Ta niedoceniana integralność (i nie tylko)

W trakcie wielu projektów obserwowałem specyficzny rozdział dotyczący pojmowania różnych aspektów bezpieczeństwa: poufności, integralności i dostępności (że skoncentruję się na tych podstawowych). Potężna część osób – studentów czy klientów przede wszystkim utożsamia bezpieczeństwo z poufnością. Coś jest bezpieczne jeżeli inni tego nie znają – tak można podsumować definicję bezpieczeństwa w ich wykonaniu. Przy lekkim naprowadzeniu dość szybko udaje nam się podkreślić aspekt dostępności. Jednak osoby, które dopiero zaczynają zajmować się bezpieczeństwem często nie są w stanie podkreślić istotności „integralności” dla ich pracy czy zadań wykonywanych przez ich pracodawców.

Wczorajsze zamieszanie z Play jest świetnym przykładem na to, że integralność danych potrafi stać się niezmiernie istotną kwestią nie tylko dla IT, ale również dla przedstawicieli działów biznesowych. Nie chcę kopać leżącego (zarówno w tej kwestii jak i komunikacji kryzysowej) – inni już to zrobili, więc tylko dodam parę wniosków. Tak często niedoceniana integralność danych może spowodować wielkie straty wizerunkowe. Może też doprowadzić do bardzo poważnych problemów prawnych, gdyż zdziwiłbym się gdyby Play nie został przez przynajmniej niektórych z klientów pozwany za naruszenie tajemnicy korespondencji – MMS w końcu do takich należy. Nie jest przypadkiem, że awaria miała miejsce w niedzielę – soboty to w końcu bardzo popularny dzień na wdrażanie wszelkiego rodzaju poprawek. Niemniej dobrze przygotowana poprawka po pierwsze jest odpowiednio przetestowana na środowiskach testowych, po drugie jest odpowiednio zweryfikowana po wdrożeniu jej na środowisko testowe a po trzecie zawiera przygotowany plan czynności na wypadek niepowodzenia.

W tym przypadku nie zadziałały wszystkie z tych elementów poddając w zapytanie jakość procesu zarządzania zmianą oraz jego integrację z procesem zarządzania incydentami i dalej zarządzania kryzysowego. Play powinien teraz wyciągnąć wnioski i dokonać szybkich zmian by podkreślić swoją wiodącą rolę wśród polskich telekomów.

.

Ślepe zaufanie do komputerów

Obróbka znacznej ilości danych może przyprawić o ból głowy. Albo wręcz odebrać chęć do czegokolwiek. Z pomocą przychodzą wtedy komputery, które automatycznie pozbawiają nas tego typu problemów - sprawnie i szybko zrobią zadanie za nas.
W końcu są inteligentne, programowane przez bardzo wysokiej klasy kompetentnych fachowców, bazujących na wymaganiach tworzonych przez jeszcze bardziej kompetentnych specjalistów.
Wszystko jest fajnie, aż do czasu, gdy ktoś sprawdzi jak systemy komputerowe naprawdę funkcjonują. Przepiękny przykład został właśnie opisane przez gazetę "Zwolniono 450 niebezpiecznych więźniów, bo tak zadecydował komputer". Zamiast ręcznie przeglądać dziesiątki tysięcy rekordów zrobił to komputer. A, że nie był przy tym podłączony do paru baz to.... po prostu przypadek

Hakowanie TV na żywo

Kilka dni temu przypomniałem opisany (i wykonany) przez gazeta.pl włam na super zabezpieczoną transmisję z serwisu prezydent.pl

Dziś znów w temacie włamań podczas transmisji na żywo. Nastolatek w NL postanowił włamać się do systemu wyświetlającego tekst osobom czytającym wiadomości w Editie NL. Wywołał tym spore zdziwienie prowadzących.

Proste, głupie błędy

Kilka dni temu gazeta.pl opublikowała historię "włamania" to transmisji realizowanej przez serwis prezydent.pl. Aż przykro pisać o tym, że tak głupie błędy wciąż potrafią się pojawiać w wykonaniu profesjonalnych (chciałoby się napisać) dostawców.

Ochrona serwisu produkcyjnego hasłem identycznym do loginu, a szczególnie tak banalnego to maksymalna porażka. Na miejscu szefa firmy jeszcze tego samego dnia wyrzuciłbym z pracy światłego informatyka, który dopuścił do tej sytuacji. Nie dość, że nie wiadomo gdzie jeszcze ta osoba popisała się wybitną znajomością zagadnień dotyczących bezpieczeństwa to tak jaskrawy przypadek głupoty(niedbalstwa) powinien stać się przestrogą dla jego kolegów.

Administratorzy - nie można bez nich,nie można z nimi

Computerworld opublikował bardzo interesujący sondaż Cyber-Ark Software dotyczący tego czym w wolnych chwilach zajmują się administratorzy. Wynika z niego, że:

- 67% pracowników IT przyznaje, że zdarzyło im się przeglądać dane współpracowników, które nie były w żaden sposób związane z ich pracą
- 41% specjalistów IT przynajmniej raz wykorzystało uprawnienia administratora w firmowych komputerach do uzyskania lub przeglądania poufnych informacji innych osób

Niestety, jeśli ktoś może wszystko to naprawdę trudnym może okazać się powstrzymanie się od tego by co nieco sobie poprzeglądać. Przecież i tak nikt się o tym nie dowie. JEŚLI logi dokumentujące czynności administratorów są w ogóle gromadzone, to w większości przypadków oni i tak mają do nich DOSTĘP więc mogą usunąć niewygodne wpisy. Kto przecież korzysta z narzędzi (jak Tripwire lub Open Source Tripwire) do zapewniania integralności danych?

Rozwiązanie problemu nie jest wcale trywialne - wymaga kompleksowego podejścia:

- odejścia od korzystania z kont generycznych (admin, root itp) na rzecz kont imiennych
- kontroli uprawnień na zasadach ról (trochę więcej o tym pisałem wczoraj)
- bezzwłoczne usuwanie niepotrzebnych kont (np. zwolnionych pracowników), regularne przeglądy uprawnień
- właściwe zdefiniowanie informacji objętych ochroną
- kontroli wykorzystania uprzywilejowanych kont (np. ochrona haseł w sejfach elektronicznych, jak ten produkowany właśnie przez Cyber-Ark)
- monitorowania użycia kont uprzywilejowanych (przynajmniej logów, choć jeszcze ciekawsze jest nagrywanie sesji np. przy pomocy Cyber-Ark, pod warunkiem, że jest gdzie to przechowywać i ma to kto na bieżąco analizować)
- zabezpieczania logów (zabranie uprawnień administratorów do serwerów z logami lub zapewnianie integralności programami typu Tripwire
- odchodzenie od umieszczanych w kodzie haseł, lub przynajmniej przechowywanie ich w zaszyfrowanej wersji
- przeprowadzenia niezależnej kontroli funkcjonowania całego rozwiązania

Hacking Democracy

Dziś wybory! Zakładając, że wszyscy już udali się do urn załączam najdłuższy jak dotąd materiał.

Od paru lat w różnych kontekstach pojawia się zagadnienie głosowania w sposób elektroniczny. Mimo bardzo poważnych obiekcji przedstawianych przez specjalistów zajmujących się bezpieczeństwem stało się to już faktem (choć na szczęście nie w Polsce). 4 lata temu przygotowano materiał na temat bezpieczeństwa procesu głosowania w USA w trakcie wyborów prezydenckich w latach 2000 i 2004.

Autorzy pokazali dowody szeregu błędów w implementacji, które skutkowały (lub przynajmniej mogły skutkować) w zafałszowaniu wyników wyborów. Zakładam, że być może nie wszyscy pamiętają tę historię, a warto mieć to na uwadze. Zachęcam do obejrzenia filmu.

Trailer (2 min):


Cały film (81 minut):


W Polsce jak na razie sytuacja wcale nie kształtuje się lepiej. Zachęcam do lektury wątku Bezpieczeństwo informatyczne niedzielnych wyborów w serwisie vagla.pl

Pozwolę sobie teraz spytać - kto jeszcze chciałby (biorąc pod uwagę to co pokazano na filmie oraz lekturę materiału przygotowanego przez Vaglę) głosować przez internet?