Ivan Marković
Security consultant and researcher
Long experience in designing and implementation of security solutions, mainly oriented on web, mobile and embedded applications. Author of penetration testing tools, recognized by OWASP organization and BackTrack Linux distribution. Researching work includes discovery of vulnerabilities of numeral applications and services, and for these, author received public apreciations by Microsoft Company..
Golden web mine
=/= Zlatni Web rudnik =/=
_ 2006-11-07 19:34:24 _
Zarada ili Sigurnost
Zlatni veb rudnik
Sa relativno malo ulaganja, u danasnje vreme, svako sa dobrom idejom moze da se
probije na mrezi i zaradi novac. Postoji bezbroj mogucnosti: od pruzanja
raznoraznih servisa, preko hostinga i veb programiranja do e-marketinga. Mreza
je medijum koji nam pruza izobilje informacija i mogucnosti i kao takva ulazi u
nas svakodnevni zivot noseci sve svoje dobre i lose strane.
Svaki dan na mrezi nosi nove izazove sa kojima moramo da se suocimo, svakog
dana razvijamo nove planove uz pomoc kojih cemo zaraditi vise novca bilo to
implementiranjem neke nove ideje ili optimizacijom vec postojecih delatnosti.
Bitno je to da je svima na prvom mestu zarada, sto je i logicno, i da se na
svakom koraku preslisavamo kako da sa sto manje ulaganja dobijemo vise novca.
Ovo ponekad izgleda veoma tesko jer smo nonstop pod pritiskom klijenata koji
imaju svakog dana neki novi zahtev, neku novu primedbu koju cemo da prihvatimo
uz smesak. Tu su i razne dazbine, zatim marketing i jos puno drugih stvari. Kada
sve ovo prebrodimo ostaje nam da pogledamo stanje na racunu. Ali ono sto je u
vecini slucajeva mnogo bitnije je to da imamo zadovoljne klijente i dobar imidz.
Informacija = Zlato
Po danasnjim istrazivanjima raznih agencija dovedeno je u pitanje da li je
poslovna informacija vaznija od vojne, i po svemu sudeci izgleda da je poslovna
informacija mnogo vise vaznija i da se sve vise paznje posvecuje njenoj zastiti.
Ekonomska spijunaza, sa svim njenim oblicima, je postala nova rec za rat izmedju
konkurentnih organizacija. Mozemo slobodno reci da je razlika izmedju oruzanog
neprijatelja i trgovinskog konkurenta minorna.
Glavni cilj je osramotiti imizd konkuretne firme, otkriti sigurnosni propust u
njenom sistemu i u nekom najbezbolnijem slucaju objaviti isti. Ovim putem se
gubi poverenje klijenata koje se tesko vraca.
Problem
Problem je u tome sto pored svih obaveza menadzeri ne razmisljaju o pojedinim,
na prvi pogled, nebitnim segmentima, sto je donekle i razumljivo. Ali ukoliko
zelimo da nas sistem ostane bezbedan i da nas biznis ne dozivi pad onda moramo
zastiti isti u svim njegovim sferama. Ako bismo razvili plan zastite naseg
sistema videli bi smo da su troskovi ulaganja mnogo manji od mogucih gubitaka u
slucaju exploatacije naseg sistema. Ukoliko shvatimo ovu cinjenicu onda cemo
ubrzo krenuti sa realizacijom ideje o zastiti naseg sitema i podataka.
Drugi problem sa kojim mozemo da se sretnemo je losa organizacija podrske
korisnika i odeljenja za obracanje javnosti. Ovo na prvi pogled izgleda kao
manje bitna stvar ali u odredjenim situacijama je preko potrebna. Jednostavan
primer je pustanje laznih informacija (en: “hoax”). U ovakvim
slucajevima, a koji su veoma cesti, ako nemamo azurnu podrsku mozemo se
oprostiti od velikog dela nasih klijenata koji ce izgubiti poverenje. Moramo
shvatiti da je konkurencija spremna i na ovako niske udarce.
Jos jedan veoma popularan problem je falsifikovanje i piraterija. Ovde nas
prilicno stite vec postojeci zakoni ali moramo i sami preduzeti odredjene mere.
Mozemo zastiti pravnim putem nase proizvode i dobiti autorska prava. Da bi se
zastitili od piraterije mozemo uvoditi razne sigurnosne prepreke kao sto su
razne zastite od kopiranja i umnozavanja, zatim vremenska ogranicenja i sl. Ali
moj stav je da se treba zastiti samo nase ime tj ono sa cime se raspoznajemo u
moru konkurencije, jer nijedna softverska ili hardverska zastita ne moze da
zadrzi uporne gikove i samim tim to je gubljenje vremena i novca. Poenta je da
se usredimo na klijente koji koriste validan tj placen proizvod jer oni drugi ga
verovatno ne bi koristili u svakom slucaju.
U virtuelnom svetu napad na informacije je mnogo efikasniji nego njegova
odbrana, napac treba da nadje samo jedan propust, bilo da je tehnicke ili druge
prirode, a druga strana mora da nadje i zakrpi svaki. Zato je potrebno na vreme
realizovati planove za zastitu informacija.
Prvi korak
Prvi i osnovni korak prilikom projektovanja sigurnosnog plana je procena
potreba organizacije i sistema za odredjenim komponentama savremene tehnologije
i interneta. Kada se ova stavka svede na svoj minimum krece se u detaljnu
analizu rizika. Potrebno je shvatiti da su napadi na nas poslovni sistem moguci
i od spolja i iznutra. Napade od spolja obicno regulisemo dobrom administracijom
naseg sitema tj mreze i implementacijom savremene tehnologije za njenu zastitu.
Napade iznutra je mnogo teze spreciti i oni su obicno glavni put napadaca. Ova
sfera napada ima ime Socijalni Inzenjering, tj postoje ljudi ili organizacije
koje proucavaju ponasanje ljudi u odredjenim situacijama i okruzenjima i nacine
na koje bi mogli iskoristiti pojedine ljudske osobine i reakcije. Ovim putem se
u vecini slucajeva od zaposlenih sa nizim ovlascenjima moze zatraziti bilo kakva
informacija koja kasnije moze biti iskoricena na bilo koji nacin. U nekim
trenucima nam se cini da je neka informacija bezazlena ali na pravom mestu i u
pravo vreme ona moze biti od vitalnog znacaja.
Obuka
Najjednostavniji nacin sprecavanja velikog dela napada je obuka svih kadrova.
Pocev od administratora mreze, baze podataka i sistema pa sve do sluzbenika na
salterima i obezbedjenja. Tehnicko osoblje je potrebno poslati na profesionalnu
obuku gde ce dobiti specijalne sertfikate kojim ce potvrditi svoje znanje a svo
ostalo osoblje treba proci kroz osnovnu obuku gde ce im biti objasnjen znacaj
sigurnosti i privatnosti informacija. Svo osoblje treba da bude detaljno upuceno
u celokupnu politiku preduzeca, da poznaje organizaciju kolektiva i da poznaje i
postuje svoja ovlascenja. Takodje je potrebno periodicno obavestavati svo
osoblje o svim izmenama u kolektivu, da usled pogresnih ili zastarelih
informacija ne bi doslo da nesporazuma. Jos jedan veliki problem su nezadovoljni
zaposleni koji zbog svog hira mogu nanesti ogromnu stetu vasem biznisu. Zato je
potrebno imati osobu koja ce biti zaduzena za pracenje aktivnosti svakog
zaposlenog koja ujedno moze da na vreme primeti moguci izvor rizika ili sa druge
strane da stimulise vrednije osoblje.
Stanje na racunu
Ako zelite da vise ne gledate stanje na vasem racunu, ako zelite da vas imidz i
biznis koji ste vec uveliko razvili ostane bezbedan, onda vam je potrebno da
procenite vase potrebe i rizike i nadjete optimalno resenje za implementaciju
sigurnosnog plana. Bez ovoga mozete samo da cekate da se i vama desi.
Predlazem da u buduce ne razdvajate bezbednost od ostalih procesa, procenite
rizike za svaki proces posebno i onda implementirajte odgovarajuce resenje. Ovim
putem mozete ustedeti i vise novca i vise vremena.