F

aktem jest, że lekceważenie polityki bezpieczeństwa przez pracowników będzie wzrastać dopóki będzie ona sztywna i trudna do zaadaptowania przez zwykłych zjadaczy chleba. Włączenie kwestii bezpieczeństwa do rozmów, opracowanie zasady dopuszczalnych działań, omówienie postępowania z poufnymi informacjami – już nie wystarczy.

      Za pomocą wiadomości przepełnionych informacjami o katastrofach i klęskach żywiołowych nasze obawy o bezpieczeństwo technologiczne wydaje się mało perspektywiczne. Tak… z pewnością nie należy odnosić tego typu zjawisk do systemowych usterek, zalewania: spamem, programami spyware, phishingem itp., gdyż nasz komputer raczej nigdy nie będzie musiał być osuszany z mokrego błota. Chociaż osoby (za)bardzo uzależnione od techniki, utratę danych, czy uszkodzenia różnych urządzeń elektronicznych traktują na równi z tego typu zjawiskami. Aby nie wgłębiać się w to ze zbyt filozoficznym podejściem – warto wśród naszych lęków o bezpieczeństwo elektronicznych stref – biorąc głęboki oddech zadać sobie pytanie: Co dokładnie leży w mojej kontroli? Co mogę zrobić, aby chronić swoje systemy?. Obawy w przypadku naruszenia bezpieczeństwa zawsze są realistyczne – jak każde zjawisko dotyczące tej sfery – nie da się tutaj przewidzieć wszystkiego, by móc chronić dany obiekt całkowicie. Mimo tak pesymistycznego obrazu istnienia rzeczy poza naszą kontrolą, w świecie wirtualnym i rzeczywistym – jest jeszcze wiele rzeczy, które możemy w tej kwestii wykonać. Dobrą wiadomością jest to, że wiele kwestii związanych z bezpieczeństwem komputerowym, czy sieciowym jest w pełni zarządzanych przez nas samych. Każdy kto w przeszłości uległ jakiemuś atakowi internetowemu (a w szczególności, gdy stało się kilka razy) – nie pozostaje bez winy. Prawdę mówiąc, kiedy jakiś system zostaje skompromitowany – nie jest to losowe dzieło Boga. Raczej jest to dzieło człowieka, które zdał sobie sprawę, że osoba odpowiedzialna za dany system, czy sieć nie zareagowała poprawnie na informację o potencjalnej luce w oprogramowaniu lub konfiguracji. Podobno, by być dobrym administratorem nie tylko trzeba rozumieć proces powstawania luk bezpieczeństwa, ale także być proaktywnym w zapobieganiu ich powstawania. Bycie proaktywnym jest proste – ale niekoniecznie łatwe. Możesz być absolutnie zdumiewającym środowisko informatyczne ekspertem od bezpieczeństwa, ale gdy nieodpowiednio kierujesz swoją wiedzą, wszystko inne traci znaczenie. Pierwszą lekcją jest zrozumienie procesu powstawania luk bezpieczeństwa w systemach i programach. Drugą znaleźć odpowiedź, jak chronić swoje i czyjeś systemy, serwery i sieci przed tak niezliczoną liczbą zagrożeń dryfujących po Internecie? Nie da się! Jeśli chcemy zachować zdrowy rozsądek, w tym wszystkim – musimy zacząć praktykować zarządzanie ryzykiem, a nie kontrolę ryzyka. Kontrola ryzyka jest bezskuteczna i nieefektywna w swoim działaniu – to tak jakby chcieć ująć całą lawinę śniegu w jeden plastikowy kubeczek. Większość elektronicznych intruzów, podobnie jak realni przestępcy, są nastawieni oportunistycznie – najczęściej decydując się na atak najbardziej podatnego celu. Jeśli nasze systemy są mniej podatne, to w istocie zmuszamy potencjalnych włamywaczy do włożenia w to wszystko większego wysiłku. Większość skryptowych dzieciaków w obliczu możliwości bezowocnych godzin pracy, po prostu obierze kierunek na znacznie łatwiejszy cel. Oczywiście im cenniejsza informacja tym determinacja włamywacza również proporcjonalnie rośnie. Wartość informacji powinna, również być proporcjonalna do czasu i wysiłku poświęconego jej ochronie. Krótko mówiąc – wrażliwe informacje zawsze powinny posiadać znacznie większą ochronę niż informacje potencjalnie nic nieznaczące w kluczowych operacjach naszej sieci. Zabezpieczanie ich tylko niepotrzebnie by marnowało nasz czas, który możemy poświęcić na inne punkty ochrony.

      Jakie aktualnie są najczęstsze zagrożenia dla internetowego bezpieczeństwa? W ciągu obserwacji kilku ostatnich lat z pewnością można powiedzieć, że głównie są to luki w systemach operacyjnych, szkodliwe oprogramowanie (jak wirusy, robaki, oprogramowanie szpiegujące), problemy z ochroną wrażliwych danych, do których należą dane dostępowe (jak hasła) oraz utrzymanie w dobrej kondycji procedur w przypadku awarii (przywracanie z kopii zapasowych). Bynajmniej nie jest to pełna lista, ale stanowi ona doskonały materiał wyjściowy, od którego należy zacząć pierwsze kroki. Najważniejszą pozycją jest ta, traktująca o lukach w systemach operacyjnych. Wiele aplikacji jest całkowicie uzależniona od systemów, na których są uruchamiane. Gdy występują problemy z systemem operacyjnym, na równi zagrożone są wszystkie programy oraz dane. Wszystkie współczesne systemy operacyjne włączając w to rodzinę MS Windows, Mac OS oraz Linuksa posiadają pewne formy automatycznej aktualizacji. Niektóre z nich są łatwiejsze w konfiguracji niż inne. Tutaj pojawia się reguła bezpieczeństwa mówiąca o tym, że jeśli istnieje możliwość zaplanowania procesu aktualizacji, należy ustawić go na systematyczne działanie. W codziennej pracy z wieloma systemami bardzo łatwo zapomnieć o regularnych aktualizacjach i tworzeniach kopii zapasowych. Dzisiaj nawet najbardziej surowe systemy posiadają możliwość automatycznego pobierania i zapewniania ręcznej (kontrolowanej) instalacji aktualizacji. Należy pamiętać, że jeśli jakiś proces zniechęca nas ze względu na jego skomplikowany przebieg i dlatego odkładamy jego systematyczne powtarzanie – wykonujemy prosty krok w tył od zapewnienia sobie wyższego poziomu bezpieczeństwa niż posiadamy. Skoro każda z tych maszyn (załóżmy, że są to stacje robocze) stanowi jednostkową skarbnicę informacji dla swojego użytkownika, dlaczego nie poświęcać jednorazowo większej ilości czasu na zautomatyzowanie podstawowych ich procesów? Następną kwestią naszej podstawowej polityki bezpieczeństwa jaką należy się zająć jest pierwotna plaga Internetu – wirusy. Wirusy rozsyłane za pomocą załączników e-mail stały się tak bardzo problematyczne, że w ciągu tych ostatnich lat przedsiębiorstwa, uniwersytety i instytucje rządowe musiały wprowadzić korporacyjne rozwiązania do wyeliminowania wirusów e-mail już na poziomie serwera pocztowego. Jednakże, jeśli jesteśmy na tyle szczęśliwi, że pracujemy w instytucji posiadającej zaawansowane rozwiązania filtrowania poczty – nie wpadajmy od razu w fałszywe poczucie bezpieczeństwa. Są jeszcze inne sposoby (inne niż e-mail) do połowu malware (np. sieci społecznościowe). Czasami opierając się na nowoczesnych technologiach nie jesteśmy w stanie rozwiązać wszystkich problemów, które można najlepiej rozwiązać za pomocą prostych mechanizmów. Tak jak najlepsi cyberprzestępcy są nie tylko genialnymi guru technologii, ale również niesamowitymi dobrymi oszustami np. za pomocą inżynierii społecznej.

      Przeciętni ludzie nieczęsto myślą o zrobieniu kopii zapasowej danych jako zabezpieczenia na skutek wypadku. Lecz, jeśli dochodzi do utraty danych, dopiero wówczas przechodzą do kontemplacji nad naturą kopii danych. Zaczynają rozumieć, że utrzymanie bezpiecznego, drugiego egzemplarza ważnych informacji jest ostatnią linią obrony przed dowolną liczbą katastrof komputerowych, włącznie z szkodliwym oprogramowaniem, czy atakami intruzów. Jeśli nie to, to zawsze można sformatować dysk twardy i zacząć od nowa. Choć przyjęta polityka powinna być na tyle skuteczna byśmy nie musieli formatować raz w tygodniu. Przywrócenie systemu do pierwotnego stanu jest tylko kwestią czasu oraz pracy. Aczkolwiek bezpowrotna strata ważnych plików wiąże się z nieporównywalnie straconą ilością czasu i pracy, jaką musimy włożyć by samemu otworzyć stan, do którego dążyliśmy przed ich stratą. Chodzi o to, aby przenieść swój punkt widzenia i świadomość, dlaczego kopie zapasowe powinny być wykonywane do punktu, w którym rzeczywiście tę kopię tworzymy. Brak dowolnego elementu programu lub części danych potrafi uniemożliwić nam korzystanie z systemu zgodnie z oczekiwaniami. Cytując Edward’a Feltena oraz Gary’ego McGraw z Securing Java:

Musząc wybrać między obejrzeniem tańczących świnek, a bezpieczeństwem, użytkownicy za każdym razem zdecydują się na świnki.

      W zupełnie innym świetle wygląda konfrontacja wyżej wymienionej małej polityki bezpieczeństwa z pracownikami firmy. W oczach wielu pracowników nie odzwierciedla ona rzeczywistości, w jaki sposób pracownicy korzystają z komputerów. Wielu użytkowników łamie postanowienia, jakie nakładają na nich administratorzy systemów, ponieważ wytyczne tych polityk uniemożliwiłyby im wykonywanie normalnej pracy. Jedna strona zawsze myśli, że użytkownicy nie przestrzegają zasad, ponieważ są wobec tych procesów obojętni lub nie rozumieją realnego zagrożenia. Druga zawsze zastanawia się nad zdaniem, że prawdziwa polityka musi zostać od nowa zaplanowana z pełnym uwzględnieniem ich potrzeb oraz warunków pracy. Wielu użytkowników w swojej codziennej pracy z komputerem po prostu olewa kontrolę aktualizacji, subskrypcji antywirusów czy wykonywania kopii – ponieważ obniża ona ich komfort pracy. W przeprowadzonych badaniach przez firmę Cisco ujawniono, że około 80% szeregowych pracowników uważa politykę bezpieczeństwa informatycznego firmy za nieuczciwą. 42% stwierdziło, że muszą prosić osoby odpowiedzialne za infrastrukturę informatyczną o zmianę nałożonych zasad w stosunku do ich osoby, ponieważ kolidują one z rzeczywistym przebiegiem ich pracy. Reagując na te zarzuty ponad trzy czwarte specjalistów IT przyznała, że obowiązki nakładane na użytkowników powinny być zaktualizowane do ich potrzeb, gdy reszta pozostawała przy zdaniu, iż użytkownicy są zbyt leniwi, aby uczyć się podstaw bezpieczeństwa i dbania o swoje stacje robocze. Trudno określić, która strona ma rację i czy nie jest ona wypośrodkowana. Może zależy to od relacji, czy użytkownik przychodzi do administratora, czy administrator do użytkownika?

Felieton ten pochodzi z magazynu: Hakin9 Nr 02 (56) Luty 2010.