Shánění lidí a úvahy o budoucnosti bezpečnosti v IT

Pamatuji se, jak jsem býval znuděný, když jsem po absolvování univerzity poprvé jako praktikant nastoupil do zaměstná...


Pamatuji se, jak jsem býval znuděný, když jsem po absolvování univerzity poprvé
jako praktikant nastoupil do zaměstnání. Pracoval jsem pro velkou konzultační
firmu jako bezpečnostní specialista a byl jsem příliš mladý na to, aby mě
posílali samostatně provádět nějaké komplikovanější činnosti, a příliš moc
specialista na to, abych mohl být nápomocen při jiných projektech. Takže jsem
trávil spoustu času potloukáním se po kanceláři.
Skutečně si nedovedu představit něco takového v naší firmě. Jako příklad a
navzdory faktu, že budu dělat téměř cokoliv, abych se vyhnul chození na
jakékoliv porady, jichž se účastní více než tři lidé, můj včerejší den byl
jedna porada za druhou snad kromě půlhodiny na oběd. Zdá se, že mé dny jsou
stále více a více zaplněny rozhovory s lidmi a jejich přesvědčováním o nutnosti
jistého stupně zabezpečení, a méně a méně skutečným dohlížením na bezpečnost
našich systémů. Soustředěním se na "měkké" aspekty této práce mluvení, porady a
pozdravy utrpěl rozsah technické stránky mé práce. A to natolik, že se nyní
snažím nacpat vyhodnocování různých potřebných produktů do 20minutových mezer
mezi poradami. Hledá se pomoc
Nicméně moje mluvení se vyplatilo, když management uznal potřebu získat nějaké
skutečné zdroje zvenku. Jak už jsem se zmínil před 14 dny, dostal jsem
oprávnění přijmout čtyři nové bezpečnostní inženýry pro převzetí veškeré
technické bezpečnostní práce. To je skutečné požehnání, protože nikdy jsem
nebyl sám tak technicky znalý, abych bylo schopen snadno implementovat a
konfigurovat úplnou škálu potřebných systémů. Jak už jsem si ale postěžoval
minule, stále je obtížné sehnat ty správné lidi. Každý z bezpečnostních
inženýrů se má zaměřovat na jednu konkrétní oblast jeden na Windows NT, druhý
na Unix, třetí na e-commerci a čtvrtý na sítě a tak každý potřebuje být v této
oblasti specialistou. Kromě toho musí každý z nich být alespoň částečně
odborníkem na bezpečnost. Každý vedoucí vám bude říkat, že je dost obtížné už
jenom najít a dovolit si technicky kompetentního technika pro Windows bez
dalších náročných specialit, jako jsou bezpečnostní znalosti. Natož s nimi. O
problémech s jejich zaplacením jsem se už také zmínil minule.
Nicméně budu stále hledat. Cítím, že nalézt ty správné lidi bude trvat několik
měsíců. Jsou zde ovšem také dva interní kandidáti, kteří jsou oba znalí a
profesionálové co více si můžete přát? Žádný z nich nemá momentálně správnou
bezpečnostní kvalifikaci, ale je mnohem snazší vyškolit je než najít vyškolené
zaměstnance, kteří jsou dobří. Možná, že se rozhodnu pro ně.
Telefonát
Jeden z delších telefonních hovorů tento týden mě vyprovokoval k zamyšlení. Byl
jsem požádán skupinou investorů, abych jim podal přehled o bezpečnostním
průmyslu. Záměrem bylo získat pohled člověka zevnitř, který by jim ukázal, co
důležitého se zde odehrává nebo pravděpodobně bude odehrávat v blízké
budoucnosti a pomohl jim pochopit některé ze základních technologií.
Psaní prezentace mi poskytlo zcela nový pohled na oblast mé práce. Přivedlo mě
to k přemýšlení o ekonomických silách formujících tento průmysl, spíše než o
funkcionalitě, kterou mi poskytují dodavatelé. Také bylo vysloveno množství
otázek, u kterých si nejsem jist, že je dokážu zodpovědět. Jak se např. budou
dále vyvíjet dodavatelé infrastruktury veřejných klíčů jako VeriSign, Entrust
Technologies a Baltimore Technologies po loňském uvedení softwaru pro
certifikační autoritu spolu s Windows 2000? Jak dlouho mohou trvat současné
zabijácké obchodní praktiky ve světě antivirů? Ujme se někdy skutečně
biometrie? Ale jedna věc mě nepřekvapila: Jeden názor na kryptografii a její
počínající zamlžování se. Ačkoliv je šifrování podstatné pro mnohé nastupující
technologie e-commerce např. pro digitální vodoznaky, digitální peníze a
bezpečné elektronické hlasovací protokoly z určitých důvodů je mimořádně
obtížně vysvětlitelná. Je to částečně proto, že neexistují snadné analogie
využitelné pro objasnění jejích koncepcí. Když chci vysvětlit firewally, mohu
je přirovnat ke strážnému u dveří do nočního klubu. Skenování obsahu? Vzpomeňte
si na cenzuru z doby války. Software pro detekci průniků? Informačně
technologická verze poplašných zařízení. Ale šifrování? Šifrovací algoritmy
jsou založeny na abstraktních matematických principech, a abyste skutečně
pochopili aspekty šifrovacích technologií, museli byste mít základní povědomí
jak fungují. Nicméně když lidé zjistí, že zacházejí s matematickými procesy,
nejsou ochotni vám příliš naslouchat mnoho z nich prostě raději vypne. To je
důvod, proč jsem měl před několika měsíci problémy se šifrovacím softwarem PGP
ne protože je něco v nepořádku se softwarem, ale protože uživatelé prostě
nerozumějí základním koncepcím, jak to pracuje. Můj problém pak byl ten, že
jeden jinak vysoce inteligentní koncový uživatel nemohl pochopit, že když
zašifrujete zprávu pro jednu osobu, pak pouze tato osoba ji může přečíst.
Snažil se šifrovaný e-mail forwardovat dále a očekával, že ostatní lidé budou
schopni tento e-mail číst i když byl zašifrován tak, aby jej mohl číst pouze on.
Nekomplikujte to
Nicméně po této epizodě jsem měl e-mailovou konverzaci s netechnickým čtenářem,
který navrhoval, abych použil jako alternativu ochranu heslem od WinZip
Computing. Ochrana heslem ovšem není nikdy tak silná jako dobré šifrování, ale
to není podstata věci. WinZip je software na komprimování souborů, a datová
komprese je založena na určitých abstraktních matematických principech, stejně
jako šifrování. Ale WinZip vám nikdy nedává znát, že dělá něco matematicky
komplexního. Pouze vám prezentuje jednoduché, snadno použitelné grafické
uživatelské rozhraní. Na druhé straně šifrovací software vám cpe svou
technickou povahu do krku. Podívejte se na obchodní nabídky šifrovacího
softwaru a uvidíte fráze jako "11 bilionů let na prolomení," "128bitové RC4,"
"168bitový tripleDES v módu cipher-block chaining". Já znám matematiku docela
dobře; studoval jsem a dokonce učil kryptografii, a rozumím, co tyto termíny
znamenají. Vím však z vlastní zkušenosti, že devět z 10 obchodníků se
šifrovacími nástroji tomu doopravdy nerozumí, ale to je neodradí od citování
nesmyslných čísel. Také vím, že žádná z těchto informací pro mě jakožto
bezpečnostního manažera nikdy nebyla ani trochu užitečná kromě příležitostné
trochy zadostiučinění při sestřelení obchodníků, kteří nechali svá ústa
předběhnout svůj mozek. Až se příště někdo pokusí vás zastrašovat obskurními
šifrovacími termíny, ignorujte ho. Požádejte obchodníky se šifrovacími
nástroji, aby vysvětlili, co mají na mysli, jednoduchou češtinou. Jakmile
začnou říkat čísla, donuťte je začít mluvit místo toho o lidech koncových
uživatelích a jak snadno budou moci používat jejich software. Kdybychom měli
šifrovací software, který se používá tak snadno jako WinZip, mohli bychom
skutečně dosáhnout toho, že ho budou lidé používat. Když budeme mít lidi
používající šifrovací software, dramaticky zlepšíme bezpečnost dat.
Slovníček pro tento týdenCertifikační autorita: Subjekt, která vydává,
schvaluje a ruší digitální certifikáty, které autentizují daný (např. prodejní)
Web uživateli. Microsoft zahrnul tento software do Windows 2000, což umožňuje
jeho Internet Information Serveru fungovat jako certifikační autorita. Data
Encryption Standard (DES): Průmyslový standard kryptografického algoritmu,
který byl v minulých 10 letech široce používán. Nyní byl nahrazen Advanced
Encryption Standardem. TripleDES (s trojnásobným klíčem): DES používá krátký
(56bitový) klíč, a je tudíž náchylný k útokům. Jeden způsob řešení tohoto
problému bez přepsání všeho vašeho softwaru je nastavit DES, aby šifroval
zprávu třikrát, se třemi rozdílnými klíči. To se někdy nazývá 3DES.
Cipher-block chaining mode (CBC): Mód operace některých algoritmů, který pomáhá
chránit proti určitému typu útoků. Vy většinou nikdy nebudete muset vědět nic o
CBC, pokud nejste hluboce zapleteni do kryptografie. 128bitový RC4: Další běžný
kryptografický algoritmus, napsaný Ronem Rivestem. RC podle některých lidí
znamená formální "Rivest Cipher", podle jiných jde o prozaické "Rons Code".
Odkazy
Na adrese http://www.landfield.com/faqs/cryptography-faq/snake-oil/ se dočtete,
jak poznat, že máte co do činění s kryptošarlatánem. A také to, jak se k němu
chovat.
Webové stránky WinZipu (http://www.winzip.com/) jsou vhodným zdrojem pro
stažení utility pro kompresi souborů WinZip.
1 0031 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.