodara” i smjernice koje daje Gartner za sigurnost cloud computing sustava ili sustava distribuirane, dislocirane i eksternalizirane obrade podataka.

  1. Adresiranje rizika pristupa podacima – potrebno je znati koje osobe, funkcije ili instance imaju fizički pristup podacima, pošto su svi podaci u informacijskom oblaku na kraju krajeva ipak negdje fizički sadržani. U okviru toga treba biti siguran kako se pravila fizičkog pristupa podacima u tim tvrtkama uvijek i neizostavno poštuju
  2. Potrebno je znati gdje se točno fizički nalaze smješteni podaci odnosno aplikacije, o kojoj se fizičkoj lokaciji odnosno državi radi, te da li se pružatelj usluga serverskog hostinga doista pridržava dogovorenih normi po pitanju sigurnosti podataka (nadam se kako je jasno da sve ovo treba definirati ugovorom a i nezavisnim auditom ako se to smatra potrebnim!)
  3. Potrebno je točno definirati strategije izrade rezervnih kopija, raspoloživnosti podataka te strategije kontinuiteta poslovanja u čitavom lancu, od hostinga, preko proizvođača softvera do samog korisnika
  4. Za slučaj izlaska iz posla bilo koje od uključenih stranaka (pružatelj hostinga, proizvođač softvera, pružatelji telekomunikacijskih interkonekcija), potrebno je ugovorno definirati strategije i postupke kontinuiteta korištenja podataka i usluga, odnosno uvjete prekida pružanja usluga
  5. Potrebno je internim dokumentom definirati potrebne razine usluga kroz interne i vanjske SLA ugovore o čemu će ovisiti i investicije – nije isto da li je potrebna raspoloživost 95, 99 ili 99,99 % vremena.

Tek nakon što se primijeni ova metodologija uz standardnu ISO 27001 “lingvistiku”, te nakon što se izradi detaljna analiza rizika uz mjere umanjivanja, uklanjanja ili transfera rizika, moguće je napraviti standardnu “buy or lease”, a u ovom slučaju “own or cloud-away” analizu koja će u večini slučajeva ipak potvrditi razočaranje anketiranih CIO-ova po pitanju isplativosti cloud computinga koji se “isplaćuje na rate” i “nečija je tuđa briga”.

Kompenzacijska politika poduzeća

13/09/2009 // Posted in Članci/konferencije/predavanja  |  No Comments

Na vodećem hrvatskom portalu za financije – Orkis.HR – objavljen je članak pod naslovom “Kompenzacijska politika poduzeća”

Izvadak koji objašnjava tematsku problematiku obrađenu u članku:

“U ovom članku osvrnut ćemo se na ono po čemu prosječni zaposlenik identificira službu za upravljanje ljudskim resursima a to je način određivanja kompenzacijske politike. Inzistira se na nazivu „kompenzacijska politika“ umjesto „plaća“ upravo zato što je novčani dio plaće samo dio cjelokupnog kompenzacijskog paketa koji prima svaki zaposlenik kao protučinidbu za uloženi rad i napor te posljedični doprinos poboljšanju poslovnog rezultata ili ostvarenju ciljeva organizacije.”

Digital Forensics Challenge 2009

10/09/2009 // Posted in ICT forenzika  |  No Comments

Digital Forensics Challenge

Digital Forensics Challenge

Novi podaci o konkurentnosti hrvatske ekonomije

08/09/2009 // Posted in Ostalo  |  No Comments

HRVATSKA se po konkurentnosti gospodarstva, prema najnovijim podacima, našla u društvu Namibije, Maroka Vijetnama, nakon što smo prema ocjenama pali za čak 11 mjesta i trenutno se nalazimo na 72 mjestu od moguće 133 zemlje. Štoviše, Hrvatsku je sada po konkurentnosti preskočila i Crna Gora, a jedino nam za utjehu može služiti podatak da je iza nas još uvijek Srbija.

Od ostalih susjeda recimo kako je Slovenija sada na 37 mjestu u svijetu, što je skok za pet mjesta, dok je Crna Gora nedostižna na 62. mjestu. Za one koji možda ne znaju riječ je o izvještaju o globalnoj konkurentnosti 2009./2010. Svjetskog gospodarskog foruma. Hrvatska sudjeluje u istraživanju već osam godina, a današnje 72. mjesto najlošiji je rezultat ikada.

Prema podacima koji su danas prezentirani ocjena konkurentnosti pala je za 4,5 posto na svega 4,03. Od dvanaest stupova konkurentnosti najveći je pad zabilježen u efikasnosti tržišta rada, gdje je zabilježen pad za 24 mjesta te efikasnosti tržišta roba, gdje smo skliznuli za 18 mjesta. U oba područja nalazimo se ispod 90. mjesta među 133 zemlje svijeta.

Seebiz otkriva i kako su institucije, odnosno njihova efikasnost, koje su bile među problematičnim područjima i lani, sada su se srozale na 85. mjesto, a izvješće o gospodarskoj konkurentnosti napominje probleme s prevelikom i neučinkovitom administracijom te neproduktivne javne rashode, ali i korupciju.

Podsjetimo, kako je jučer izvješće bonitetne kuće Dun & Bradstreet (D&B), na najgori je mogući način opovrgnulo najave premijerke Jadranke Kosor kako je izlaz Hrvatske iz krize vrlo blizu te su ocijenili kako je samo povećan pad u gospodarstvu nakon Vladinih mjera.

Izvor: index.hr

Politika sigurnosti mobilnih uređaja

03/09/2009 // Posted in ICT sigurnost  |  No Comments

Dovoljno je teško štititi sigurnost informacijskih sustava koji se nalaze u “kući”, odnosno unutar ureda ili štićenih sustava – zadatak postaje noćna mora kada se toj zadaći doda zaštita distribuiranih informacijskih sustava, bilo da se radi o dijelovima koji su eksternalizirani (“outsourceani”) ili o uređajima namijenjenim za daljinsku i odvojenu obradu podataka poput telefona, prijenosnih računala ili dlanovnika. Sve donedavno ta zadaća nije bila osobito problematična jer sastavni dio mobilnih uređaja nije bio i komunikacijski kanal između korporativne (ili organizacijske) središnjice nego je bilo potrebno samo štititi uređaj i podatke na njemu što se postizalo na nekoliko načina. No, sada je sastavni dio čitavog informacijskog sustava i komunikacijski kanal a problematika sigurnosti mobilnih uređaja namijenjenih distribuiranoj obradi podataka i osobnoj komunikaciji toliko je kompleksna da je često predmet zasebnih korporativnih politika informacijske sigurnosti.

Ovdje se nalazi jedan zanimljiv primjer – praktična procedura za upravljanje onim dijelom ISMS-a koji se odnosi na udaljeno računalstvo, a koja se primjenjuje u američkim državnim agencijama i tijelima.

Nadzor (“Surveillance”) – dokumentarni film

01/09/2009 // Posted in Ostalo  |  No Comments

Prema definiciji, nadzor (“surveillance”) je blisko promatranje osobe ili grupe, osobito one koja se nalazi pod sumnjom.

U ovom zanimljivom dokumentarnom filmu opisan je najnoviji trend koji se u zadnjih desetak godina a osobito od 2001. proširio svijetom. Da li su svi ljudi potencijalno sumnjivi? Da li je privatnost ljudsko pravo ili se sve mora promatrati i to (nekada!) ljudsko pravo se nužno mora kršiti ne bi li se pronašli potencijalni sumnjivci? U okviru toga, što uopće danas znači pojam privatnosti u okviru informacijske sigurnosti? Da li će privatnost postojati za, recimo, deset godina?