InformacijosApsauga: „Ar žinai koks greičiausias būdas įsilaužti į organizacijos tinklą?“

Karuose tikriausiai pralaimi ta pusė, kuri labiausiai pasitiki, kad nieko blogo neatsitiks, ir mažiausiai saugosi. Bent jau pačioje pradžioje. Ar būtina skaudžiai nudegti, kad pradėtum rimtai domėtis informacijos apsauga ir savo organizacijos tinklų bei kompiuterių saugumu? Kiek paranojos turėti sveika? Kodėl net milžiniškus ir atsakingus projektus vykdančios firmos nepasirūpina sauga? Apie šiuos ir kitus saugumo dalykus kalbuosi su naujo tinklaraščio InformacijosApsauga.lt autoriumi.

Sistemų saugumas ir informacijos apsauga tai beveik kova su vėjo malūnais?

Na informacijos saugumas apima daug dalykų ir į tai reikėtų žiūrėti kiek plačiau, ne tik į techninę dalį. Informaciją galima ne tik pavogti, bet ir padaryti ją neprieinama. O jei negali pasinaudoti informacija, kai ji tau reikalinga, tuomet kokia iš jos nauda? O tokį neprieinamumą gali susikurti ir pats žmogus. Pvz. nepasidaręs diplominio darbo (kurį reikia atiduoti rytoj), atsarginės kopijos, kuris buvo tik ką „numirusiame“ diske. Tai taip pat yra tinkamai neapsaugotos informacijos atvejis. Informacija gali būti ir ne skaitmeninė, o įprastame popieriuje. Ją taip pat galima pavogti ar sunaikinti ir apsaugai IT sprendimai čia gali nepadėti.

Kalbant tik apie skaitmeninės informacijos apsaugą, tai tobulėjant technologijoms, tobulėja ir jų apsaugos priemonės. Žiūrint į visą įsilaužimų istoriją, tai pradžioje dažniausiai buvo išnaudojami tinklo lygmens pažeidžiamumai ir trūkumai (ypač kentėjo telefono ryšio operatoriai). Atsiradus tinkamoms apsaugos priemonėms, tobulesnei technikai, išpopuliarėjus internetui, įsilaužėliai daugiau dėmesio pradėjo skirti operacinėms sistemoms ir jų standartinėms tarnyboms, pasiekiamoms tinklu. Tuomet OS kūrėjai įdiegė jose automatinio atsinaujinimo funkciją ir pažeidžiamų sistemų stipriai sumažėjo, nes jas tapo daug paprasčiau atnaujinti. Dabar prižiūrimų ir masiškai pažeidžiamų OS būna tik trumpą laiką ir tik 0-day atvejais (kai su pranešimu apie pažeidžiamumą pasirodo ir detali informacija kaip tą pažeidžiamumą išnaudoti, o gamintojas dar nebūna ištaisęs spragų). Žinoma, visuomet galima rasti neprižiūrimų sistemų, tačiau tai nebus didelė jų masė, o tik pavieniai atvejai.

Po didesnio gamintojų dėmesio operacinėms sistemoms, viskas persikėlė į programų lygmenį. Tik nedidelė programų dalis moka pačios automatiškai atsinaujinti ir panaikinti savo pažeidžiamumus, todėl šiandien daug lengviau rasti pažeidžiamą konkrečią programą ir išnaudoti jos trūkumus, nei pačios operacinės sistemos. Tačiau čia įsilaužimo procesą apsunkina tai, kad dažnai būna sudėtinga nustatyti kokios programos veikia viename ar kitame kompiuteryje. Ar galėtumėte pasakyti kokį media grotuvą naudoju, kokia jo versija ir ar jis yra pažeidžiamas? Todėl čia ypač aktualūs interneto naršyklių pažeidžiamumai, nes jas galima lengvai nustatyti. Vis tik didelių pažeidžiamumų laikas turėtų ateiti ir kitoms programoms.

Dar viena aktuali pažeidžiamumų sritis yra tinklalapiai. Tinklalapiai paprastai būna unikalūs kiekvienai organizacijai ir net naudojant išbandytą turinio valdymo sistemą dažnai papildomi kažkokiomis unikaliomis priemonėmis. Dėl to unikalumo net ir saugios platformos gali labai greitai tapti nesaugiomis. O nesaugių tinklalapių pagalba lengvai galima apeiti ugniasienes ir kitokias apsaugos priemones. Pažeidžiamumai tinklalapiuose įdomūs ir tuo, kad jų galima ieškoti net neaplankant pačio tinklalapio ir nepaliekant jokių pėdsakų, pvz. Google pagalba. Šiuo metu vien Google pagalba galima rasti ~3000 lietuviškų tinklalapių, turinčių rimtų saugumo trūkumų. Tačiau ateityje ir šios problemos turėtų būti pašalintos ir viskas vėl persikels į kitą lygmenį. Kurį? Šiandien dar nežinau. :)

Žinoma, visuomet išliks žmogiškos klaidos, kuriomis galima pasinaudoti.
Kalbant apie organizacines priemones, čia taip pat viskas išsprendžiama ir sutvarkoma. Tam net daugybė įvairių standartų sugalvota. Vieni žinomesnių yra ISO 27000-oji serija. Tokios apsaugos priemonės ypač gelbsti, kai tampi taikiniu. Tuomet apsisaugoti tik technologijomis yra ypač sunku. Kiek turi būti saugumo? Kaip pavyzdį imkim komercinę įmonę. Jai 100% saugumas nebūtinas ir to net nereikia siekti. Saugumo turi būti tiek kiek reikia, t.y. apsaugos priemonės neturi kainuoti daugiau, nei galimi patirti nuostoliai. Todėl visuomet reikia įvertinti visas galimas grėsmes ir vienodai investuoti į techninę įrangą, darbuotojų apmokymą, fizinę saugą, saugumo kultūros kūrimą įmonėje ir pan. Visuomet reikia ieškoti balanso, mažinti galimas rizikas ir tie vėjo malūnai pradingsta patys. Tiesa, naikindami vienas rizikas nepamirškite, kad gali atsirasti kitos. Pvz., jei samdote apsauginį prekėms saugoti, tai įvertinkite tą riziką, kad vogti gali ir pats apsauginis. Beje, daugiausia vagysčių prekybos centruose įvykdoma bendradarbiaujant su apsauginiais. :)

Sakoma, kad saugių prie interneto prijungtų sistemų tiesiog negali būti. Cituoju tavo žodžius „realiai dar neteko matyti saugios organizacijos“…

Tokios organizacijos Lietuvoje iš tiesų neteko matyti. Kodėl? Nes dauguma orientuojasi tik į fizinę ir techninę apsaugą, bet mažai kas skiria dėmesio organizacinėms apsaugos priemonėms ir darbuotojų švietimui. Ar žinai koks greičiausias būdas įsilaužti į organizacijos tinklą? Paversti tos organizacijos darbuotoją savo bendrininku jam to net nežinant. Tačiau be techninio sprendimo čia reikalingi ir socialinės inžinerijos metodai. O jie geriausiai veikia, kai nėra organizacinio saugumo. Jei kalbant apie prie interneto prijungtas sistemas ir tik technologinį saugumą, tai saugios sistemos gali būti ir jų tokių yra. Tokiose sistemose dažniausiai yra realizuota kelių lygmenų apsauga ir jokiu būdu nesiremiama tik viena priemone kaip pačia patikimiausia.

Daugelis neišmanančių ir neuždirbančių tiesiog tikisi, kad „blogiečiai“ jų nepastebės. Kokios iš tikrųjų yra laisvalaikio projekto internete saugumo perspektyvos? Juk neaplenksi žiniomis prisiekusių įsilaužėlių?

Atsipalaiduokit, juk jūs mėgėjas. :) Viską pradėti reikėtų nuo įsivertinimo. Kas iš tikro gali nutikti, jei tą projektą nulauš? Jei internete esate tik mėgėjas, tai kuo jūs rizikuojate? Jūsų projektas – nemokamas, jūs jį išlaikote tik savo entuziazmo dėka ir iš vis jis čia tam, kad kažko išmoktumėte. Jūsų projektu galbūt naudojasi tik jūsų draugai ir jų draugai. Tad jei jį kas nors nulauš, tai nelabai kas apie tai kalbės. Reputacijai tai daug nepakenks. Jei į jūsų tinklalapį niekas negalės patekti pusdienį, tai taip didelio nuostolio nebus, nes tas projektas neneša pelno. Iš esmės rizikuojate tik prarasti patį savo tinklalapį. Tad turėkite jo kopiją ir veiksmų planą, ką darytumėte, jei tą tinklalapį vis tik išlaužtų (pvz. praneštumėte CERT’ui, surinktumėte įkalčius, išsiaiškintumėte kaip išlaužė, sutvarkytumėte, atstatytumėte tinklalapį). Čia gali būti didesnių bėdų nebent tuo atveju, jei kaupsite kažkieno asmeninius duomenis.

Vat jei tas nemokamas projektas po truputį virstų komerciniu, tuomet reikėtų pradėti ir labiau apie apsaugą galvoti. Nebūtinai nuo įsilaužimų, bet apskritai nuo neveikimo. Jei neveikia tai kas jums neša pelną, tai pelno negausite visą neveikimo laikotarpį. Kuo ilgiau atstatinėjate, tuo ilgiau neuždirbate ir t.t. ir t.t. Tada jau nevertėtų ir apie reputaciją pamiršti.

Įsilaužėliai teigia, kad įveikdami apsaugą jie atlieka naudingą darbą ir parodo saugumo spragas. Butų vagys teigia darą tą patį su savo visrakčiais. Yra skirtumų? Kurie neteisūs?

Na tai nėra visai taip kaip teigi. Paprastai tą naudingą darbą atlieka ne įsilaužėliai, o saugumo specialistai. Skirtumas čia tas, kad laikomasi tam tikros etikos. Pirma apie trūkumą pranešama gamintojui ir tik pasirodžius pataisoms paviešinamas pažeidžiamumas. Tuo tarpu įsilaužėliai spraga pasinaudoja savo reikmėms ir nieko net negalvoja apie tai informuoti. Čia daug reiškia ne tik tas faktas kad tu įsilauži, bet ir ką darai po to. Juk buto duris gali rasti atrakintas, bet jei į jį net neužeisi, tai vagimi netapsi. Tas pats ir su IT sistemomis. Pagal LR įstatymus, jei tu nepridarei žalos, tai tavęs kaip ir nelabai yra už ką bausti (nepamirškit, kad žala gali būti ir moralinė). Tad tą spyną gali pasistatyti namie ir bandyti ją atrakinti visrakčiu, o pavykus informuoti gamintoją ir tuo pačiu atlikti naudingą darbą. Bet jei pasinaudodamas tuo visrakčiu darysi nusikaltimus, tai toks „naudingo darbo“ pasiteisinimas tikrai netiks.

Kas sulaiko tikrą „hakerį“ nuo piktnaudžiavimo žiniomis? Kaip jis atsispiria adrenalino poreikiui? Kaip gimsta saugumo specialisto etika?

Ar žinai kuo skiriasi įsilaužėlis nuo saugumo specialisto? Iš esmės tik leidimu. Pirmasis daro viską nelegaliai, o antrasis tik gavęs sutikimą. Priklausomai nuo užduoties, adrenalino kiekis gali būti toks pats abiem atvejais. O etika priklauso nuo sveiko proto. Niekas tikslių taisyklių nėra surašęs, bet vadovautis reikia tais pačiais principais kaip ir realiame gyvenime, t.y. tiesiog nevykdyti nusikalstamos veiklos.

Gal ketini parašyti „šimtą ir vieną patarimą“ kaip apsaugoti savo duomenis nespecialistams?

Hm, tikiuosi tie patarimai susikaups mano BLOG’e savaime. Dalį paprastų dalykų galima rasti jau dabar. Knygų rašymui šiuo metu nesu nusiteikęs.

Ar tikiesi, kad tinklaraštis suras naujų klientų firmai, kurioje dirbi?

Ne. Jei to būtų tikimasi, tai į tinklaraštį rašyčiau ne aš vienas ir tinklaraštis būtų tos įmonės puslapio dalis, kurį aplankę žmonės iš karto prieš akis matytų ir teikiamas paslaugas. Dabar gi tai visiškai du skirtingi dalykai, o nuoroda iš mano BLOG’o į įmonės puslapį įdėta dėl geresnių Google reitingų. Juk Google pagrindinis aukštesnės vietos kriterijus yra tai, kiek nuorodų į tinklalapį veda iš kitų tinklalapių. Rezultatas pasimatė maždaug po dviejų savaičių. Žinoma, teigiamas. :)

Jei nerašytum apie informacijos apsaugą, rašytum apie?

Rašyčiau apie verslą ir investicijas. Su šiais dalykais bendrauju gan senai. Šiuo metu esu ne tik UAB „Informacijos saugos sprendimai“ specialistas, bet ir visiškai kitos veiklos 10 žmonių įmonės vadovas, kurios apyvarta per šiuos metus išaugo 6 kartus. Sėdžiu per dvi vietas ir per abi normaliai nespėju (vis tik savo ateitį daugiau sieju su saugumu). Pvz., dabar galėčiau parašyti, kaip įmonėje pradėta diegti nauja valdymo forma. Beveik visas įmonės valdymas perduodamas jos darbuotojams. Darbuotojai sprendžia dėl įmonės strategijos, darbuotojai sprendžia dėl investicijų, darbuotojai sprendžia kada jiems dirbti, darbuotojai sprendžia į darbą priimdami kitus žmones, darbuotojai gali nuspręsti atleisti direktorių (t.y. mane) bei nusisamdyti kitą ir t.t. Artimiausiu metu darbuotojai patys sau galės nusistatinėti atlyginimus ir netgi skirstyti įmonės pelną (kokią dalį išsimokėti sau, o kokią dalį skirti tolimesnei plėtrai). Ši schema taikoma dar tik dvi savaites, dar ne viskas iki galo veikia taip kaip norėtųsi, bet tie jau įvykę pokyčiai davė labai teigiamą efektą! Norėtum dirbti tokioje išprotėjusioje įmonėje, kurioje galėtum pats atleisti savo užknisantį vadovą? :)