„Polityka jest jedną z gałęzi przemysłu rozrywkowego.”  - Frank Zappa

Bez zmartwień, nie będzie wywodów o polityce, może nie bezpośrednio.  Dziś będzie o tym, że bezpieczeństwo może sięgać bardzo, bardzo daleko. Nawet dalej niż sięgać może fuzzing :)

Kilka miesięcy temu na stronie super-nowa.pl ukazał się plebiscyt poświęcony wyborom najpopularniejszego posła i europosła regionu. Miałem okazją przyjrzeć się temu z bliska co zaowocowało kilkoma ciekawymi obserwacjami i wnioskami.

Czytaj dalej… »

Studencki Festiwal Informatyczny jest jedną z największych imprez informatycznych organizowanych w Polsce. W dniach 12-14 marca Kraków, już kolejny raz, gościć będzie wybitnych programistów, specjalistów ds. bezpieczeństwa teleinformatycznego, grafików, designerów… i wielu innych reprezentantów różnorodnych poddziedzin IT. Nas oczywiście najbardziej interesują wykłady związane z Security,  które prowadzić będą:

• Piotr Konieczny – IT Security Officer w Compendium, specjalista od bezpieczeństwa i sieci.
• Mariusz Stawowski – specjalista w zakresie bezpieczeństwa IT w firmie CLICO. Odpowiada m.in. za projekty i audyty bezpieczeństwa.

Oprócz ciekawych prelekcji SFI daje jeszcze możliwość wymiany informacji i swobodnej rozmowy z ludźmi o podobnych zainteresowaniach. Co więcej, konferencja jest darmowa i wymaga jedynie odrobiny samozaparcia, potrzebnego na dotarcie na teren Uniwersytetu Ekonomicznego. Więcej informacji i dokładny harmonogram imprezy można znaleźć na stronie www.sfi.org.pl

Bardzo ciekawe wyniki ankiety ukazały się kilka dni temu w sieci. Spośród  950 osób, które odeszły lub zostały zwolnione z pracy w ostatnich dwunastu mięsiacach, 60% respondentów przyznało się do wynoszenia, przesyłania lub udostępniania poufnych danych firmy, dla której pracowali. Czy pracodawcy powinni się martwić? Oj powinni i to bardzo. 

Konkurencja tylko czeka na takie łakome kąski,  nie od dziś wiadomo, że  często sprawdza się model, w którym konkurujące na rynku firmy podsyłają swoich pracowników ‘za miedzę’  aby wyrządzili jak najwięcej szkód, wykradli poufne dane i zdobyli jak najwięcej informacji strategicznych. 

Informacje wcale nie muszą być o nie wiadomo jakiej klasie tajności ( jeżeli oszukujemy się, że firmy w ogóle implementują klasy tajności) – wystarczy baza danych klientów, szczegóły produkcji, informacje odnośnie nowych projektów. 

Wracając do samej ankiety, możecie zrozumieć dlaczego uważam, że pracodawcy powinni się martwić. Respondenci odpowiedzieli również na pytania jak wyglądał poziom bezpieczeństwa informacji w ich firmach. Informacje powinny być uznane za bardzo istotne ponieważ wypływają od osób, którym zabezpieczenia udało się ominąć. Wyprzedzając nieco fakty zabezpieczenia, których nie było. Otóż 82% osób stwierdziło, że nie było żadnej kontroli dokumentów w trakcie opuszczania przez zwolnionego pracownika terenu firmy. Możemy sobie zatem wyobrazić, co i w jakich ilościach mógł on zabrać ze sobą. Jeżeli dołożymy jeszcze informacje, że 24% osób ma dalej dostęp do sieci wewnętrznej firmy to kradzież danych jest realnym i poważnym zagrożeniem.

Jeżeli natomiast liczymy na dobrą wolę swoich pracowników, to szef fundacji przeprowadzającej badanie szybko wyjaśnia, że pracownicy myślą o tym w inny sposób. „I don’t think these people see themselves as being thieves or as stealing. They feel they have a right to the information because they created it or it is useful to them and not useful to the employer.”

W jaki sposób pracownicy wynosili dane:

- nagrywane na płyty CD/DVD – 53%

- poprzez przenośne urządzenia USB 42%

- wysłane jako załącznik do maila 38%

Tutaj pojawia sie zatem odpowiedź w jaki sposób można (powinno się !) zabezpieczyć. Usunięcie portów USB. Mobilność danych poprzez urządzenia fizyczne może być w prosty sposób zamieniona przez używanie sieci lokalnej, która istnieje chyba we wszystkich poważnych firmach. Ewentualnie można wymuszać używania firmowych pamięci zewnętrznych, laptopów. To samo tyczy się nagrywarek CD/DVD w razie braku ich potrzeby można je po prostu usunąć. Pracownicy powinni być również monitorowani, a wszystko powinno być ubrane w skrzętnie ułożoną politykę bezpieczeństwa, która nie dość, że jasno określiła by co można a co nie, również groziła by przewidzianymi konsekwencjami. Oczywiście w przypadku takim jak określone powyżej, gdy pracownik zostaje zwolniony powinien być nadzorowany podczas pakowania swoich rzeczy aż do opuszczenia terenu firmy. Nie zapominając również o odebraniu wszelkich możliwych środków dostępu, kart, kluczy, kont itd. Niby takie oczywiste, a proszę jak jedna ankieta potrafi ukazać wiele rzeczy.

Jeżeli ktoś zamierza rozpocząć przygodę z fuzzingiem lub nabyć elementarną wiedzę z tego zakresu, to chciałbym poinformować, że na stronie securitum.pl pojawił się artykuł mojego autorstwa przybliżający tematykę fuzzingu. Są to raczej teoretyczne rozważania, ale myślę, że mogą być niezłym źródłem informacji bazowych potrzebnych do stworzenia solidnej podstawy pod dalszą naukę. W przyszłym tygodniu powinna pojawić się publikacja poruszająca bardziej zaawansowane kwestie (tworzenie własnego fuzzera, problemy projektowe itd.).

Ostatnio fuzzing.eu przeżywał lekki kryzys związany z natłokiem projektów, przy których pracowała nasza redakcyjna ekipa. Od dłuższego czasu chciałem wrócić do czynnego pisania, ale brakowało mi mocnego bodźca motywującego, który byłby na tyle silny, że aż wymagałby komentarza. Na szczęście taki przełom nastąpił, a stało się to po przeczytaniu TEGO wpisu na blogu Bothunters.pl (btw. jeden z najlepszych polskich blogów traktujących o security…).

Abstrahując od samego błędu na naszej-klasie, który pomimo niebezpieczeństwa jakie ze sobą niesie, nie jest jakimś niesamowitym odkryciem, to sposób jego prezentacji zasługuje na gromkie brawa. To jest mistrzostwo świata, jeżeli chodzi o informowanie publiki o wykryciu poważnych błędów w aplikacjach. Nikt jeszcze nie zrobił tego tak subtelnie i z wyczuciem. O co chodzi? Jeżeli przypatrzymy się oryginalnemu screenshot’owi zamieszczonemu pod tym adresem (http://di.com.pl/informacje/galeria,25812,2230.html), to zauważymy na nim linki do stron zawierających treści pornograficzne.

Nie wiem czy jest to wysublimowane poczucie humoru czy też może zwykłe niedopatrzenie, ale przyznam, że jeszcze nigdy z czymś takim się nie spotkałem. Czekamy na kolejne luki i… screenshoty :)