Δέκα τάσεις στην ασφάλεια άξιες λόγου

[kubiak]

Δέκα --άξιες λόγου-- τάσεις στην ασφάλεια
Στο Hack in the Box, o Bruce Schneier είχε μία μικρή λίστα

Σε ομιλία που μεταδόθηκε ως webcast τον προηγούμενο μήνα στο συνέδριο ασφάλειας Hack in the Box που έγινε στην Κουάλα Λουμπούρ της Μαλαισίας, ο Bruce Schneier, CTO της εταιρείας παροχής υπηρεσιών ασφάλειας Counterpane Internet Security Inc, αναγνώρισε 10 τάσεις που επηρεάζουν τον τομεά της ασφάλειας πληροφοριών σήμερα.

01. Η πληροφορία είναι πολυτιμότερη από ποτέ.
Για παράδειγμα, η Amazon.com Inc. βασίζεται σε πληροφορίες για να κάνει την αγορά των βιβλίων ευκολότερη μέσω του συστήματος αγοράς -- με ένα πάτημα του ποντικιού -- που διαθέτει. Ομοίως, όταν η επιχείρηση λιανικού εμπορίου μέσω του internet, pets.com, πτώχευσε, η βάση δεδομένων των πελατών της εταιρείας ήταν "το μόνο περιουσιακό στοιχείο" που είχε αξία, ανέφερε.

Η πληροφορία έχει επίσης αξία σε διαδικασίες ελέγχου πρόσβασης, όπως είσοδος στο σύστημα και αναγνώριση χρήστών, όπως και για τις αστυνομικές αρχές που χρησιμοποιούν την πληροφορία ως βοήθημα ανίχνευσης εγκληματιών και συλλογή αποδεικτικών στοιχείων.


02 Τα δίκτυα είναι κρίσιμες υποδομές
Το internet δεν σχεδιάστηκε για να χρησιμοποιηθεί ως κρίσιμη υποδομή. "Απλά συνέβη", ανέφερε ο Schneier, σημειώνοντας ότι αυτό δεν εμπόδισε περισσότερα κρίσιμα συστήματα
να μεταναστεύσουν προς το internet.

Το internet βοηθάει τις επιχειρήσεις να λειτουργούν πιο αποδοτικά και διευκολύνει τν επικοινωνία μεταξύ ανθρώπων, ωστόσο αυτό συμπεριλαμβάνει και ρεαλιστικά οικονομικά ρίσκα. "Αν το δίκτυο καταρρεύσει, ή αν μέρος του δικτύου καταρρεύσει, οι συνέπειας στην οικονομία είναι πραγματικές", ανέφερε.

03. Οι χρήστες δεν έχουν απαραίτητα έλεγχο της πληροφορίας που τους αφορά.
Για παράδειγμα, οι ISP ελέγχουν αρχεία καταγραφής που περιέχουν τα WWW sites που επισκέπτονται οι χρήστες, και τα μηνύματα email που στέλνουν και λαμβάνουν. Επίσης, μερικές εταιρείες κινητής τηλεφωνίας διατηρούν αντίγραφα των επαφών των χρηστών τους στους server τους.

"Η πληροφορία που σχετίζεται με εσάς έχει πολύ μεγάλη αξία", είπε ο Schneier. "Ωστόσο δεν έχετε κανένα έλεγχο στην ασφάλειά της, ακόμα και αν είναι εξαιρετικά προσωπική".

04. Το hacking είναι όλο και περισσότερο ένα εγκληματικό επάγγελμα.
Το hacking δεν είναι πλέον για χομπίστες. Όλο και περισσότερο, επιθέσεις οργανόνωνται και κατευθύνονται από εγκληματίες που έχουν ως στόχο το κέρδος. "Η φύση των επιθέσεων αλλάζει καθώς αλλάζει και ο εχθρός", είπε ο Schneier.

O εκβιασμός που συνδέεται με επιθέσεις DoS και Phishing είναι δύο παραδείγματα εγκληματικών επιθέσεων. Άλλωστε, υπάρχει μία μαύρη αγορά για αδυναμίες των συστημάτων που επιτρέπουν τους επιτιθέμενους να εισβάλλουν σε εταιρικά συστήματα ΙΤ.

05. Η πολυπλοκότητα είναι εχθρός
"Όσο τα συστήματα γίνονται πιο πολύπλοκα άλλο τόσο γίνονται και λιγότερο ασφαλή", είπε ο Schneier, χαρακτηρίζοντας το internet ως "η πιο πολύπλοκη μηχανή που έχει φτιαχτεί ποτέ".

Η πρόοδος στην τεχνολογία της ασφάλειας απλώς δεν έχουν τον ίδιο ρυθμό με αυτόν της ανάπττυξης του internet. "H ασφάλεια καλυτερεύει, αλλά η πολυπλοκότητα χειροτερεύει γρηγορίτερα" είπε ο Schneier.

06. Oι επιθέσεις είναι πιο γρήγορες από τις διορθώσεις/patches
Νέες αδυναμιές στα συστήματα ανακαλύπτονται γρηγορότερα από ότι οι κατασκευαστές τους μπορούν να τις διορθώσουν. Σε άλλες περιπτώσεις, οι αδυναμίες σε μερικά ενσωματομένα συστήματα όπως οι router της Cisco Systems Inc. δεν μπορούν να επιδιορθωθούν, αφήνοντας τις επιχειρήσεις ευάλωτες.

07. Τα σκουλήκια είναι πιο εξελιγμένα από ποτέ
Ήδη εμπεριέχουν εργαλεία εκτίμησης τρωτότητας, και εξετάζουν την άμυνα των επιχειρήσεων για αδυναμίες ενώ χρησιμοποιούν την Google Inc. για συγκέντρωση στοιχείων. "Αυτή η τάση είναι αποτέλεσμα του ότι περισσότερα σκουλήκια είναι εγκληματικά".

08. Τα άκρα είναι ο πιο αδύναμος κρίκος.
"Δεν έχει σημασία το πόσο καλές οι διαδικασίες αναγνώρισης/ταυτοποίησης που έχετε είναι, αν ο απομακρυσμένος Η/Υ είναι αναξιόπιστος", ανέφερε ο Schneier. Σε πολλές περιπτώσεις, οι Η/Υ που βρίσκονται έξω από την ασφάλεια της επιχείρησής σας είναι ο πιο αδύναμος κρίκος. Αυτοί οι Η/Υ είναι συχνά μολυσμένοι με κακόβουλο λογισμικό που δίνουν μία ευκαιρία στους επιτιθέμενους.

09. Οι τελικοί χρήστες αντιμετωπίζονται ως απειλές.
Οι εταιρείες όλο και περισσότερο αναπτύσσουν λογισμικό που στοχεύει στην άμυνα ενάντια στον τελικό χρήστη, ανέφερε ο Schneier, αναφερόμενος στα DRM ως παράδειγμα. "Όλο και συχνότερα βλέπουμε πρακτικές ασφάλειας που δεν προστατεύουν το χρήστη αλλά προστατεύουν από το χρήστη".

Σε μία τουλάχιστον περίπτωση, που περιλάμβανε λογισμικό DRM που εγκαθίστατο από την Sony Corp. χωρίς τη συναίνεση του χρήστη, το λογισμικό προκαλούσε βλάβη στον Η/Υ του χρήστη. "Οι κανόνες και οι κανονισμοί γύρω από αυτό πρόκειται να είναι ένα μεγάλο πεδίο μάχης", ανέφερε ο Schneier, προβλέποντας ότι η μάχη θα διεξαχθεί μεταξύ του λογισμικού που προστατεύει το χρήστη και του λογισμικού που προστατεύει από το χρήστη.

10. Οι κανονισμοί θα προωθήσουν τις εξετάσεις ασφάλειας (security audits).
Δεν υπάρχει έλλειψη σε κανονισμούς που περιγράφουν λεπτομερώς πως οι εταιρείες θα πρέπει να διαχειρίζονται τα δεδομένα. Κανονισμοί όπως η Sarbanes-Oxley Act θα είναι η κινητήριος δύναμη πίσω από εταιρικες εξετασεις ασφαλειας.

[whitecat]

το 9 εχει μεγαλη σημασια πως θα εξελιχθει.....
οσο για την κρισιμοτητα...ειναι αληθεια και για αυτο επενδυουν σε redundancy ολοι πλεον.

[BlindG]

01. Η πληροφορία είναι πολυτιμότερη από ποτέ.

Αυτό ίσχυε εξαπανέκαθεν. Τιποτα και πουθενά δεν παίζεται (κατά κύριο λόγο) στην πράξη διότι όλα παίζονται στις πληροφορίες και στο ποιός θα τις αποκτήσει γρηγορότερα ωστε με την μικρότερη και πιο ασήμαντη (αλλά ενδελεχώς μελετημένη) πράξη να έχει το μεγαλύτερο αποτέλεσμα.

02 Τα δίκτυα είναι κρίσιμες υποδομές

Γεγονός αυτό. Οι πιο εξεληγμένες χώρες (και εμείς από πίσω), μέρα με τη μέρα γινόμαστε όλο και πιο network dependant. Φυσική εξέληξη είναι άλλωστε αφού τα δίκτυα είναι ο (μόνος?) καλύτερος τρόπος για να γίνει το 1 (από πιο πάνω)

03. Οι χρήστες δεν έχουν απαραίτητα έλεγχο της πληροφορίας που τους αφορά.

Η μεγαλύτερη αυταπάτη που έχει η μεγάλη πλεοψηφία χρηστών: Ανωνυμία.
Ότι κάνουμε καταγράφεται απ'τους servers των isp μας. Ανα πάσα στιγμή, με ή χωρίς εισαγγελική εντολή, μπορεί "κάποιος" να δεί "τι που πως και πότε".

04. Το hacking είναι όλο και περισσότερο ένα εγκληματικό επάγγελμα.

Δυστυχώς

05. Η πολυπλοκότητα είναι εχθρός

Παραθύρια Vista.
ΩΠΜΡΟΟΟΟΟΟΪΣ!!!!

06. Oι επιθέσεις είναι πιο γρήγορες από τις διορθώσεις/patches

Προφανώς! Όταν συγκεντρώνεις μεγάλο αριθμό "εχθρών", είναι φυσικό να συμβαίνει αυτό. Viva la Microsoftcion!

07. Τα σκουλήκια είναι πιο εξελιγμένα από ποτέ

[action=BlindG]ψάχνεται να δει αν έχει τίποτα παράσιτα....[/action]

08. Τα άκρα είναι ο πιο αδύναμος κρίκος.

Στην ουσία παραπέμπει στο πιο πάνω.

09. Οι τελικοί χρήστες αντιμετωπίζονται ως απειλές.

Τον κακό σας το φλάρο καραγκιόζηδες. Μήπως εσείς φέρατε τους χρήστες στα όριά τους?

10. Οι κανονισμοί θα προωθήσουν τις εξετάσεις ασφάλειας (security audits).

Θα αρχίσουμε να βλέπουμε όλο και πιο συχνά, τύπους με πηρούνια που στην άκρη τους θα έχουν ένα μάτι για retina scan.

[Vaso P]

01. Η πληροφορία είναι πολυτιμότερη από ποτέ.
Ενα ανεπιβεβαιωτο email πωλειται 1 σεντ και ενα επιβεβαιωμενο πωλειται 3 σεντς.
Μια πληροφορια για μια μετοχη στο χρηματηστηριο κοστιζει ακριβοτερα απο την μετοχη

02 Τα δίκτυα είναι κρίσιμες υποδομές
Το μεμονομενο PC με τις χρησιμες πληροφοριες ειναι κρισιμο για τις υποδομες.
Το "τρυπιο" PC κανει φερνει τις υποδομες σε κριση

03. Οι χρήστες δεν έχουν απαραίτητα έλεγχο της πληροφορίας που τους αφορά.
Πρεπει ομως να νομιζουν οτι τον εχουν για να αισθανονται ασφαλεις και να ειναι πιο ευαλωτοι.

04. Το hacking είναι όλο και περισσότερο ένα εγκληματικό επάγγελμα.
Hacker: Οπως λεμε: Κουφοντινας, Παλαιοκωστας, Σοριν Ματέϊ

05. Η πολυπλοκότητα είναι εχθρός
Random segments of code και μετα το χαος

06. Oι επιθέσεις είναι πιο γρήγορες από τις διορθώσεις/patches
Ο επιτιθεμενος εχει παντα το πλεονεκτημα του αιφνιδιασμου.

07. Τα σκουλήκια είναι πιο εξελιγμένα από ποτέ
Ολα εξελισονται. Και τα κουνουπια ειναι ανθεκτικα στις παλαιοτερες εντομοκτονες ουσιες..

08. Τα άκρα είναι ο πιο αδύναμος κρίκος.
Ολα εχουν μια αρχη και ενα τελος, εκτος απο το λουκανικο που εχει δυο.

09. Οι τελικοί χρήστες αντιμετωπίζονται ως απειλές.
DTA: Don't Trust Anybody

10. Οι κανονισμοί θα προωθήσουν τις εξετάσεις ασφάλειας (security audits).
Oι κανονισμοι φτιαχνονται απο ανθρωπους. Καθε ανθρωπος εχει την τιμη του ή το αδυνατο σημειο του. Αρα και οι εξετασεις ασφαλειας πασχουν .

Και οπως μου απαντησε ενα παιδι σε καποιο θεμα:
"ολα τα συστηματα εχουν τρυπες"
------------------------------------------------------------------------------------------
- Ακίνητη ! Ασφάλεια !
- Ασφάλεια; Μουαχα χα χα. Ποια ασφάλεια;