Nakon nekoliko teoretskih nastavaka naše serije tekstova posvećene IT sigurnosti, došlo je vrijeme da pogledamo neke od najčešćih cyber napada. Listu predvode takozvani DDoS napadi, koji ne samo da su trenutno najčešća vrsta cyber napada već je odbrana od njih izuzetno teška

Izvor: Goran Milić
E-mail: redakcija@asadria.com

Prije nego što objasnimo DDoS napade, potrebno je da upoznamo DoS napade. DoS je skraćenica engleske sintagme Denial of Service, što bi u malo slobodnijem prevodu značilo “uskraćivanje pristupa servisu”. Riječ je o vrlo specifičnoj vrsti napada, jer ne dolazi do uništavanja ili krađe podataka, što je obično slučaj kod drugih vrsta napada. DoS napadač jednostavno onemogućava pristup korisnicima, pri tome ne napadajući same korisnike, već izvor nekog servisa. Najčešće se napada mreža na kojoj servis radi. Pod pojmom “servis” podrazumijeva se bilo koji resurs kojem se pristupa putem mreže, počevši od jednostavne web stranice, pa da bankarskih portala ili servisa za prijavljivanje na neki sistem (Windows, e-mail, VPN i slično).

DoS napadi ne koriste propuste u sistemu, već ga preplavljuju zahtjevima za pristup. S obzirom na to da je zahtjeva toliko da ih sistem ne može sve obraditi, dolazi do privida da je on nedostupan. Sistem je tokom napada operativan, ali mu se ne može pristupiti jer je zauzet. Naravno, zbog velikog opterećenja može doći i do softverskih ili hardverskih kvarova, ali to nije glavni cilj napadača. Prvi veći DoS napad desio se 2000. godine, kada su napadnuti veliki web servisi kao što su Yahoo.com i Buy.com. DoS napadi obično se izvršavaju kada napadač na neki drugi način dobije pristup mreži koju želi da napadne.

DDoS – Distributed Denial of Service

DoS napadi su prilično opasni jer je odbrana od njih teška. Jedini način odbrane je otkrivanje izvora napada. Nažalost, DoS napadi su posljednjih godina podignuti na viši nivo uključivanjem interneta i tzv. zombi aplikacija. Zombi aplikacije su obično virusi koji se rašire na kompjutere širom interneta, ali ostaju pod kontrolom svog kreatora, a on ih onda koristi za napadanje sistema, što je osnova DDoS napada.

Da bismo razumjeli DDoS napade, treba razmišljati u okvirima interneta, odnosno miliona, pa čak i milijardi uređaja koji su spojeni na njega. DDoS napadi obično se izvode sa desetina i stotina hiljada uređaja. Zamislite web-sajt koji u jednom trenutku dobije stotinu hiljada zahtjeva za prikaz web-stranice. Ne postoji hardver na svijetu koji može izdržati takva opterećenja. Jedina odbrana su takozvani distribuirani serveri, koji slično kao i napadač raspoređuju posao na više servera. Naravno, za ovo treba imati velike resurse na raspolaganju, što uglavnom nije slučaj. Napadač DDoS napade najčešće koristi za iznuđivanje. Obično je napadačima potrebno platiti određenu sumu novca da bi prestali s napadima, jer praktično ne postoji odbrana od DDoS napada. Ponekad novac nije glavni motiv, već se određeni internetski servisi napadaju iz drugih razloga – političkih, vojnih i drugih.

Uz DDoS napade vezan je i termin botnet. Riječ je o čitavim mrežama kompjutera koji su zaraženi zombi programima, pa samim tim i pod kontrolom napadača. Upravo se botnetima vrše DDoS napadi. Posebno je opasno to što je neke botnet mreže moguće iznajmiti, tako da napadač uopšte ne mora biti haker. Još jedna česta upotreba botnet mreža je slanje spam maila. Zbog toga ne treba da iznenade podaci da se dnevno na internetu isporuči i do 100 milijardi spam mail poruka, odnosno da je oko 80% komunikacije mailom neželjena pošta.

Phishing

Druga vrsta čestih napada je phishing. Ime ovog napada je nepravilno napisana engleska riječ za pecanje, koje savršeno opisuje ovu vrstu napada. Napadač najčešće žrtvi šalje mail koji izgleda kao legitimni mail nekog drugog entiteta (obično banka, eBay, Amazon ili slično), ali se u njemu nalazi link na neki virus ili drugi maliciozni softver. Phishing napadi se mogu izvoditi i lažnim web-sajtovima, a cilj je uvijek isti – natjerati žrtvu da bez svog znanja instalira neki kompjuterski program.

Iako se može učiniti da su phishing napadi usmjereni na pojedinačne korisnike, može biti i napad na neku veću kompaniju ili organizaciju. Napada se više zaposlenika ili pripadnika organizacije, a dovoljno je da samo jedan od njih klikne na pogrešan link i napadač može ostvariti pristup internoj mreži. Phishing se može koristiti za instalaciju zombi aplikacija i kreiranje botnet mreža.

Odbrana od phishing napada najčešće se vrši obrazovanjem korisnika. Potrebno ih je naučiti da razlikuju lažne i originalne mail poruke i web sajtove, te da obrate pažnju kada klikaju na linkove sumnjivog porijekla. Važnu ulogu igra i redovno održavan softver, te korištenje antivirusnog i drugog zaštitnog softvera.

Malware

Pod pojmom malware objedinjeni su svi kompjuterski programi koji na različit način izvršavaju maliciozne operacije. U tu grupu spadaju virusi, crvi, trojanci, spyware i ostali. Ovi programi mogu iskorištavati sigurnosne propuste u softveru (naprimjer, u web browseru) ili mogu “zaraziti” žrtvin uređaj, te tako postati novi izvor digitalne zaraze.

Druge metode koje se koriste prilikom DDoS napada

Osim jednostavnog zahtjeva za korištenjem resursa multipliciranog sa više hiljada različitih lokacija istovremeno, tokom DDoS napada se koriste i druge vrste napada. Neki od najčešćih su:

Teardrop – slanje neispravnih mrežnih paketa. Kako mrežni hardver mora analizirati svaki mrežni paket, neispravno napisan paket usporava njihov rad;

Buffer overflow – specifična vrsta napada kojim se iskorištavaju propusti u softveru. Specifično napisani mrežni paketi ili pojam u polju za pretragu može dovesti do tzv. buffer overflow greške, u kojoj interne softverske strukture dobivaju više podataka nego što mogu podnijeti, pa prestaju funkcionisati ili funkcionišu pogrešno;

Smurf – napad koji koristi lažne zahtjeve za konekcijom. Kompjuter mora odgovoriti na svaki zahtjev, stvarajući mrežni saobraćaj na koji mrežna kartica uređaja ne može stići da odgovori;

Fizički napad – fizičko presjecanje kabla također se može ubrojiti u DoS napade, jer se prekidanjem mrežne konekcije sprečava dolazak korisnika do resursa, odnosno servisa. Ponovo dolazimo do važnosti fizičke zaštite informatičke opreme, o kojoj smo već govorili.

Primjer DDoS napada

Početkom novembra desio se ozbiljan DDoS napad na servis za enkriptiranje elektronske pošte ProtonMail iz Švicarske. Prilikom napada detektovan je mrežni saobraćaj od 100 GB/s, pa ne samo da je ProtonMail bio nedostupan već je i njihov ISP imao problema. Iza napada je stajala hakerska grupa Armada Collective, koja je tražila otkupninu u iznosu od relativno niskih 6.000 USD. ProtonMail je isplatio zatraženi iznos, ali se napad nastavio, mada Armada Collective tvrdi da oni više nemaju veze sa napadom. ProtonMail koristi oko 500 hiljada korisnika za enkripciju maila po OpenPGP standardu.

Da bismo efikasno zaštitili mrežu, potrebno je u obzir uzeti odgovor na pitanje: od koga ili od čega štitimo kompjutersku mrežu, odnosno informacioni sistem? Radi lakšeg odgovaranja, ovo se pitanje može podijeliti na dva dijela: ko su napadači i kakvim se metodama koriste?

Izvor: Goran Milić
E-mail: editorial@asadria.com

Pitanja navedena u uvodnom dijelu teksta čine osnovu tzv. analize prijetnji (threat analysis). Cjelovita analiza prijetnji najčešće je proizvod zajedničkog rada ljudi koji su dobro upućeni u poslovne procese, granu industrije ili privrede u kojoj se organizacija nalazi, sigurnost i informacione tehnologije. Zapravo, najbolje je reći da uopšte nije preporučljivo da analiza prijetnji bude plod isključivo informatičkih stručnjaka, jer takva grupa stručnjaka možda nema cjelovitu sliku rada organizacije, bez obzira na to čime se ona, zapravo, bavi. Kreativno razmišljanje treba da bude ključna osobina svih članova tima koji rade na izradi analize prijetnji.

MOTIVACIJA NAPADAČA

Može se reći da postoji onoliko različitih motiva koliko postoji i napadača, ali se najčešći motivi mogu podijeliti u nekoliko kategorija. Rekreativci su hakeri koji upadaju u tuđe sisteme iz zabave ili kako bi pokazali svoje tehničko znanje. Može se reći da i oni nemaju posebno izražen motiv. Oni to rade jednostavno zato što mogu. Obično je riječ o mlađim ljudima ili društveno neprilagođenim pojedincima. Profiteri su oni hakeri koju napadaju tuđe mreže kako bi ostvarili profit. Primjer takvih hakera su oni koji pokušavaju da novac prebace na svoje bankovne račune ili da obrišu podatke o svojim dugovanjima. Tu su i hakeri koje plaća treća strana kako bi napali i oštetili tuđe informacione sisteme. Industrijska špijunaža također spada u ovu kategoriju. U posljednje vrijeme pojavila se i nova vrsta hakera koja upadom u sistem zaključa neki njegov dio i onda traži otkupninu kako bi vratili funkcionalnost sistemu. Ono što je bitno uočiti jeste to da šteta i obim napada često, mada ne i uvijek, zavise od motivacije napadača.

Rekreativci

Rekreativni hakeri su obično tinejdžeri koji traže izazov. U većini slučajeva oni ne čine veliku štetu. Obično ostavljaju poruke da su bili u sistemu ili se zadovolje plijenom koji je dovoljan kao dokaz da su uspješno izvršili napad. Nažalost, postoje i mnogo zlonamjernije verzije ovakvih napadača. Riječ je o digitalnim ili cyber vandalima, koji uzbuđenje nalaze u uništavanju ili rušenju sistema. Pošto je njihov motiv destrukcija, protiv ovakvih napadača se teško boriti.

Profiteri

Hakeri koji traže neku materijalnu korist su daleko opasniji. Jedan od razloga je to što obično na raspolaganju imaju vrlo sofisticiranu opremu. Pošto se može reći da je riječ o profesionalcima, njihovi napadi su obično i veoma kompleksni. Najopasniji profiteri su oni koji se bave industrijskom špijunažom. S obzirom na to da iza njih stoje druge velike kompanije, njihova sredstva su velika i obično raspolažu čitavim mrežama takozvanih zombi-kompjutera (tzv. Botnet mreže), koje mogu upotrijebiti za izvođenje vrlo kompleksnih napada. Ovakvi hakeri idu tako daleko da se zapošljavaju u kompanijama “žrtava” kako bi lakše došli do potrebnih resursa. Postoje i tzv. freelance industrijski špijuni, koji svoje usluge nude onome ko više plati ili jednostavno nude svoje usluge u vidu napada ili prethodno nelegalno nabavljenih podataka na internetskim aukcijama.

Osvetnici

Napadači koje pokreću osvetnički motivi mogu biti veoma opasni. Ovakvi napadi su motivisani jakim emocijama, što znači da će utrošiti svaki mogući resurs kako bi ostvarili svoje ciljeve. Napadači su obično: bivši zaposlenici, zaposlenici koji nisu zadovoljni svojim statusom ili visinom plate, te oni koji imaju nešto lično protiv same organizacije ili nekih njenih članova. Sretna okolnost je to što ova grupa spada u tehnički slabije obučene napadače te što im emocije ometaju fokusiranost. Zbog toga je njihove napade lako otkriti i spriječiti.

Hibridni napadači

Ove tri kategorije se često preklapaju. Rekreativni haker koji smatra da poslodavac nije bio fer može upotrijebiti svoje inače neagresivno znanje kako bi “zadovoljio” pravdu. Ono što je važno jeste to da se na osnovu motivacije hakera može predvidjeti njegovo ponašanje. Iako je nemoguće predvidjeti koji tip hakera će napasti određeni sistem, moguće je pripremiti određene procedure odbrane za svaki određeni tip hakera. Također, moguće je pripremiti sistem za svaki od eventualnih vrsta napada.

KLASIFIKACIJA TIPOVA SIGURNOSNIH NAPADA

Tip sigurnosnog napada označava način na koji napadač pristupa tuđem kompjuteru, mreži ili informacionom sistemu, te šta radi kada dobije pristup. Glavni tipovi sigurnosnih napada su:

• Socijalni inženjering,
• Denial of Service (DOS) napadi,
• Scanning i spoofing,
• Iskorištavanje slabosti u mrežnim protokolima,
• Iskorištavanje slabosti u sistemu ili softveru,
• Trojanci, virusi i crvi.

Jedan od glavnih ciljeva sigurnosnih stručnjaka jeste što bolje razumijevanje svakog od ovih tipova sigurnosnih napada kako bi organizovali što bolju zaštitu kompjuterskog sistema.

Socijalni inženjering

Slično kao i pojam Social Networks, tako bi i pojam Social Engineering bilo ispravnije prevoditi kao „društveni inženjering“, ali se naziv „socijalni inženjering“ već ustalio u specijalističkoj literaturi. Za razliku od drugih napadačkih metoda, socijalni inženjering ne zahtijeva mnogo tehničkog znanja. Umjesto toga, ova vrsta napada iskorištava ljudske slabosti, a napadač, zapravo, koristi poznavanje psihologije i sociologije, te šarm, slatkorječivost i slične osobine. Socijalni inženjering je najlakše opisati kao vještinu manipulisanja ljudima. Napadač obično dobiva povjerenje legitimnog korisnika informacionog sistema, a onda iz njega izvlači potrebne podatke kao što su korisničko ime i šifra, ime ili adresa servera, verzija softvera, vrste sigurnosnih protokola koji se koriste i slično. Socijalni inženjering je, zapravo, najlakši način dobivanja neautorizovanog pristupa u neki sistem, bio on digitalan ili ne. Defcon, redovna godišnja konferencija hakera, organizuje takmičenja socijalnih inženjera, na kojima vježbaju svoje vještine. Kevin Mitnick, jedan od najpoznatijih hakera u istoriji, bio je vrhunski socijalni inženjer te je u nekoliko navrata priznao da je svoje najveće hakerske podvige ostvarivao upravo socijalnim inženjeringom. Zaštita od ovakve vrste napada, slično kao i sam napad, ne odvija se tehnološkim metodama, stoga je osoblje organizacije potrebno obučiti da se odupru takvim pokušajima. Naprimjer, korisnici sistema moraju znati da im legitimno sigurnosno osoblje nikada neće tražiti šifru sa kojom se prijavljuju na sistem iz jednostavnog razloga – oni već imaju taj podatak. Dakle, ako vam neko zatraži šifru, vrijeme je da obavijestite sigurnosno osoblje. Važno je imati na umu da socijalni inženjering nije tehnička vještina, i da ga na taj način treba tretirati prilikom planiranja sigurnosnog plana.

Digitalni otmičari

Iako je prvi takav napad zabilježen još 1989. godine, takozvani ransomware napadi su postali popularni u nekoliko posljednjih godina. Ovakav napad započinje širenjem virusa ili trojanskog crva koji zarazi kompjuter žrtve. Nakon toga najčešće slijedi enkripcija podataka na hard disku, čime žrtva više ne može pristupiti svojim podacima. Haker nakon toga upućuje zahtjev za plaćanjem otkupnine pod prijetnjom da će korisnikovi podaci ostati zauvijek enkriptovani. Osim enkripcije podataka, hakeri mogu spriječiti korisnike da koriste dijelove svog sistema. Ovakvi napadi mogu pogađati poslovne, ali i kućne korisnike, posebno ako nisu vični u korištenju tehnologije. Zabilježeni su i slučajevi u kojima su sami hakeri prijavljivali žrtve policiji kada su im na kompjuterima otkrivali dječiju pornografiju i druge slične nelegalne sadržaje. Situacije u kojima hakeri pomažu društvenoj zajednici su češće nego što se to može zaključiti iz izvještaja medija, pošto kriminalne aktivnosti privlače više pažnje javnosti, pa ih mediji stavljaju u prvi plan.

Što ranije prepoznavanje najčešćih sigurnosnih problema od ključne je važnosti jer ostavlja vrijeme za reagovanje na one rijetke sigurnosne probleme koji nisu poznati i kojima treba posvetiti mnogo više vremena. Zbog toga ćemo se prepoznavanju najčešćih sigurnosnih problema često vraćati u našim tekstovima. Za početak pozabavimo se onim baš osnovnim sigurnosnim problemima, koji ponekad na prvi pogled i ne okarakterišemo kao sigurnosni problem

Izvor: Goran Milić
E-mail: redakcija@asadria.com

Kada govorimo o IT sigurnosti, odnosno zaštiti informacionih sistema, na pamet će nam odmah pasti zli hakeri koji žele da nam ukradu podatke, mada se u posljednje vrijeme toj slici dodaje i neka zla kompanija ili neka druga organizacija koja stoji iza svega. Iako su ovakvi scenariji sasvim mogući i dovoljno česti da o njima treba razmišljati, stvarnost je ipak daleko manje glamurozna. Naime, velika većina obrisanih, promijenjenih ili na drugi način izgubljenih podataka su rezultat akcija zaposlenika ili drugog autorizovanog osoblja. Najveći postotak ovako izgubljenih podataka je rezultat slučajnog, odnosno nenamjernog djelovanja. Slučajne greške prilikom unosa podataka ili prilikom pristupanja mrežnim resursima, te jednostavna nemarnost prilikom korištenja kompjutera, servera ili mrežne opreme najčešći su razlog gubljenja podataka. Zbog toga je vrlo važno da sigurnosni plan uzme u obzir ovakve situacije, jer će se one dešavati gotovo svakodnevno.

Poznavanje korisnika

Da bi spriječili slučajno gubljenje podataka o kojem ovdje govorimo, sigurnosno osoblje mora poznavati svoje korisnike i stepen njihove obučenosti za rad sa informacionim sistemom. Onim korisnicima koji nemaju visok stepen tehničke obučenosti treba dati što je moguće manje pristupa osjetljivim podacima i opremi. Oni trebaju da imaju pristup samo onome što im je potrebno za obavljanje posla. Ovo se ponekad naziva i “princip najnižih privilegija”. Mnogo je mrežnih korisnika nenamjerno uništilo ili promijenilo važne podatke jednostavno pokušavajući da oslobode prostor na hard disku ili pokušavajući da riješe neki drugi problem na kompjuteru.

Edukacija i kontrola korisnika

Edukacija korisnika je najvažniji faktor kada je riječ o sprečavanju ovakvih sigurnosnih incidenata. Ovo ne mora obavezno da znači povećanje tehničkog znanja korisnika, iako i to može biti slučaj. Pretvaranje svih korisnika u napredne korisnike uglavnom nije dobra ideja. Ono što jeste dobra ideja je obuka korisnika da koriste propisane procedure i da strogo poštuju propisana pravila. Svaki korisnik treba da bude svjestan jednostavne činjenice da su te procedure i pravila kreirana kako bi im olakšala rad.

Kreiranje striktnih pravila i obučavanje korisnika samo su ponekad dovoljni. U drugim slučajevima potrebno je nadgledati korisnike. Ovo proizlazi iz jednostavne činjenice da je korisnicima često naporno da koriste propisane procedure, te da najčešće traže način da što prije završe posao. Zbog toga je potrebno nadgledanje rada korisnika, a u slučaju kršenja procedura potrebno je uskraćivanje resursa i primjena drugih metoda koje će na neki način prisiliti korisnike da stvari rade na ispravan i siguran način. Srećom, velika većina korisnika će ipak nastojati da poštuje procedure i pravila.

——————————————–

Interni sigurnosni problemi

Prema velikoj većini istraživanja koja su provedena o temi informatičke sigurnosti, interni sigurnosni problemi uzrokuju više štete od eksternih napada. Interni napadači su opasniji iz više razloga. Prije svega, oni znaju više o organizaciji i njenim internim strukturama, mreži, rasporedu zgrada, uobičajenim operativnim i sigurnosnim procedurama te drugim podacima do kojih im je mnogo lakše doći s obzirom da su uključeni u rad organizacije. Drugi razlog je to što već imaju određeni nivo pristupnih dozvola, pa im je lakše doći do sigurnosnih podataka i informacija o sigurnosnim problemima. Na kraju, interni napadači znaju koje se informacije nalaze u sistemu, kako ih mogu iskoristiti i kako mogu prouzrokovati najviše štete.

Dobra sigurnosna strategija podrazumijeva kombinaciju tehnologija, upravljanje operacijama organizacije i rukovođenje ljudima. U velikom broju slučajeva ljudi predstavljaju najslabiju kariku u lancu. Zbog toga je veoma važno voditi računa o ljudima i to od najranije moguće tačke – trenutka zaposlenja. To jednostavno znači da je prilikom odabira zaposlenika vrlo važno  dobro proučiti karakter zaposlenika. Radna okolina trebala bi njegovati visoke moralne kodekse, jer je u velikom broju slučajeva do sigurnosnih problema dolazilo iz osvete zaposlenika koji su se osjećali premalo plaćeni, necijenjeni ili preskočeni u promociji.

Jedna od najefikasnijih metoda za sprečavanje internih sigurnosnih problema je nadgledanje informacionog sistema i bilježenje svih sigurnosnih događaja, bilo da je riječ o uobičajenim svakodnevnim operacijama ili neuobičajenoj aktivnosti. Na taj način je moguće lako utvrditi kada i kojim objektima je pristupano, koji korisnici su im pristupali, da li su prekoračivali svoja prava, kada se korisnik prijavio i odjavio sa kompjuterske mreže i slično. Jedini problem je pronaći pravu mjeru prilikom određivanja parametara koji će se pratiti. Napredna firewall rješenja mogu djelimično pomoći u sprečavanju internih upada tako što će spriječiti zaposlenike da se spajaju na opasne web-stranice ili da šalju specifične mrežne pakete izvan interne mreže. Međutim, to nije dovoljno, jer zaposlenici mogu iznijeti podatke na druge načine, putem CD ili DVD optičkih diskova, flash memorije ili jednostavnim štampanjem povjerljivih podataka. Zbog toga se u visokosigurnim okolinama zabranjuje korištenje medija za pohranu podataka, te se strogo kontroliše šta, kada i kako se štampa. U sve ovo treba uključiti i metode fizičke zaštite kao što su korištenje identifikacionih kartica za pristup serverskim sobama i drugim osjetljivim resursima. Enkripcija podataka još je jedan od vrlo važnih resursa koji stoji na raspolaganju sigurnosnom osoblju.

Eksterni sigurnosni problemi

Eksterni sigurnosni problemi često se nazivaju i hakerski upadi, a podrazumijevaju neovlašten ulazak u informacioni sistem, odnosno kompjutersku mrežu koja je osnova tog sistema. Ovakvi napadi u posljednje vrijeme dobivaju ogromnu medijsku pažnju, pa se ostali tipovi napada pomalo i zanemaruju. Posebno su eksponirani napadi na velike multinacionalne kompanije i državne organe kao što su to bili napadi na Sony, JP Morgan, Pentagon, iranska industrijska postrojenja te nedavni napad na web-stranicu za preljubnike AshleyMadison, nakon čega su objavljeni sigurnosni podaci o nekoliko miliona korisnika.

Jedna od bitnijih razlika između internih i eksternih napada je ta što se eksterni napadi tretiraju kao kršenja zakona, pa se protiv “vanjskih hakera” obično podižu i kriminalne optužnice. Druga važna osobina eksternih sigurnosnih problema je fokusiranost na tek nekoliko važnih komponenti informacionog sistema. Obično postoji samo nekoliko tačaka koje su pogodne za hakerske upade, pa je sigurnosnim stručnjacima lakše da se brane. Bitna potvrda ove tvrdnje je to što napadači mnogo češće pokreću napade koji se nazivaju socijalni inženjering – povjerljive informacije pokušavaju dobiti od zaposlenika i drugih osoba koje imaju veze sa metom napada, te često uopšte i ne koriste tehnička sredstva jer je njihova upotreba skupa i vremenski neefikasna.

Vrlo je važno napomenuti da prilikom planiranja odbrane od eksternih upada nikada ne treba zavisiti samo od firewall sistema, što je prilično čest slučaj. Da bi bio efikasan, sigurnosni plan mora se sastojati od više komponenti, pa tako tehnička sredstva predstavljaju samo dio zaštite. Naprimjer, šta se dešava ako napadači ipak nekako uspiju da savladaju firewall zaštitu? Da li postoje sredstva kojima im se može otežati ili potpuno onemogućiti stvaranje štete na informacionom sistemu, odnosno iznošenje povjerljivih informacija?

Posebno su opasni eksterni napadi kada napadač dobije interni pristup informacionom sistemu. Obično se radi o fizičkoj provali u prostor organizacije, ali se takav pristup može ostvariti i čisto digitalnim putem. Ovakve upade je izuzetno teško otkriti dok već nije prekasno. Taktičko planiranje je ključna osobina dobrog sigurnosnog stručnjaka, koji mora stalno razmišljati u formatu “ako/onda”. Ako dođe do takvog i takvog napada, onda je potrebno da uradimo to i to. Ovako postavljeno razmišljanje će dovesti do stvaranja efikasnog sigurnosnog plana. Dobar sigurnosni plan je veoma detaljan zbog jednostavne činjenice da u stanju uzbune nema mnogo vremena za razmišljanje. Na kraju, za dobar sigurnosni plan potrebno je detaljno poznavanje tehnologije koja se koristi, zbog čega se preporučuje da sigurnosni plan kreiraju dvije ili više osoba kako bi se u njega ugradilo što više tehničkih detalja.

Ako je cilj zaštite informacionog sistema kompletna kontrola svih podataka koji ulaze i izlaze iz kompjuterske mreže, potrebno je definisati sve objekte u tom sistemu koje treba zaštititi. Danas se informacioni sistemi sastoje iz mnoštva vrlo različitih komponenti, pa je definicija svih objekata u njemu veoma složen posao. Međutim, postoje osnovne smjernice kojima se treba voditi kada se definiše plan zaštite IT sistema

Izvor: Goran Milić
E-mail: editorial@asadria.com

U prošlome tekstu objasnili smo šta je to fizička kontrola informacionog sistema i zašto je ona tako važna. Ovaj aspekt sigurnosti informacionog sistema je veoma važan, a najčešće je i zanemaren, pa ćemo mu posvetiti još malo pažnje. Već smo govorili o zaštiti nekih osnovnih komponenti informacionog sistema – servera, radnih stanica, mrežnih uređaja i mrežne infrastrukture. Pogledajmo i ostale bitne komponente.

Zaštita bežičnih mrežnih uređaja

Iako smo mrežne uređaje i mrežnu infrastrukturu već spominjali, bežične mrežne uređaje moramo izdvojiti budući da su oni podložniji sigurnosnim napadima u poređenju sa žičanim mrežnim uređajima. Razlog njihove velike ranjivosti je jednostavan – za komunikaciju koriste elektromagnetni spektar kojem može pristupiti svako, bez mogućnosti fizičke izolacije, koju, naprimjer, ima mrežna infrastruktura koja koristi bakarne ili optičke kablove.

Druga važna karakteristika bežičnih mrežnih uređaja, odnosno bežičnih mreža u cjelini, jeste ogroman rast popularnosti ove vrste uređaja, odnosno tog tipa mrežne konekcije. U urbanim sredinama gotovo da svaki stanovnik posjeduje bar jedan bežični mrežni uređaj. Što se, pak, ruralnih područja tiče, bežične mreže predstavljaju odličnu alternativu u slučaju da je kablove teško ili nemoguće provesti. Na kraju, osim elektromagnetnog ili radiospektra, za bežičnu komunikaciju se može koristiti i laserska i infracrvena tehnologija.

Moglo bi se reći da bežične mreže “koriste vazduh za komunikaciju”, što nije tačno, ali jako dobro oslikava problem koji ove mreže imaju. Naime, kao što je i vazduh dostupan svima, tako je i komunikacija koja se obavlja bežičnim mrežama dostupna svima. I onima koji tu komunikaciju koriste u legitimne svrhe i onima koji imaju loše namjere.

Jedina zaštita od prisluškivanja bežičnog mrežnog saobraćaja je korištenje enkripcije, kojom se mrežni saobraćaj čini nečitljivim za sve osim za legitimne učesnike u komunikaciji. Postoji nekoliko enkripcijskih standarda koje je moguće koristiti, ali se trenutno preporučuje upotreba WPS2 standarda u kombinaciji sa AES enkripcijom. U slučaju da je sigurnost mrežnog saobraćaja apsolutni prioritet, ne preporučuje se korištenje javno dostupnih standarda 802.11x (danas su najpopularnije mreže 802.11g i 802.11n, a najnoviji i najbrži standard je 802.11ac). Umjesto njih, preporučuje se upotreba vlasničkih standarda čija dokumentacija nije javno dostupna. Na kraju, moguće je i potpuno zabraniti bežičnu komunikaciju te koristiti samo žičane komunikacione kanale koje je mnogo lakše kontrolisati.

Svemu ovome treba dodati i korištenje telekom-operatera kao posrednika za ostvarivanje konekcije, bilo da je riječ o glasovnoj komunikaciji ili o prijenosu podataka. Ovaj način komunikacije je donekle sigurniji jer se uvijek tačno zna ko učestvuje u komunikaciji, ali i dalje predstavlja potencijalni sigurnosni problem. Kao i uvijek kada u sistemu postoji i treća strana, nikada ne možete biti sigurni da li neko na strani telekom-operatera prisluškuje vašu komunikaciju, pa i na taj aspekt sigurnosti treba obratiti pažnju.

Zaštita mobilnih uređaja

Poput zaštite bežičnih mrežnih uređaja, i zaštita mobilnih uređaja sve je potrebnija zbog velikog porasta njihove popularnosti. Tradicionalno su laptopi bili glavni predstavnici ove kategorije uređaja, ali pametni telefoni i tableti praktično su preuzeli glavnu riječ kada je mobilni tip uređaja u pitanju.

Fizička zaštita mobilnih uređaja trenutno predstavlja veliki problem za IT stručnjake jer još ne postoji idealno rješenje za udaljeno upravljanje njima. Dio problema je veliki broj različitih proizvođača ovih uređaja, a drugi dio je jako velika brzina kojom se tehničke karakteristike ovih uređaja unapređuju, pa je sigurnosnim stručnjacima veoma teško da razviju odgovarajuće procedure, specifikacije i standarde.

S obzirom da se na mobilnim uređajima često nalaze povjerljivi podaci, zaštita od krađe jedan je od glavnih problema njihove fizičke zaštite. Jedino praktično rješenje je udaljeno upravljanje uređajima i brisanje podataka u slučaju prijavljivanja krađe. Kao što smo već rekli, jedinstveno i sveobuhvatno rješenje za ove probleme trenutno ne postoji, mada velike svjetske kompanije kao što su Microsoft, Apple, Google, Samsung, Blackberry i druge aktivno rade na njemu.

Ovde svakako treba spomenuti i koncept poznat kao BYOD (Bring Your Own Device), koji označava korištenje privatnih uređaja zaposlenika u poslovne svrhe, čime se problem zaštite poslovnih podataka dodatno usložnjava.

Za sada se preporučuje korištenje enkripcije za sve podatke na uređajima, korištenje jakih šifri te drugih biometrijskih podataka za autentifikaciju i autorizaciju korisnika (otisci prsta i slično). Postoje i specijalizovani servisi koji prate fizičku lokaciju uređaja i koji mogu pomoći prilikom gubljenja uređaja.

————————

Zaštita papirne dokumentacije

Stručnjaci za mrežnu sigurnost i sistem-administratori obično se koncentrišu na zaštitu podataka u elektronskoj formi, ali treba biti svjestan jednostavne činjenice da zlonamjerni korisnici mogu doći do važnih podataka štampanjem povjerljivih digitalnih informacija ili pronalaženjem već odštampanog materijala. Slaba je korist od implementacije sigurnosnih pravila o složenosti šifri i detaljne kontrole pristupa ako zaposlenici mogu jednostavno odštampati povjerljive podatke i ostaviti ih na svom stolu. Ili, još gore, baciti te papire u obližnji kontejner za smeće, koji je dostupan svima. Postoji čak i poseban termin “ronjenje po kontejnerima” (engl. dumpster diving), koji označava dolazak do povjerljivih informacija na ovaj način. Sve ovo možda zvuči smiješno, ali je, zapravo, jedan od najčešćih načina na koje zlonamjerni korisnici dolaze do povjerljivih podataka.

Ako povjerljivi podaci već moraju biti odštampani, što treba izbjegavati u najvećem mogućem broju slučajeva, potrebno je voditi računa o njihovom smještaju. Ne treba zaboraviti ni uništavanje takve dokumentacije zato što danas više nije dovoljno korištenje rezača papira, već se preporučuje miješanje isječenog papira sa vodom kako bi se spriječilo njegovo ponovno sastavljanje.

——————————-

 Zaštita prijenosnih medija za prijenos podataka

Još jedan način zaobilaženja složenih i dobro provjerenih sigurnosnih IT planova je snimanje podataka na prijenosne medije. Nekada diskete, CD i DVD mediji, a danas prijenosni hard diskovi i flash memorije predstavljaju ozbiljnu sigurnosnu prijetnju, kako zbog namjernog iznošenja povjerljivih informacija tako i zbog eventualne krađe tih medija. I ovdje se kao najbolje rješenje pokazuje enkripcija i korištenje složenih šifri za pristup podacima.

Treba obratiti pažnju i na činjenicu da jednostavno brisanje podataka, pa čak i formatiranje ovih medija nije dovoljno. Postoje specijalizovani softveri, a za ozbiljnije namjene i specijalizovani hardverski uređaji koji mogu vratiti upisane podatke čak i nakon nekoliko brisanja. Zato se preporučuje korištenje posebno dizajniranog softvera koji obrisane podatke prepisuje slučajnim podacima više desetaka puta. Na kraju, sigurnosna praksa nalaže da se čak i u slučaju rashodovanih uređaja povede računa o hard diskovima i drugim uređajima za pohranu podataka, jer i oni mogu biti iskorišteni za ostvarivanje pristupa povjerljivim podacima.

Kao što možete zaključiti iz onoga što je napisano u ovom i prethodnom tekstu, fizička zaštita informacionih sistema je veoma složen proces koji zahtijeva mnogo planiranja i terenskog testiranja. S obzirom na multidisciplinarnost koju zaštita IT sistema zahtijeva, kreiranje dobrog sigurnosnog plana obavezno treba prepustiti stručnom i iskusnom sigurnosnom timu.

Ako je cilj zaštite informacionog sistema kompletna kontrola svih podataka koji ulaze i izlaze iz kompjuterske mreže, potrebno je definisati sve objekte unutar tog sistema koje treba zaštititi. Danas se informacioni sistemi sastoje iz mnoštva vrlo različitih komponenti, pa je definicija svih objekata u njemu vrlo složen posao. Međutim, postoje osnovne smjernice kojima se treba voditi kada se definiše plan zaštite informacionog sistema

Piše: Goran Milić
E-mail: redakcija@asadria.com

Jedan od najvažnijih, ali istovremeno i najčešće zanemarenih aspekata sigurnosti informacionog sistema je fizička kontrola. Lako je uvidjeti zašto je to tako – sistemski i mrežni administratori se u svojim svakodnevnim obavezama bave složenim softverskim i hardverskim sistemima, pa fizičku zaštitu, odnosno direktni pristup kompjuterskoj opremi, serverima, mrežnim uređajima i drugim komponentama informacionog sistema često uopšte i ne razmatraju. Ili, u boljem slučaju, fizičku zaštitu prepuštaju drugim odjelima organizacije koji se bave fizičkom zaštitom ostale imovine. Zbog kompleksnosti modernih informacionih sistema ovakav pristup nikako nije dobar jer u velikom broju slučajeva upravo fizička krađa neke komponente, recimo hard diska iz servera, predstavlja najlakši način dolaska do povjerljivih informacija. Još jedan dobar primjer je odlaganje smeća – šta ako se u obližnjem kontejneru za smeće mogu pronaći odbačeni finansijski izvještaji kompanije čijim se dionicama trguje na berzi?

Osnovne komponente informacionog sistema

Vrlo je važno definisati takozvani “vanjski perimetar” informacionog sistema, koji, zapravo, predstavlja popis njegovih komponenti koje se moraju fizički zaštititi. Spisak koji slijedi sadrži najosnovnije komponente informacionog sistema za koje treba napraviti plan zaštite:

• serveri
• radne stanice (desktop i laptop kompjuteri)
• mrežni uređaji (ruteri, switchevi, pristupne tačke)
• mrežna infrastruktura (kablovi, utičnice, enkripcija mrežnog saobraćaja)
• bežične mreže (enkripcija mrežnog saobraćaja, pristupne tačke)
• mobilni uređaji (pametni telefoni, tablet uređaji, laptopi)
• štampani mediji (izvještaji, analize, dopisi, fakture)
• prenosni mediji (CD, DVD, USB flash memorija, prenosni hard diskovi)

Sve ove komponente zahtijevaju određeni stepen fizičke zaštite. Naprimjer, server vjerovatno neće niko iznositi iz prostora organizacije, ali je važno kontrolisati ko ima fizički pristup serverskoj opremi. Prenosni mediji, kao i mobilni uređaji se, sa druge strane, lako i često iznose iz prostorija organizacije, a u većini slučajeva IT i sigurnosno osoblje ne može znati kakvi podaci se nalaze na njima.

Zaštita servera

File serveri na kojima se smještaju svi podaci jedne organizacije te infrastrukturni serveri na kojima se nalaze ključni servisi od kojih zavisi funkcionisanje organizacije, kao što su oni za autentifikaciju korisnika i kontrolu pristupa, moraju biti smješteni na veoma sigurnim lokacijama. Kao apsolutni minimum navode se zaključane sobe u koje pristup imaju samo oni koji direktno rade sa fizičkim komponentama serverskih uređaja. Pristup ovim prostorijama trebao bi se bilježiti, pa se preporučuje korištenje elektroničkih brava, magnetnih kartica, pristupnih šifri, skeniranje otisaka prstiju i slično. Također, poželjno je da ove prostorije budu pod nadzorom videokamera i alarmnih sistema. Posebno je potrebno obratiti pažnju na zaštitu od požara, poplava i sličnih katastrofa. Serverski uređaji prilikom svog rada generišu mnogo toplote, tako da je serverske sobe nemoguće dizajnirati bez rashladnih uređaja. S obzirom da se na serverima nalaze praktično svi podaci o radu organizacije, u slučaju banaka, osiguravajućih kuća, državnih organa i sličnih institucija preporučeno je kreiranje iste ili bar slične serverske sobe na udaljenoj lokaciji, koja se naziva Disaster recovery site. Na ovoj “rezervnoj” lokaciji se dupliraju podaci i hardverska konfiguracija (ili bar u najpribližnijoj mogućoj mjeri) kako bi se u slučaju poplava, požara, zemljotresa i sličnih prirodnih katastrofa funkcionisanje organizacije moglo nastaviti ili ponovo uspostaviti u najkraćem mogućem roku. Rezervna lokacija se pravi na udaljenosti 30 ili više kilometara od originalne.

Zaštita radnih stanica

Mnogi IT sigurnosni planovi se fokusiraju isključivo na servere, a pri tome ignorišu radne stanice koje imaju mrežni pristup do tih servera. Vrlo često se dešava da zaposlenici ostavljaju svoje kompjutere nezaštićene kada odlaze na pauze za ručak ili na kraju radnog dana. Također, često je relativno lako doći do kompjutera na ulazu u neki objekat (čuvar, recepcioner i slično). U slučaju da osoba koja tu radi nije prisutna (odlazak do toaleta, neki radni zadatak i slično), moguće je ostvariti pristup internim servisima informacionog sistema, jer nije napravljena odjava (logout) sa sistema.

Dobar sigurnosni plan uključuje zaštitu svih radnih stanica na kojima se trenutno ne nalazi neki korisnik. Korisničko ime i šifra omogućavaju ne samo autentifikaciju i autorizaciju korisnika nego i zaključavanje radne stanice kada korisnik nije tu kako bi se spriječilo neovlašteno korištenje resursa informacionog sistema. Međutim, korištenje korisničkog imena i šifre nije dovoljno, jer čak i sam fizički pristup kompjuteru koji je povezan na kompjutersku mrežu može olakšati posao napadačima. Zbog toga je kontrola pristupa u objektima neke organizacije zapravo dio zaštite IT sistema.

Dobar sigurnosni plan sadrži takozvani Password policy, odnosno minimalnu kompleksnost korisničkih šifri, kako bi se otežalo ili onemogućilo njihovo pogađanje (apsolutno je zabranjeno korištenje datuma rođenja, imena najbližih članova familije i slično). U posljednje vrijeme se insistira na dužini šifre, a ne na kombinaciji slova, brojeva i specijalnih karaktera. U slučaju potrebe za višim nivoom sigurnosti, mogu se upotrebljavati i dodatni uređaji za autentifikaciju korisnika, kao što su pametne kartice, USB stikovi, token generatori i slično.

Na kraju, postoje i specijalne brave koje onemogućavaju vađenje hard diskova iz radnih stanica, pošto se i na njima mogu nalaziti povjerljivi podaci. Slične brave postoje i za sprečavanje korištenja USB flash memorija ili optičkih diskova.

Zaštita mrežnih uređaja

Routeri, switchevi, pristupne tačke i drugi mrežni uređaji moraju biti fizički zaštićeni. Važno je zapamtiti da uređaji koji nemaju monitor na kojem se mogu vidjeti podaci i dalje ostaju podložni napadima. Čak i samo onemogućavanje rada ovakvih uređaja (fizičkim uništenjem ili nekim drugim) može nanijeti ozbiljne štete organizaciji. U današnje vrijeme praktično svi dijelovi organizacije u manjoj ili većoj mjeri zavise od ispravnog rada informacionih sistema, tako da čak i prestanak rada nekog njegovog manjeg dijela može prouzrokovati ozbiljnu štetu.

Fizički pristup mrežnim uređajima omogućava obučenim napadačima skupljanje informacija koje saobraćaju kompjuterskom mrežom. Za tako nešto više nije potrebna ni posebna oprema, dovoljan je laptop sa odgovarajućim softverom kao što je Wireshark (takozvani network analyzer ili sniffer alati) i mrežna konekcija. Mnogi mrežni uređaji imaju i posebne portove za administraciju, pa ako napadač ima pristup takvom portu, upad u sistem postaje lakši. Čak i u slučaju da je mrežni administrator konfigurisao mrežne uređaje da onemogući takve napade, fizički pristup mreži može omogućiti napadaču da značajno uspori ili čak u potpunosti onemogući mrežni saobraćaj, što je ravno isključenju ključnih komponenti informacionog sistema. Zbog svega toga mrežnu opremu je najbolje držati “pod ključem” baš kao i mrežne servere jer je riječ o ključnim komponentama informacionog sistema.

Zaštita mrežne infrastukture

Mrežni uređaji kao što su routeri i switchevi klasificiraju se kao aktivna mrežna oprema, dok su kablovi, utičnice i patch paneli pasivna mrežna oprema. Gotovo sve rečeno za mrežne uređaje važi i za mrežnu infrastrukturu, ali je mrežne kablove daleko teže zaštititi zbog njihove dužine i rasprostranjenosti kroz objekte. Na tržištu su lako dostupni takozvani “tapping” uređaji, koji se jednostavno postave na mrežni kabl i “prisluškuju” sav mrežni saobraćaj koji prolazi kroz njih. To ponovo potvrđuje da je kontrola pristupa objektima neke organizacije zapravo dio zaštite IT sistema. Optički mrežni kablovi mnogo su teži za takve vrste prisluškivanja, što je prava sreća jer se oni koriste za povezivanje udaljenih objekata, pa su još i više izloženi vanjskim napadima. Ipak, ni oni nisu potpuno imuni na prisluškivanje, pa njihovo postavljanje zahtijeva pažljivo planiranje.

Od ovog broja počinjemo sa serijom tekstova posvećenih IT, digitalnoj ili cyber sigurnosti. Ova tema postaje sve važnija kako sve veći broj uređaja dobiva mogućnost TCP/IP, odnosno internetske konekcije, čime, osim raznih pogodnosti, dobiva i mogućnost da bude napadnuta i iskorištena za stvaranje štete vlasniku ili trećim stranama. Kako je ovo prvi u seriji tekstova, počet ćemo sa osnovnim pojmovima koji su neophodni da bismo lakše razumjeli naredne tekstove.

Izvor: Goran Milić
E-mail: redakcija@asadria.com

Uobičajeno je da se u ovakvim tekstovima počne od definisanja osnovnog pojma koji je predmet pisanja. Međutim, kako vjerovatno i sami možete pretpostaviti, definisati IT sigurnost u jednoj ili dvije rečenice vrlo je teško. Oblast cyber sigurnosti je veoma široka i, što je još važnije, riječ je o multidisciplinarnoj vještini. Zbog toga je veoma teško biti sigurnosni stručnjak za digitalne tehnologije – potrebno je detaljno poznavanje mrežnih tehnologija, operativnih sistema, aplikativnog softvera, hardvera i drugih digitalnih tehnologija, ali i disciplina kao što su menadžment i fizička sigurnost. Svakako ne treba zaboraviti psihologiju, jer su najčešće baš ljudi najslabija karika u sigurnosnom lancu. Sve ovo se dodatno usložnjava brzim razvojem digitalnih tehnologija, što je posebno izraženo posljednjih godina razvojem takozvanog Internet of Things ili Internet of Everything fenomena, koji obećava da će praktično svaka sprava u budućnosti biti povezana na internet.

Sigurnost, najvažnija disciplina

Povećanjem broja uređaja koji su spojeni na internet eksponencijalno se povećava i broj sigurnosnih prijetnji koje se otvaraju potencijalnim zlonamjernim napadačima. Zbog svega ovoga digitalna sigurnost postaje jedna od najvažnijih disciplina informatičke nauke. Kada govorimo o digitalnoj sigurnosti, četiri su cilja koja sigurnosni stručnjaci nastoje ispuniti:

• Kontrola fizičke dostupnosti kompjuterima, serverima i kompjuterskoj mreži,
• Zaštita od slučajnog brisanja, modifikacije ili kompromitovanja podataka,
• Detekcija i prevencija namjernih internih sigurnosnih upada,
• Detekcija i prevencija vanjskih sigurnosnih upada, koji se često nazivaju hakerski napadi.

Ako bismo se vratili korak unazad, pa pokušali definisati samu riječ “sigurnost”, najčešće bismo došli do fraze “nepostojanje rizika ili opasnosti”. Ovakvu definiciju je prilično teško primijeniti na digitalnu sigurnost s obzirom da je u današnjem svijetu sveopšte povezanosti praktično nemoguće omogućiti apsolutnu sigurnost. Ili, kako kaže jedna stara šala kompjuterskih stručnjaka – jedini siguran kompjuter je isključen kompjuter. Mada danas ni to više nije moguće tvrditi, jer postoje uređaji koji mogu očitati stanje kompjuterske memorije čak i kada su memorijski čipovi izvađeni iz kompjutera. Ova metoda se koristi za dobavljanje kriptografskih ključeva koji se čuvaju u memoriji dok kompjuter radi, a jako je dobar primjer multidisciplinarnosti digitalne sigurnosti – u ovom primjeru u igri je fizička sigurnost, poznavanje hardvera te kriptografija.

Znanje je moć

Gornji podnaslov danas je već čuveni moto hakera (uz, također, poznatu krilaticu: “Informacija želi da bude slobodna!”). Međutim, riječ je o univerzalnoj istini koja važi ne samo za one koji pokušavaju doći do podataka koji nisu njihovi već i za one koji te podatke pokušavaju zaštititi. Prvi i osnovni korak za pobjedu u nekom ratu, a osiguravanje kompjuterskog ili bilo kakvog drugog sistema je ništa drugo nego konstantni rat, jeste poznavanje neprijatelja. Onaj koji bolje poznaje slabosti svog neprijatelja ima veće šanse za pobjedu. Da bi se zaštitio neki digitalni sistem, bez obzira da li je riječ o jednom uređaju ili kompjuterskoj mreži od nekoliko desetaka hiljada uređaja, potrebno je znati ko napada vaš sistem, zašto to radi i kako to radi. Naravno, do ovih informacija nije lako doći, jer su i sami napadači svjesni da ih moraju što bolje zaštititi. Moglo bi se reći da je digitalna sigurnost neprestana igra mačke i miša u kojoj sudionici konstantno mijenjaju uloge. Zbog toga mnogi sigurnosni stručnjaci savjetuju da je najbolje učiti od samih napadača, odnosno hakera. Knjige, tekstovi, korak po korak vodiči, forumi, mailing liste, chat serveri i ostala mjesta na kojima se skupljaju hakeri su najbolja mjesta za skupljanje znanja, pa biste na ovakvim mjestima lako mogli pronaći više dobronamjernih sistemskih i mrežnih administratora nego zlonamjernih hakera. Kažemo “mogli” jer svako od njih dobro krije svoj identitet, pa nikada niste sigurni ko je sa druge strane komunikacionog kanala.

Svakako treba napomenuti da danas hakeri više ne djeluju kao pojedinci, kao što je to bio slučaj u ranim danima interneta. Danas je obično riječ o dobro organizovanim grupama, koje vrlo često finansiraju državne agencije ili organizovani kriminal. Zbog toga su njihovi kapaciteti često veći od žrtvinih, te u određenim situacijama nema druge nego isključiti sistem. Ovakav slučaj nedavno je zadesio japanski Sony, koji nekoliko mjeseci nije mogao osposobiti vlastitu kompjutersku mrežu, a sve zbog vrlo sofisticiranog napada, koji na kraju i nije do kraja rasvijetljen.

Napadački trokut

Sigurnosni stručnjaci, bez obzira da li je riječ o digitalnim ili nekim drugim sistemima, često koriste model “napadačkog trokuta” kako bi opisali uslove koji se moraju ispuniti da bi došlo do napada. Sva tri uslova moraju biti ispunjena da bi se napad dogodio, pa ovu činjenicu koriste i oni koji rade na zaštiti sistema kako bi smanjili mogućnost napada. Tri ugla napadačkog trokuta su:

– Motiv: napadač mora imati motiv da bi napao neki sistem. Motiv mogu predstavljati materijalni interesi, informacije (pošto živimo u „informacijskom dobu“, danas su informacije najvrednija roba), a ponekad i puka “slava” koju napadač stječe u svojoj sredini. U slučaju da motiva nema, napadač će potražiti neki drugi cilj.

– Sredstva: napadač mora imati sredstva kojima će izvršiti napad. Ponekad mu je potreban samo jedan kompjuter, nekada nekoliko hiljada kompjutera povezanih u takozvane botnet mreže, a ponekad je dovoljna i vještina manipulacije ljudima (primjena psihologije). Ono što u svakom slučaju mora postojati je znanje koje napadač koristi da bi došao do cilja.

– Prilika: napadač mora imati priliku da izvrši napad, bilo da je riječ o propustima u sigurnosnom planu, takozvanim “rupama” u softveru, lošoj konfiguraciji opreme ili nekom drugom razlogu. Ako ne postoji prilika, napadač ne može izvršiti napad.

Jasno je da se rad sigurnosnih stručnjaka najviše bazira na samoj prilici, pošto na motiv i sredstva napadača teško mogu utjecati. Međutim, informacije o motivu i sredstvima mogu biti dragocjene za zaustavljanje napada ili otkrivanje napadača.

Motiv, sredstva i prilika moraju postojati da bi došlo do sigurnosnog napada.

Smanjivanje prilike za napad ključni je posao svakog sigurnosnog stručnjaka. Kako smo već rekli, kreiranje apsolutno sigurnog sistema je nemoguće iz mnogo razloga, pa je cilj sigurnosnih stručnjaka da stvore sistem koji je najmanje primamljiv potencijalnim napadačima. To znači da pažljivim planiranjem i strogom kontrolom sigurnosni stručnjaci mogu kreirati sistem koji je komplikovaniji za napad od drugih sličnih sistema i na taj način smanjiti broj pokušaja, što je već prilično velik uspjeh.

Venom – aktuelni sigurnosni propust prijeti modernim virtualizacijskim serverima

Kao ilustracija koliko je, zapravo, težak posao sigurnosnog stručnjaka u digitalnom svijetu može poslužiti upravo otkriveni sigurnosni propust nazvan “Venom” (engl. otrov). U trenutku pisanja ovog teksta (sredina mjeseca maja) upravo su objavljene informacije o ovom sigurnosnom propustu koji je kategorisan kao “zero day” propust, što znači da za njega trenutno ne postoji takozvana “softverska zakrpa”, koja sprečava iskorištavanje ovog sigurnosnog propusta.

Riječ je o grešci u softveru za upravljanje virtualnim floppy diskovima, koja omogućava obaranje virtualizacijskog softvera, te dobivanje prava upravljanja drugim virtualnim mašinama koje su pokrenute na serveru. Ovaj sigurnosni propust prisutan je na svim virtualizacijskim platformama koje koriste QEMU emulator, od kojih su najpoznatiji Xen, KVM i Oracle VirtualBox. VMware i Microsoft Hyper-V, najpoznatije komercijalne virtualizacijske platforme, nisu podložne ovom propustu. Venom se po ozbiljnosti i količini servera koje zahvata poredi sa Heartbleed propustom, koji je 2014. godine proglašen jednim od najvećih sigurnosnih propusta u historiji digitalne sigurnosti.