Počítačový terorismus byl v minulosti silně přeceněn

Teroristy podle šéfa RSA Security Arta Coviella v podstatě příliš nezajímají útoky na počítačové systémy. Na bez...


Teroristy podle šéfa RSA Security Arta Coviella v podstatě příliš nezajímají
útoky na počítačové systémy. Na bezpečnostní konferenci své firmy řekl: "Mezi
cíle budou stále patřit spíše lidé a další fyzické objekty." Internet totiž
podle Coviella ohrožují ještě jiná nebezpečí. Jedná se především o spam, který
znamená hrozbu snižování produktivity, a samozřejmě o zneužívání bezpečnostních
děr. U těch se mimo jiné výrazně snížil čas od objevení k jejich masovému
zneužití. Zhruba z 500 dnů v roce 2000 spadl v současnosti na pouhých 40.
Obavy však panují z hlediska vládní regulace bezpečnostních otázek na
internetu. "Myslím, že není vhodné, aby stát reguloval bezpečnost internetu,
protože úředníci o tomto tématu mnoho nevědí," říká Art Coviello a dodává:
"Navíc jsou jejich kroky mnohem pomalejší než vývoj a také zákony nemohou
postihnout všechny aspekty bezpečnosti kvůli její různorodosti."
Obor IT by si tedy měl vytvořit jakousi samoregulaci a k měření zlepšování může
sloužit právě index internetového nebezpečí.

Evropa nebezpečnější?
Index nebezpečí by měl být hrubým hodnocením, jak si celý obor stojí. Bude
vytvářen na základě analýzy klíčových dat v oblasti bezpečnosti. Data budou
získávána jak od zákazníků či dodavatelů, tak také ze všech relevantních
publikací a internetových zdrojů. Hodnocení probíhá v pěti základních
oblastech: hacky, útoky a bezpečnostní mezery
hrozby
internetová kriminalita a podvody
průmysl
vládní opatření
Na první pohled nesourodé pojmy však dávají při podrobnějším prozkoumání smysl.
Následuje popis jednotlivých kategorií a hodnoty jejich ratingu, který je určen
speciálně pro Evropu.
Do první oblasti patří jednak již na titulní stránce zmíněné bezpečnostní
incidenty. Jejich růst je rovněž zapříčiněn i tím, že první generace intrusion
detection systémů dodávala obvykle tolik falešných hlášení, že tyto produkty
byly téměř nepoužitelné. Na druhou stranu například podle Aberdeen Group za
poslední rok zažilo nějaký z útoků 39 % finančních institucí.
Patří sem také spam, jehož objem se od minulého roku zdvojnásobil. Bezpečnost
podceňují především malé a střední firmy. Podle Tolly Group dokonce dvě třetiny
všech firem vůbec nechrání data při přenosech mezi aplikačními servery. Stejné
množství firem rovněž zanedbává bezpečnost bezdrátových sítí a nechává je
ovládat hackery.
Rating pro tuto kategorii byl stanoven na 8+.

Co komu hrozí
Další oblastí jsou hrozby. Jak již bylo uvedeno, terorismus z hlediska
informačních technologií podnikům příliš nehrozí. Mnohem větším nebezpečím je
únik citlivých dat a především intelektuálního vlastnictví. Největší je ovšem
hrozba dalších virových útoků a masivního spamu.
Mezi státy, kde začíná nejvíce virových nákaz, patří USA, Jižní Korea, Čína,
Německo a Francie. Jenom 24 % z těchto nákaz je však zaměřeno na konkrétní
firmu či organizaci. Obvykle berou zavděk jakýmikoli cíly.
Rating pro tuto kategorii je 8.

Internetová kriminalita
Krádeží identity se obvykle nazývají případy, kdy jsou jedné osobě zcizeny
základní údaje a následně zneužity jinou osobou. Nejde ani příliš o krádeže
fyzických dokladů, jako spíše o získání důležitých osobních čísel a případně
hesel. Útočník se pak může vydávat za okradenou osobu, neboť se prokazuje
jejími údaji.
V tomto typu krádeží pokračuje nezadržitelný boom. Od roku 2002 se dosud
ztrojnásobil! Oproti 8,75 miliardy škod bylo letos podle Aberdeen Group již
zaznamenáno miliard 24.
V této oblasti se však podniká poměrně mnoho kroků. Jedním z nich je vyšší
využití biometriky současně s databázemi kriminálních živlů. Dále je za vhodné
opatření považováno využívání čipových karet. Špatné je ovšem to, že
internetoví recidivisté nejsou nějak výrazně postihováni. Například autor viru
Kournikova, který způsobil škody za více než 140 tisíc eur, byl odsouzen
holandským soudem ke 150 hodinám veřejně prospěšných prací.
Útoky na organizace jsou také velmi často utajovány, jak jen to jde. Například
ve Švédsku některé organizace údajně platí hackerům za to, aby nezveřejňovali
jimi objevené bezpečnostní trhliny, případně úspěšné útoky.
Rating této kategorie byl stanoven na 6.

Bezpečnost v průmyslu
Implementaci infrastruktury pro řízení identity (identity-management
infrastructure) stále brzdí nevyjasněné standardy a de facto jejich souboj.
Microsoft, Novell, HP a Liberty Alliance totiž nabízejí různé standardy a
vítěze není možné předpovědět.
Podnikové výdaje na bezpečnost však stoupají. Momentálně tvoří zhruba 6-8 %
rozpočtu na IT v porovnání s 5 % za minulý rok.
Rating této kategorie byl stanoven na 5.

Vládní opatření
Britská vláda chce pro všechny žadatele azylu zavést povinné fotografie
obličejů při jejich vstupu na území státu. Digitální fotografie pak budou
uloženy v databázi, a bude tedy možné kdykoli porovnat identitu azylanta s jeho
údaji včetně fotografie při vstupu. Plánováno je využití rovněž technologií pro
rozpoznávání obličeje.
Evropská komise dále schválila použití .Net passportu jako autentizační
technologie v Evropě. Microsoft však musí provést ještě některé důležité změny,
které mají vést k lepší kontrole dat uživateli služby kam, jak a jaká osobní
data jsou posílána přes internet. Liberty Alliance rovněž obdržela podobné
schválení na svou autentizační technologii.
Rating byl stanoven na 4 a celkově se vyšplhal na hodnotu 6+.

Skrz platformy
RSA Security již dlouhá léta vyvíjí a prodává každý rok miliony autentizačních
modulů sloužících k bezpečnému autentizovanému přístupu velkého množství
uživatelů k jakýmkoli podnikovým, webovým či jiným aplikacím. Příkladem může
být přístup k elektronickému bankovnictví přes webový prohlížeč.
Zmíněný token funguje tak, že v krátkých časových okamžicích generuje podle
daného klíče nová a nová čísla. Stejná čísla (či podobná) generuje i server, ke
kterému se uživatel připojuje. Díky dvoufaktorové autentizaci (nejprve zadání
pinu a následně teprve generovaného čísla) zatím nebyl tento systém prolomen.
RSA se však stále více orientuje na softwarová řešení a služby v oblasti tzv.
identity & access managementu. K vlajkovým lodím patří produkt ClearTrust,
jehož verze 5.5 byla představena na konferenci. Základ tohoto nástroje pochází
od firmy Securant, kterou v roce 2000 RSA koupilo. ClearTrust slouží k
průhledné a jednoduché autentizaci uživatelů i v rámci mnoha hardwarových a
softwarových platforem. Jako autentizačních nástrojů může být využíváno
množství různých technologií od běžného (a poměrně nebezpečného) zadání
uživatelského jména a hesla přes různé certifikáty až po hardwarová
autentizační zařízení.
Z jednoho centra pak lze administrovat přístup všech uživatelů k jakýmkoli
aplikacím a serverům (weby, J2EE aplikační servery, proprietární systémy atd.).
Architektura systémů může být dokonce geograficky distribuovaná. Produkt řeší
palčivý problém mnoha takových instalací, kdy jeden uživatel má několik ID a
množství různých hesel do různých systémů.
Z hlediska možností, které ClearTrust nabízí (multiplatformní single sing-on,
provázání uživatelských identit a hlídání jejich přístup k aplikacím i datům,
škálovatelnost i s rostoucím počtem uživatelů, federativní model důvěry atd.),
má RSA v podstatě jen jednoho vážnějšího konkurenta společnost Entrust
nabízející řešení především na bázi PKI.

Federativní důvěra
Zajímavou vlastností ClearTrustu je tzv. federativní model důvěry. Jde o to, že
pomocí tohoto produktu lze sdílet s dalšími subjekty informace o autentizacích,
a tím pádem může jedna organizace zpřístupnit bezpečné přihlašování zákazníků.
Například když banka vybuduje bezpečný kanál pro komunikaci s klienty, pak může
pomocí ClearTrustu tento kanál zpřístupnit třeba pojišťovně, která výsledně
bude se zákazníky komunikovat rovněž zabezpečeně. V komunikaci se využívá tzv.
Security Assertions Markup Language (SAML), který právě pomáhá bezpečně
přenášet informace o jednotlivých identitách přes různé platformy a podniky.

Zajímavosti odjinud
Mnoho konferencí obvykle nabízí i přidruženou část, kde partneři organizátora
vystavují a prezentují své produkty. K hlavním patřili společně Microsoft a Sun
Microsystems. Ač se to nezdá, v oblasti bezpečnosti jsou kolikrát i největší
konkurenti na jedné lodi. I proto zde nebyl žádný problém, aby se stali
hlavními sponzory konference RSA.
Sun Microsystems prezentoval především bezpečný operační systém, který je
využíván i různými tajnými službami americké vlády. Jedná se o Trusted Solaris
verze 8.0, ve kterém je implementován systém pro klasifikaci úrovně utajení
jednotlivých dokumentů a přístupu k nim. Trusted Solaris například dokonce ani
neumožní kopírování částí textu z dokumentů s vyšší úrovní utajení do dokumentů
s úrovní nižší. Tyto dokumenty pak nelze ani do nižších kategorií
administrátorským zásahem převádět.
Microsoft využil konferenci k prezentaci nového systému Windows Rights
Management Services (RMS), který by měl sloužit k řízení přístupu k digitálním
informacím a možnosti jejich "správné" distribuce v podniku i mezi podniky. RMS
definuje jak soubory s informacemi budou otevírány, modifikovány, tištěny,
předávány dál a kopírovány. Prvním systémem, který RMS plně podporuje, je
Microsoft Office System 2003 (více v dalším čísle Computerworldu). Další
ukázkou byl prototyp tzv. Next-Generation Secure Computing Base (NGSCB)
technologie pro MS Windows, která využívá unikátní hardware a software.
Demonstrace běžela na technologii LaGrande od Intelu.
Jedním z nejzajímavějších hardwarových produktů bylo šifrovací zařízení, které
v oblasti bezpečnosti dokáže výrazně snížit náklady, na což slyší nejeden IT
manažer.
Jedná se o NetHSM společnosti nCipher. Běžná obdobná zařízení se obvykle
připojují k serveru v poměru 1 : 1 neboli jedno šifrovací zařízení jeden
server. NetHSM však umožňuje k jednomu hardwarovému kryptovacímu zařízení
připojit přes IP síť množství různých aplikací.

O kvalitě softwaru s Richardem A. Clarkem
Na konferenci RSA jsme měli možnost hovořit s Richardem A. Clarkem, který je
mezinárodně uznávaným expertem na otázky národní a počítačové bezpečnosti.
Pracoval také v Bílém domě jako poradce třech prezidentů Spojených států pro
globální bezpečnostní záležitosti.
Ptáme se ho na problematiku bezpečnosti softwaru a hodnocení jeho kvality.

Dříve se objevovalo 30 závažných bezpečnostních softwarových chyb měsíčně, v
současné době je to už 30 týdně. Co by se s tím mělo dělat?
Samozřejmě neexistuje jediné řešení, ale některá jsou podle mého názoru
účinnější, některá ne. Za velmi vhodné bych považoval vytvoření mezinárodně
uznávaného standardu pro kvalitu vývoje a produkci softwaru, i když je mi
jasné, že to zabere hodně času.
Díky tomu by potom bylo možné pomocí třetích stran standardně testovat kvalitu
softwaru. Tyto výsledky by potom byly mezinárodně uznávány. Jak proboha
softwaroví výrobci vůbec mohou dovolit, aby se v jejich produktech vyskytla
chyba typu "buffer overflow"?!

Hovoří se o tom, že by se software neměl vyvíjet například v Indii, protože se
v něm mohou vyskytovat nečekaná "zadní vrátka" (back doors). Jaký na to máte
názor?
Ano, slyšel jsem o tom také. Ale ve skutečnosti má indický vývoj software, ve
většině případů jedny z nejlepší kvalitativních metodik. Po pravdě řečeno,
vůbec by nás nemělo zajímat, kde je software vyvíjen. Jediné, co je důležité,
aby žádný jednotlivec v procesu vývoje nemohl do takového softwaru vložit svoje
vlastní zadní vrátka. K tomu jsou také potřeba další auditovací techniky pro
software.

Měli by výrobci být nějak odpovědní za nečekané náklady, které způsobí jejich
chybný software?
Zkusme se na to podívat trochu jinak. Když budou prodávající i kupující
spolupracovat tak, aby pokud možno eliminovali výskyt chyb a obchod jel co
nejlépe, bude to mnohem lepší, než se soudit o odpovědnost. Takové spory se
táhnou léta a jediný, kdo na nich profituje, jsou právníci.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.