Vakar teko dalyvauti vienos kompanijos informacijos saugumo audito pristatyme. Ten, diskusijos metu, kompanijos vadovas labai teisingai pastebėjo, kad visos IT saugumo pagrindinės bėdos atsiranda dėl to, kad programinės įrangos gamintojai savo produktuose palieka nemažai saugumo spragų. Todėl, norėdami apsaugoti savo duomenis, privatumą bei verslą, esame priversti mokėti nemažus pinigus už papildomą aparatinę ir programinę įrangą tam, kad kompensuotume ar bent dalinai eliminuotume dėl  šių spragų atsirandančias grėsmes.  

O kodėl taip yra?

Visu pirma – klysti yra žmogiška. Bet kokią programinę įranga sudaro šimtai, tūkstančiai ar net milijonai programinio kodo eilučių. Tad nereiktų stebėtis, kad ten pasitaiko klaidų, ir kuo sistema sudėtingesnė, tuo klaidų tikimybė yra didesnė. Bandomųjų versijų pateikimas vartotojams – tik dalinai gelbėja, nes tai, mano galva, lazda su dviem galais: iš vienos pusės vartotojai kažkiek padeda aptikti ir pataisyti dalį klaidų (dažniausiai funkcionalumo), iš kitos pusės – tai gera proga išsiaiškinti saugumo spragas ir pasilaikyti šią informaciją sau ateičiai.

Antra – programinės įrangos gamintojai paklūsta tokiem pat rinkos dėsniams kaip ir bet kas kitas. Todėl yra skubama kuo greičiau į rinką išmesti naują produktą ar naują versiją. Dažnai yra susitaikoma su tuo, kad po to reikės išleidinėti pataisymus, bet tai laikoma mažesne blogybe, nei rinkos praradimas. Kita medalio pusė – labiau būdinga taikomosios programinės įrangos gamintojams, dirbantiems konkrečių klientų užsakymu, saugumo analizės ir sprendimų praskipinimas projektavimo stadijoje. Tokiu būdu stengiamasi sumažinti kaštus, sutaupyti laiką ar kompensuoti bei nuslėpti atitinkamos srities specialistų trūkumą. Dažnai po to tai yra tvarkoma, bet jau kliento sąskaita, teigiant, kad tai yra papildomas funkcionalumas arba paprasčiausiai paliekama klientui su ta bėda tvarkytis pačiam.

Kas belieka mums?

O mums belieka ir toliau pirkti antivirusines ir panašias programas, ugniasienes, turinio analizės ir kitokias apsaugos sistemas vien tam, kad pridengtume gamintojo broką. O gal reiktų ir IT srityje pereiti prie normalių gamintojo, pardavėjo ir pirkėjo santykių, kur galioja vartotojo teisių saugos mechanizmai, kai už brokuotą prekę ar paslaugą grąžinami pinigai ar taikomos nuolaidos ir kompensacijos, o ne laukiama gamintojo malonės, kada jis teiksis ištaisyti savo klaidas?

Kompanijos Microsoft saugumo centras, apibendrindamas problemas, su dėl kurių dažniausiai į juos kreipiamasi, sutvėrė dešimt saugumo dėsnių, kuriuos tikrai pravartu žinoti kiekvienam dirbančiam su kompiuteriu. Šiaip aš juos tiktai išvardinsiu, nes apie kievieną dėsnį galima pasiskaityti nužingsniavus pagal nuorodą.

Štai jie:

1. Jei jūs paleidote blogiuko programą savo kompiuteryje, tai jau nebe jūsų kompiuteris. "Labai svarbu ne tik nepaleidinėti, bet net neįdieginėti programų, gautų iš šaltinių, kuriais jūs nepasitikite, – svarbu tai, kad "šaltiniu" laikomas ne tas žmogus, iš kurio gavote programą, o tas, kas ją sukūrė."
2. Jei blogiukas įdiegė pakeitimus jūsų kompiuterio operacinėje sistemoje, tai jau nebe jūsų kompiuteris.
3. Jei blogiukas gali fiziškai prieiti prie jūsų kompiuterio, tai jau nebe jūsų kompiuteris. Verta paskaityti ką tuomet blogiukas gali padaryti su jūsų kompiuteriu. Ypač patiko pirmas punktas.
4. Jei blogiukas įdiegė ar paleido programą jūsų WEB serveryje, tai jau nebe jūsų WEB serveris. Veidrodinis atspindys pirmo punkto.
5. Nepatikimi slaptažodžiai bet kokią sugumo sistemą padaro beverte.
6. Kompiuterio saugumas tiesiogiai priklauso nuo administratoriaus patikimumo. Tikrai svarbus punktas, patiko mintis apie "dviejų atsakingų" taisyklę.
7. Užšifruotų duomenų saugumas tiesiogiai priklauso nuo to, kaip gerai apsaugoti šifravimo raktai.
8. Pasenusi antivirusinė programinė įranga tik nedaug geriau nei jokios. Visada yra svarbu atnaujinti ne tik antivirusinės sistemos duomenų bazę, bet ir pačią proramą.
9. Absoliutus anonimiškumas nepasiekiamas nei gyvenime, nei internete. "Vienok jei norite visiško anonimiškumo, geriau pradėkite ieškotis tinkamos olos." – čia tiksliai pasakyta.
10. Technologija pati savaime nėra panacėja. Yra svarbios kelios taisyklės:
    1. Saugumo sistema apjungia savyje tiek technologinius komponentus, tiek ir politikas, t.y sistemos saugumo lygį nusako technolgijos ir jos taikymo metodikų derinys.
    2. Saugumo užtikrinimas – tai begalinis procesas, o ne baigtinis tikslas. Kompanijų vadovai turi būti užtikrinti, kad darbuotojai žino apie galimas saugumo problemas ir moka teisingai įvertinti situaciją, t.y darbuotojus reikia mokyti.

Šiaip tai nieko naujo ir stebuklingo, bet, jei tai pamištama, tada lauk bėdos.

Link to Microsoft TechNet: Десять непреложных законов безопасности

Taigi, dauguma namų vartotojų, kurie vienu ar kitu būdu nori prisijungti prie interneto, net negalvodami įdiegia į savos kompiuterius programinę įranga, kurią gauna iš savo interneto paslaugų tiekėjo (IPT). Aišku, kad daugumai tai labai patogu ir nereikia pačiam maigyti nustatymų kad prisijungti, bet ar pagalvojame apie tai, o kokias dar "paslaugas" tas softas teikia, ko mes tikriausiai irgi nenorėtume. Nežinau ar tai daro lietuviški IPT, nes viską mėgstu susikonfigūruoti pats, bet gal ko gero ir reiktų patyrinėti.

Link to Friendly Reminder: Don’t Install ISP-provided Software – Gizmodo

Pasirodžius pranešimams apie naują tinklo atakų rūšį "Drive-by Farming", kurios labiausiai yra pavojingos bevieliams tinklams, pagalvojau, kad būtų neblogai prisiminti keletą dalykų, kurie padėtų savo namų ar kompanijos bevielį tinklą padaryti saugesniu. Nes, kaip rodo statistika, nuo 50% korporatyvinių bevielių tinklų iki 80% namų tokio pat tipo tinklų yra nepakankamai apsaugoti nuo nesankcionuoto prisijungimo.

Taigi, keletas patarimų, kaip padaryti jūsų Wi-Fi tinklą saugesniu:

1. Pakeiskite administratoriaus slaptažodį ir prisijungimo vardą. Dauguma namų vartotojų, kurie patys paleidinėja tokio tipo įrenginius, dažnai palieka gamintojo nustatytus prisijungimo vardus ir slaptažodžius. Tai leidžia bet kam prieiti prie jūsų įrenginio nustatymų ir daryti ten ką nori, tuo labiau, kad internete galima rasti pakankamai svetainių su tinklo įrenginių gamintojo nustatytais prisijungimo vardais ir slaptažodžiais.
2. Pakeiskite savo Wi-Fi tinklo kriptavimą. Jei informacija, varinėjama ten ir atgal per bevielį tinklą, nėra pakankamai gerai užšifruota, įsilaužėlis pakankamai lengvai gali prisijungti prie tinklo ir stebėti kas čia vyksta. Kai jūs įvedinėjate kokią nors asmeninę ar finansinę informaciją į kažkokią interneto sveitainę, tai gali būti nesunkiai perimta ir panaudota kad ir jūsų banko sąskaitos pakraustymui. Problema tame, kad senasis šifravimo standartas Wired Equivalent Privacy (WEP) gali būti nulaužtas per 30 sekundžių, nesvarbu kokio sudėtingumo bebūtų slaptažodis (passphrase). Deja, absoliuti dauguma namų vartotojų palieka būtent šį šifravimo būdą. Iš kitos pusės, kai kurie tinklo renginiai arba mobilūs žaisliukai su Wi-Fi palaiko tik šį algoritmą arba, geriausiu atveju, WPA-Personal (WPA-PSK), todėl, prieš renkantis įrangą, verta pasidomėti bei atkreipti dėmesį ir į tai. Sprendimas – pakeisti nustatymus į WPA2, prieš tai įsitikinus ar jūsų operacinė sistema, bevielio tinklo adapteris tai palaiko ir, esant reikalui, įsidiegus atitinkamus programinės įrangos pataisymus, pvz. WPA2 hotfix’ą Windows XP sistemai. Toliau savo tinklo įrenginuke pasirenkame saugumo nustatymus "WPA2 Personal" ir algoritmą "TKIP+AES". Galiausiai įvedame slaptažodį (būtinai užsirašykite ir saugiai pasidėkite!) į "SharedKey" laukelį ir išsaugome pakeitimus.
3. Tuoj pat pakeiskite sistemos ID. Paprastai gamintojai savo gaminiams suteikia vienodus sistemų vardus, dar kitaip vadinamus SSID (Service Set Identifier) arba ESSID (Extend Service Set Identifier). Tokių vardų kaip "Default", "Linksys" ir panašiai palikimas savo sistemoje – tai aiškus signalas, tarsi pakvietimas, piktavaliams, kad ir kiti parametrai gali būti palikti nepakeisti. Šiaip pačio vardo pakeitimas techniškai neturi įtakos sistemos saugumui, tačiau jis suteikia tinklui tam tikro asmeniškumo, pvz. "Vardenio Pavardenio Tinklas", bei iš karto atskiria jį nuo kitų neapsaugotų tinklų. Tuo labiau unikalus tinklo vardas yra tikrai patogu, kai aplinkui egzistuoja dar keletas svetimų bevielių tinklų.
4. MAC adresų filtravimas. Norėdami pamatyti, kas yra prisijungęs prie jūsų tinklo, paprastai privalote patikrinti MAC adresus. Kiekvienas daiktas, kuris gali jungtis prie kokio nors kompiuterinio tinklo, turi unikalų identifikavimo kodą, kuris dar vadinamas "fiziniu adresu" arba "MAC adresu". Jūsų tinklo įrenginys visada automatiškai įsirašo visų savo "klientų", kurie jungiasi prie jo, MAC adresus. Tokiu būdu jūs galite atskirti kurie įrenginiai yra jūsų, o kurie – svetimi ir turi būti "išprašyti" lauk. Tam, kad svetimieji negalėtų prisijungti, reikia savo įrenginyje nurodyti MAC adresus tų, kurie gali prisijungti. Tačiau tai gali nebent apsaugoti nuo atsitiktinio pasijungimo arba pradedančio įsilaužėlio bandymų jungtis. Rimtesni blogiukai naudoja specialią programinę įrangą, kuri gali perimti MAC adresus, o pasikeisti savo tinklo kortos fizinį adresą tikrai nėra sudėtinga.
5. Išjunkite tinklo sistemos ID viešinimą. Taigi, pakeisdami savo tinklo pavadinimą jūs tartum parodote, kad savo sistema pasirūpinote. Bet gal geriau, kad smalsūs kaimynai ar potencialūs blogiečiai iš viso nežinotų apie jūsų Wi-Fi tinklo egzistavimą? Šiaip asmeniniam naudojimui visai nebūtina, kad tinkls būtų matomas ir kitiems. Užtenka, kad jūs žinote jo SSID ir prisijungimo būdą. Kad tai padaryti? Dauguma tinklo įrenginių turi tinklo SSID viešinimo atjungimo galimybę. Tai daroma per disable/enable SSID brodcasting nustatymus. Kur ir kaip tai padaryti, pasiskaitykite savo įrenginio instrukcijoje.
6. Automatinis pasijungimas prie atvirų (viešų) bevielių tinklų. Dauguma kompiuterių bei mobilių įrenginių yra suderinti taip, kad automatiškai jungtųsi prie viešųjų neapsaugotų (unsecured) Wi-Fi tinklų. Jei tai nėra išankstinis gamintojo nustatmas, tai daugelis ji vistiek nustato, nes taip patogiau keliaujant ar prisijungimt prie draugo tinklo. Be to, daugelis nustato tokio prisijungimo galimybę ir tiems tinklams, prie kurių jungiamasi pastoviai (čia saugesnis atvejis). Tačiau tada nereikia pamiršti savo tinklui suteikti unikalų SSID ir vengti jungtis prie tokių, kur palikti gamintojo nustatyti pavadinimai, tokie kaip "Default", "Linksys" ir panašūs, nes taip labai lengva patekti į tinklus kvailiams medžioti, kurie yra specialiai sutverti pagauti nieko neįtariančius vartotojus ir tuo pačiu įsilaužti į jų kompiuterius.
7. Jei Wi-Fi įrenginys turi ugniasienę, būtinai ją įjunkite. IT saugumas reikalauja, kad tinklo apsauga būtų sudaryta iš kelių lygių. Vieno apsaugos lygio jau nebepakanka, kad apsisaugoti nuo tinklo atakų, virusų ir kenksmingo kodo patekimo į jūsų sistemą. Tai yra labai svarbu bevieliams tinklams, nes jie neapsiriboja kokiu nors fiziniu perimetru, o pasiekia jūsų kaimynus ar kitas viešas erdves. Esant nedideliam tinklui turime bent jau minimaliai du labai svarbius apsaugos lygius – tai Wi-Fi stotelės ar maršrutizatoriaus ugniasienę ir jūsų kompiuterio asmeninę ugniasienę. Įsitikinkite, kad abi ugniasienės yra įjungtos ir nustatytos taip, kad blokuotų anonimines interneto užklausas ar tinklo užklausas (ping). Tai padės jums paslėpti savo tinklą internete ir tuo pačiu apsaugoti jį nuo bereikalingų bandymu prisijungti.
8. Vietos Wi-Fi įrenginiui parinkimas. Bevielio tinklo signalas nežino kur baigiasi jūsų namai ar teritorija ir kur prasideda svetima erdvė. Jei signalas nedaug išeina iš jūsų erdvės, tai nieko baisaus, bet tai reikia stengtis minimizuoti. Priešingu atveju, stipraus signalo patekimas į viešą erdvę padidina tokio tinklo aptikimo ir pažeidžiamumo galimybę. Šiaip reikia stengtis nestatyti įrenginio prie langų ar įšorinių sienų, nebent norite, kad signalas apimtų ir, pavyzdžiui, nuosavo namo kiemą. Tačiau reikia bent jau pasistengti nustatyti, koks pakankamo stiprumo prisijungimui signalo spindulys ir atitinkamai pakoreguoti jo stiprumą. Nepamirškite, kad skirtingos sienų medžiagos ir storis bei langai turi skirtingą signalo slopinimą.
9. Kada reikia išjunginėti Wi-Fi tinklą. Dauguma iš mūsų žino kaip yra nepatogu ir nepraktiška pastoviai išjunginėti tinklo įrenginius. Deja, tinklas yra pažeidžiamas tada, kai jis įjungtas. Šiuo atveju patarimas gan paprastas. Išjunkite tada, kai planuojate nesinaudoti tinklu ilgesnį laiką, pvz. išvykstate atostogauti ar pan.
10. Jūsų pakeitimų testavimas. Kai jau padarėte visus minėtus nustatymus, būtų gerai išsiaiškinti pasiekto saugumo lygį. Deja, tikrąjį saugumo lygį gali parodyti rimtas bandymas įsilaužti. Problema ta, kad nėra paprastų būdų vidutiniam namų bevielio tinklo vartotojui įsitikinti savo saugumu. Vienas iš būdų, tai pasinaudoti bevielio tinklo skanavimo programomis, kaip Nestumbler, kurią galima laisvai parsisiųsti. Šio įrankio pagalba galima patikrinti tinklo pažeidžiamumus bei patikrinti signalo stiprumą įvairiose vietose.

Technorati tags: IT, Wi-Fi, bevielis tiklas, tiklai, saugumas, nustatymai, patarimai, mariukasm
del.icio.us tags: IT, Wi-Fi, bevielis tiklas, tiklai, saugumas, nustatymai, patarimai, mariukasm

Tikrai neblogas, savalaikis ir aktualus straipsnelis, nežiūrint į truputį savireklamos .

Su kuo sutinku yra tai, kad kūriant programinę įranga Lietuvoje dažniausiai saugumo analizė, resursų poreikio analizė, kliento IT infrastruktūros analizė yra dalinai, o dažniausiai visiškai ignoruojami. Net gi testavimas būna atliekamas neadekvačioje aplinkoje. To pasekoje visos bėdos išryškėja jau diegiant arba ekploatuojant produktą gamybinėje aplinkoje, dėl ko atsiranda poreikis nenumatytiems resursams ir darbams, kas stipriai pabrangina ir prailgina patį projektą, aišku kliento nenaudai.

Nesutinku, kad vienoks ar kitoks saugumo specialistas yra nereikalingas pačioje kompanijoje, ypač vidutinėse ar didelėse. Galima būtų kalbėti kaip reikia organizuoti informacinę saugą, bet tai jau kita tema. Bet, kaip žinome, informacinio saugumo įgyvendinimas nėra vienkartinis veiksmas, atseit pripirkome gudrios įrangos, viską sukonfigūravome, patikrinome ir užmiršome. Bet koks saugumas, tame tarpe ir IT, yra nesibaigiantis procesas. Taip pat saugumo negarantuoja tik pats IT technologinio saugumo diegimas, nes tai tik dalis viso informacinės saugos proceso.

Link to DELFI – Ar saugi lietuviška programinė įranga?