Bezbednost na Mreži

Ni osiguravajuće društvo ne može vam pomoći ako izgubite podatke

Broj incidenata na Mreži povećao se u odnosu na 1997. godinu više od deset puta. Tokom prošle godine CERT-u je prijavljeno više od 52 000 slučajeva. Pošto je prijavljivanje provale loš marketing, procene su da je stvaran broj daleko veći. „Evans data” u analizi rada oko 750 firmi koje se bave razvojem baza podataka navodi da je tokom 2001. godine provaljeno čak u 27 odsto bankarskih i finansijskih baza tokom 2001. godine.

Napadi u cyber prostoru neposredno se preslikavaju u stvaran svet. Finansijske kompanije su osigurane i reosigurane, tako da gubici najčešće nisu pogubni, premda sve to košta pre svega korisnike usluga. Male firme teže primaju udarce, te je početkom godine u Engleskoj manji Internet provajder „Cloud Nine” zbog neprestanih hakerskih napada bio primoran na zatvaranje.

Što se globalne štete u vidu kumulativne sume tiče, u zavisnosti koga pitate, dobićete odgovor koji počinje od 10 milijardi dolara godišnje.

Osiguravajuća društva od skora imaju slične zahteve za kompjutersku sigurnost kao i za fizičku. Kompanije koje žele da se osiguraju moraju da obezbede adekvatnu samozaštitu. Zahtevaju se ekvivalenti protivpožarnih i alarmnih sistema u računarskoj i mrežnoj opremi: firewall i IDS (Intrusion Detection System – sistem za detektovanje provale). Uprošćeno, radi se o sistemu koji „osluškuje” saobraćaj na mreži upoređujući ga sa potpisima ilegalnih aktivnosti iz baze.

Razlog za napad na banke i velike korporacije je očigledan – finansijska korist, što neposredno navodi na pomisao da je običan korisnik, zahvaljujući nikakvoj do maloj dobiti koja čeka „provalnika”, prilično siguran. Naprotiv!

Slučajan računar na Internetu skeniran je nekoliko desetina puta na dan. Test računar sa uobičajenim podešavanjima: Windows 98 sa uključenim deljenjem fajlova, provaljen je pet puta u četiri dana! NetBios skeniranja dešavaju se u proseku sedamnaest puta na dan, a najkraće vreme do provale – petnaest minuta nakon uključenja u mrežu.

Šta hoće ti vandali?

Oni koji provaljuju u vaš računar koriste vaše Internet veze i vaš računar kao odskočnu dasku u napadu na veći server, istovremeno zamećući trag. Ni procesorska snaga nije naodmet kao pomoć u razbijanju šifri pokupljenih sa većih sistema. Cilj zavisi naravno i od veličine (i dovitljivosti) vandala: mali hoće malo, veliki mnogo. Nedavno je opisan slučaj u Republici Srpskoj gde je malware koji je stigao preko e-maila prilikom pokretanja ispisivao ucenu. Preciznije uputstvo kome i kako dati novac u zamenu za program koji će obezbediti da računar ostane u radnom stanju. Ambiciozniji napadi podrazumevaju sofisticiranije metode.

Kako se zaštititi?

„Svet kompjutera” je u više navrata opisivao specifične programe za zaštitu, ali nije naodmet podsetiti ih se. Osnovnu zaštitu pružaju besplatni firewall programi koje, ako koristite Windows, možete preuzeti sa www.zonealarm.com (Zone Alarm) i www.sygate.com (Sygate Firewall). Potreban vam je i dobar antivirusni program – AVP ima našu preporuku (www.kaspesky.com). Pored korišćenja ovih programa neophodno je ići ukorak sa sigurnosnim zakrpama koje objavljuje proizvođač operativnog sistema i programa koje koristite.

Za firme koje koriste računarske mreže Linux je odlično rešenje koje obezbeđuje veoma kvalitetan sigurnosni sistem po vrlo pristupačnoj ceni. Stari Pentium I računar bez hard diska može bez problema da opsluži ISDN ili ADSL liniju kao ruter i firewall i to sa diskete. Za viši nivo funkcionalnosti postoje specifične distribucije izdate pod GPL-om (General Public Licence – dozvola koja podrazumeva slobodnu distribuciju softvera) koje dolaze opremljene HTTP, mail i DNS serverom, kao i popularnim Open Source IDS rešenjem – Snort. OpenBSD je izrazito vredan pomena kao derivat BSD Unixa kompletno posvećen sigurnosti (BSD distribucije su izdate pod BSD licencom koja je još liberalnija od GPL).

Linux Tin Foil Hat je izvanredna demonstracija do kog ekstrema može da bude doveden sistem koji dopušta precizna podešavanja. Radi se o distribuciji Linuxa koji staje na jednu disketu, a u potpunosti je posvećen bezbednosti. Obezbeđen je čak i unos šifri preko biranja polja na ekranu kako bi se onesposobili čak i hardverski logeri tastature. Šlag na tortu predstavlja adaptacija boja ekrana, kako bi se otežalo snimanje ekrana kamerom!

Naravno, sve su šanse da vam aluminijumski šešir nije neophodan, ali mogućnost preciznog podešavanja sistema više je nego privlačna.

Kako se izvode provale?

Ranjivost je u stvari bag, greška u programu, koji je promakao i razvojnom i test timu. Ciklus počinje u trenutku kad je objavi istraživač u izjavi za štampu, na svom Web sajtu, CERT listi ili se pojavi na nekoj od hakerskih grupa.

Sposoban haker napiše program koji iskorišćava tu ranjivost – exploit – i tada počinje odron. Zloupotreba više nema direktne veze sa sposobnostima i znanjem. Kada je alat napisan, bilo ko može da ga upotrebi. Tada na scenu upadaju script kiddies – nova kategorija tinejdžera raspoloženih za destrukciju, a generalno bez specifičnih znanja o računarima i svesti o posledicama svojih akcija. Jahači apokalipse u broju manje mravlje kolonije.

Opasnost raste eksponencijalno. U ovom trenutku proizvođač programa objavljuje zakrpu. Opasnost se smanjuje, ali ne nestaje. Ogroman broj računara ostaje nezakrpljen – širom otvoren za napade. Ni administratore ne možemo (mnogo) da krivimo, zakrpe su napisane navrat-nanos, slabo testirane, često prouzrokuju nove probleme u regularnom funkcionisanju sistema, a posao administratora je sve plus sigurnost sistema. S obzirom na to da se o sigurnosti priča samo kad je sistem provaljen, a o štampaču koji ne štampa daleko češće, pogađate šta dobija prioritet. Savremene kompanije zapošljavaju administratore čije je jedino zaduženje sigurnost sistema.

Odakle stižu informacije?

Što bolje razumete protivnika, sposobniji ste da ga pobedite. Pored korporacija koje se bave sigurnošću i antivirusnih kompanija posebno se ističe Honeynet projekat. Grupa računarskih profesionalaca i psihologa okupljena je oko Open Source projekta koji se bavi sakupljanjem podataka o alatima i taktikama koje elektronski provalnici koriste, kao i njihovom ponašanju i motivima.

Računari pod imenom Honeypot (mamci), koji se na prvi pogled ne razlikuju od drugih sistema, postavljeni su na Mrežu u strogo kontrolisanom i nadgledanom okruženju. Kada se provala desi kreatori su u poziciji da detaljno posmatraju ponašanje provalnika, a da on toga nije svestan. Sistem Honeypot računara koristi se i kao dodatak u mrežama sa produkcionim serverima, gde pored funkcije skupljanja podataka o pokušajima napada odvlače pažnju i vreme provalnicima (detaljnije informacije na project.honeynet.org).

Politika

Skot Kulp, menadžer zadužen za sigurnost u „Microsoftu”, objavio je krajem prošle godine esej na temu publikovanja ranjivosti pod nazivom Informaciona anarhija. Skot tvrdi da bismo svi bili daleko sigurniji kad bi istraživači detalje svojih otkrića podelili samo sa proizvođačima.

Tajnost je u početku bila norma. Čak su letele i pretnje onima koji pomisle da objave svoje nalaze. Mnoge „rupe” opstajale su mesecima, čekajući novi servisni paket, neke čak preživljavajući i nova izdanja programa. Objavljivanje svih detalja nastalo je iz frustracija proisteklih prethodnim pristupom. Nakon što se nalaz objavi, pritisak javnosti predstavlja snažan podstrek proizvođačima da što pre napišu i objave ispravku.

Druga strana medalje je da i hakeri slobodno koriste iste informacije, samo u mračne svrhe. Kao što Kulp pominje u svom tekstu, postoje konkretni primeri kada su te informacije zloupotrebljene: Code Red, Sadmind, Nimda samo su neki od problema koji su se pojavili nakon što su detalji o ranjivosti u celini objavljeni.

Koji je pristup bolji?

Za korisnika je značajno da ima kompletnu informaciju o proizvodu koja mu je potrebna da bi mogao da napravi promišljenu odluku vezanu za izbor softvera u funkciji od sigurnosti. Ako istraživači, plašeći se progona, ne smeju da objave detalje – svodi se na njihovu reč protiv reči proizvođača. Posredno smo stigli do ključnog problema – odgovornost.

Proizvođači hrane, pića, lekova, automobila – svi moraju da se povinuju preciznim pravilima ukoliko hoće da se njihov proizvod pojavi na tržištu. Moraju, takođe, da trpe i ozbiljne konsekvence ukoliko nekih od uslova nije ispunjen i da snose odgovornost ukoliko greška dovede do problema.

Kao odgovor na pritisak tržišta za pouzdanijim proizvodima Bil Gejts je sredinom januara najavio novu smernicu u „Microsoftovoj” strategiji – „Trustworthy Computing” (pouzdano računarstvo).

Vuk, vuk!

Nedugo pošto se Windows XP pojavio na tržištu objavljen je podatak o ranjivosti njegovog UPnP sistema, što pogađa i prethodne generacije ovog operativnog sistema (Win98, Win98SE, WinME).

Nakon velike gužve koju su Code Red i Nimda izazvali, mediji su počeli da se utrkuju bombastičnim izjavama, iako je opasnost bila mala. Pljuštale su poluistine i potpune izmišljotine. Čak se i FBI uključio u lov na veštice sa pogrešnim informacijama (iako su se kasnije ispravili).

Instaliranje zakrpa jeste kritičan proces, ali ne treba se poigravati strpljenjem korisnika. Ljudi će jednostavno prestati da obraćaju pažnju.

Zarad gašenja požara, a žrtvujući tačnost zbog odnosa sa javnošću, ranije pomenuti Skot Kulp izjavio je da je ovo prva daljinska ranjivost Windows sistema. Pored očigledne netačnosti, ova izjava nosi informaciju šta je sigurnost za velike proizvođače softvera – igra odnosa sa javnošću.

Firma „eEye”, koja je bila okrivljena za odavanje suviše informacija, što je dovelo do CodeRed epidemije, prvo je tajno prijavila „Microsoftu” ovaj problem – a onda se vest dva meseca kasnije pojavila u novinama!

Prošlog novembra Džim Alčin, potpredsednik „Microsofta”, ustvrdio je u intervju za „eWeek” da su sve greške tipa buffer overflow eliminisane u XP-u i da je instalacija tako podešena da su svi nepotrebni servisi isključeni.

Ne samo da je greška u UPnP bio baš buffer overflow, nego je servis, iako se najčešće ne koristi, instaliran i uključen po defaultu.

Nesalomivi Oracle

„Microsoft” nije usamljen u marketinškoj trci. Leri Elison, direktor kompanije „Oracle”, drugog po veličini proizvođača softvera, sam je sebe zakopao za vreme Comdexa u Las Vegasu prošle godine započevši unbreakable kampanju sa sloganom: „Oracle9i. Unbreakable. Can’t break it. Can’t break in.” Svi znamo da se sve pre ili kasnije slomi. Kada takve tvrdnje dolaze od kompanije koja kontroliše više od trećine tržišta baza podataka vrednog skoro devet milijardi dolara, teško je proceniti da li je gore verovati u takvu kampanju ili samo njeno propagiranje.

Pitanje provale nije „da li” već „kada”. Pojam vremenski baziranog obezbeđenja odavno je poznat. Kase i sefovi se prodaju sa naznakom koliko vremena „kupuju” vlasniku da reaguje. Npr. klasifikacija TRTL 60 podrazumeva sef koji 60 minuta može da izdrži napad provalnika opremljenih, pored klasičnog alata, i acetilenskom lampom.

Kako to obično biva, i nesalomljivi je slomljen i to greškom koja je zaslužila titulu bag decenije – buffer overflow.

„Oracle” je medijski fijasko pokušavao da izgladi semantikom, da se reč neprobojan ne odnosi na ono što se uobičajeno misli. Meri En Dejvidson, glavni inženjer za sigurnost, tvrdi da se kampanja odnosi na četrnaest nezavisnih provera sigurnosti koje je Oracle baza prošla.

Čemu toliko provera ako ne mogu da uhvate najčešću od grešaka?

Poverenje

Sigurnost je proces, a ne proizvod i sigurni ste koliko i najsvežija zakrpa. Štaviše, sigurnost je dug, zahtevan, mukotrpan i prilično nezahvalan proces. Pravo rešenje je kvalitetna implementacija kompletnog sistema i uspostavljanje linija poverenja i odgovornosti.

Dok se ne dese sistemski krupne promene, ostaje vam da se sami dodatno potrudite da biste se Internetom vozili sigurno.

Damjan PELEMIŠ