Poslovna znanja

Učilište Algebra objavilo je da počinje školovanje prema programu Certified Ethical Hacker, kojim se stječe certifikat etičnog hakera, računalnog stručnjaka koji iskušava sigurnost računalnog sustava napadajući ga jednako kao što bi to radili zlonamjerni hakeri.

D a hakeri ne moraju biti samo destrukтивni, svjedoči i prošlotjedna konferencija na kojoj je računalno učilište Algebra objavilo da počinje školovanje prema programu Certified Ethical Hacker, kojim se stječe certifikat etičnog hakera, računalnog stručnjaka koji iskušava sigurnost računalnog sustava tvrtke koja za to ga plaća. Sudionici konferencije pratili su zamalo bez daha primjere napada tehnikom ‘man-in-the-middle’ uz pomoć lako nabavljenih hakerskih alata, a posebice niz hakerskih napada na web-aplikaciju koje su izvela dvojica hakera iz tvrtke Infigo.

Njih su dvojica svoje umijeće pokazali na web-aplikaciji koju su sami kreirali upravo da bi na njoj, a ne na nečijoj stvarnoj aplikaciji, mogli demonstrirati niz napada koji su dio penetracijskog testiranja, pokušaja da se hakerskim alatima i načinima prodre u nečiji računalni sustav.

• Iako smo u dvije godine rada proveli tridesetak penetracijskih testiranja, ne bi bilo etično da javno pokazujemo kako smo se probijali u web-aplikacije klijenata koji su nam platili da ih zaštitimo – kazao je Hrvoje Šegudović, direktor zagrebačke tvrtke Infigo. – U Hrvatskoj ne postoji regulativa koja bi prisiljavala tvrtke iz neke grane industrije na ispitivanje sigurnosti, osim tvrtki koje su podložne reviziji – govori Šegudović, dodajući da se često takve provjere sastoje samo od upitnika u kojem konzultant u kvadratiće upisuje kvačice, pa se stanje u provjerenoj tvrtki vrati na staro u roku od tjedan dana.

• Prema regulativi banke i određeni broj trgovaca pogađa standard podatkovne sigurnosti industrije platežnih kartica (engl. Payment Card Industry Data Security Standard – PCI DSS) koji sve tvrtke koje procesiraju kreditne kartice obvezuje na sigurnosne kontrole. Rok za primjenu, točnije provjeru sigurnosti, tim je tvrtkama bio do 31. prosinca 2007., ali se mnoge nisu uspjele uskladiti s tom normom. Doduše, kartičari još ne naplaćuju penale, ali tko ne zadovoljava standard PCI DSS u lancu naplate putem kartica, plaća štetu u slučaju zloporabe kartice da to ne bi bilo na štetu kartičarskih kuća – govori Šegudović i dodaje da strogost uvođenja i učestalost kontrola zadovoljavanja kriterija PCI DSS-a ovisi o opsegu transakcija.

• Tako će primjerice Konzum, Ina i sve ostale tvrtke koje procesiraju određeni broj kartičarskih transakcija morati provoditi to što zahtijeva PCI DSS, a to je u njihovu slučaju godišnji penetracijski test, i svako će tromjesečje morati provoditi sigurnosne provjere – objašnjava.

• Nije dobro inzistirati na prečestoj promjeni lozinke (engl. password). Bolje je imati du-gačku i složeniju i mijenjati je jedanput na godinu jer će inače korisnici lozinke koju ne mogu zapamtit u kratkom vremenu pisati na papir i lijepiti na monitor, pa će biti dostupne svakomu tko uđe u ured – objašnjava Šegudović, dodajući da složenost lozinki eksponencijalno podiže sigurnost u odnosu na napad grubom silom (engl. brute force attack), pri kojemu haker pokušava dekriptirati lozinku. Šegudović preporučuje lozinku s najmanje osam znakova, nipošto sastavljenu od imena, s velikim i malim slovima, jednim ili dva broja, ali i s datumom rođenja.

U čemu se, zapravo, sastoji sigurnosna provjera? Je li ona komplicirana i može li je svatko vršiti?

• Jedna vrsta sigurnosne provjere jest ‘audit’: baš kao i pri reviziji isprava se obavi proceduralan dio: gledaju se propisane procedure, jesu li uvedene u sustave, imaju li svi korisnici dovoljno dugačke lozinke, je li na serveru stvarno zabranjeno ono što zabranjuju propisi tvrtke. Dosta se tvrtki žali na revizorske kuće jer šalju pripravničke, pa ako se lozinke prema uputama revizorske kuće moraju mijenjati svakih 90 dana, početnik-revizor zapisat će da to ne zadovoljava iako su lozinke dovoljne snage te im dostaje jedna promjena na godinu. Provjera se nastavlja tehničkim dijelom u kojem se ubraja i provjera ranjivosti sustava. Provjera se ima li sustav propuste koji se ne vide na prvi pogled, proceduralnim pristupom, koje su pogreške u sustavu… Za razliku od revizora, osoba koja to obavlja mora biti stručna – kazuje Šegudović.

Ranjivost sustava može provjeriti dobar sistemski administrator ako ima dovoljno znanja, jer se upotrebljavaju gotovi alati, ali oni podižu dosta lažnih uzuba, a s penetracijskim je testovima prilično različita situacija.

• Za provođenje penetracijskih testova potrebni su doista vrhunsko znanje i stručnost, posebice se ne smiju rabiati alati za koje se točno ne zna što rade. Bitno je da se pronađe pravu tvrtku koja to zna raditi, a ne da tvrtka naplati penetracijsko testiranje, a ‘odvrti’ testove ranjivosti, što je tek malo bolje od besplatnih alata, čime ruši dignitet profesije – upozorava Šegudović te ističe da, za razliku od mnogih sistemskih integratora koji se hvale da obavljaju testove, Infigo ne isporučuju ni hardver ni softver pa ne može doći u sukob interes. Osim toga – ističe on – Infigo se sam bavi sigurnosnim istraživanjima; tako je nedavno otkrio sigurnosni propust u alatima najuglednijih svjetskih antivirusnih kuća, McAfeeja i Sophosa.

Među rijetkim IT tvrtkama u nas koje se bave sigurnošću jest i zagrebačka tvrtka CROZ. Njezin voditelj Odjela za infrastrukturna rješenja Bojan Koprivčić navodi da CROZ-ov tim za sigurnost radi na vrlo osjetljivim problemima, toliko osjetljivima da ne smije navoditi ni imena tvrtki.

• Primarno su nam klijenti u području sigurnosnih testiranja financijske institucije osjetljive na sigurnosne incidente – govori Koprivčić i dodaje da sigurnosna provjera informatičkog sustava treba svakoj organizaciji i tijelima državne uprave jer većina informacija danas kruži elektroničkim putem.

• Penetracijski test je vrsta zastrašivanja, ali mora mu prethoditi i slijediti ga ozbiljna analiza kako bi se vidjelo gdje su propusti, a tako nešto treba svim organizacijama. Ukrade li netko u tvrtki predsjedniku uprave notebook s ugovorima, tom se kradoj krši ugovor o tajnosti (engl. Non Disclosure Agreement – NDA) – govori Koprivčić, ističući da rješavanje problema uvijek počinje od procjene rizika, a da penetracijski test služi osvješćivanju korisnika da im nešto treba, da imaju problem kojega nitko nije svjestan dok se nešto ne dogodi.

• Ključni je učinak penetracijskog testiranja pokazati organizaciji da je sigurnost njezina sustava jaka koliko i najslabija karika u lancu. Penetracijski test je način da se ljudi osvijesti kako imaju tempiranu bombu koja čeka da eksplodira. Netko s viškom vremena može poželjeti napraviti ‘spačku’, skinuti s interneta ‘password sniffer’ i – buum! – on je taj koji kontrolira plaćanje računa tvrtke – objašnjava Koprivčić, dodajući da gotovo nitko u nas ne ulaže u edukaciju ljudi, koji su najslabija karika, jer je, kao što kaže, dovoljno da tajnica zalijepi svoju lozinku na monitor pa da zlonamjerna osoba može ovladati cijelim IT sustavom tvrtke. A da to nije puka prijetnja, pokazuje i nedavna demonstracija koju je održao jedan od CROZ-ovih stručnjaka za sigurnost. Mladić nevina izraza lica došao je do računala s USB memorijom i zamolio da kopira glazbu. Stvar je završila tako da je taj etični haker pokrenuo svoje programe i za minutu dvije uspio se domaći domenskih lozinki i probiti se u mrežu.

Manje poznati detalj koji je istaknuo Hrvoje Šegudović jest podatak da se u tvrtkama koje su ‘obveznici’ standarda PCI DSS sigurnosna provjera ne mora raditi za cijelu mrežu. Naime, ako je dio mreže koji služi za transakcije karticama odvojen od ostatka mreže vatrozidom (engl. firewall), sigurnosna se provjera radi samo za dio mreže koji obavlja kartične transakcije. Ako takvog odvajanja nema, cijela se mreža provjerava, što provjeru značno poskupljuje.

Penetracijski je test način da se ljudi osvijesti i pokaže im se da u informacijskom sustavu možda imaju bombu, kaže Bojan Koprivčić, dodajući da bi za neke tvrtke bilo razumno da obave sigurnosnu provjeru svog računalnog sustava iako ih na to ne priljava regulativa.

• Ispitivanja sigurnosti izvana trebala bi provoditi tvrtke čije je poslovanje otvoreno internetu. Banke u svakom slučaju jer je za njih i najbenigniji napad u kojemu hakeri promijene samo izgled njihove početne stranice (engl. deface) velik rizik zbog gubitka povjerenja. Sve je više brokerskih kuća koje trguju dionicama putem web-aplikacije, a te bi aplikacije, koje se izvode u web-pregledniku poput Internet Explorera ili Mozillina Firefoxa, svakako trebalo sigurnosno provjeriti prije puštanja u rad jer nam iskustvo pokazuje da među njima ima svačega – savjetuje Šegudović, naglašavajući da se provjeri sigurnosti sustava svakako moraju podvrgnuti tvrtke koje imaju web-shopove.

• Tvrtke su u pravilu podigle razinu zaštite od napada s interneta, sve imaju vatrozid kroz koji puštaju samo web-promet, ali su web-aplikacije…