Paula vine din nou în România, de data asta pentru un curs de o săptămână (17-21 august), împărțit în două: primele două zile despre Hacking Windows Infrastructure, iar ultimele trei zile despre Securing Windows Infrastructure. Da, orice specialist IT care se respectă, trebuie să fie la curent cu ultimele metode pe care le folosesc hackerii și să fie capabil să-și apere jucăriile. Cursul costă 2000eur pe cap de participant (cu early bird de 1750eur), însă este world class! Atacați acum bugetele de training.
Arhive pe categorii: Securitate
SRI promite că nu va abuza de legea securității cibernetice
E clar că e nevoie de o lege a securității cibernetice prin care autoritățile să țină sub control amenințările din internet și să izoleze rapid incidentele de securitate din infrastructurile IT de interes național. Fiindcă legea a fost contestată la Curtea Constituțională, SRI a simțit nevoia duminică să explice spiritul legii cu un infografic despre modul cum ar acționa în caz de incident. În plus au subliniat că (deși faimosul articol 17 din lege le permite) nu vor accesa infrastructura IT a altora decât pe baza unui ordin judecătoresc. Problema este că noi toți înțelegem spiritul legii respective și rațiunea pentru care a fost creată, dar litera ei este șubredă. Știu că ne trebuie repede, tocmai de aia zic, hai să o corectăm și gata.
Update: Curtea Constituțională a decis în 21 ianuarie că legea este neconstituțională.
Legea securității cibernetice, serviciile secrete și găinile
Legea securității cibernetice a fost adoptată de deputați în septembrie 2014 și de senatori în decembrie, înainte de Crăciun. Acum este la promulgare la președinte, însă ONG-urile și-au făcut treaba și au semnalat câteva probleme, printre care și cea legată de articolul 17, care permite accesul prea ușor (fără hotărâre judecătorească) la datele prea multor posesori de calculatoare (potențial tuturor). Adoptarea în Senat a cauzat intensificarea iureșului ONG-urilor ceea ce a dus la o sesizare de neconstituționalitate depusă chiar de senatorii liberali. Înainte de a-mi începe analiza, dați-mi voie o observație de natură lexicală: nu înțeleg de ce folosim cuvântul „cibernetică” pentru a vorbi despre IT. Cibernetică înseamnă cu totul și cu totul altceva. Haideți să folosim IT, vă rog, de la tehnologia informației. Așa vor înțelege și cei cca 100000 de profesioniști IT din România că este vorba despre jucăriile lor. Puriștii ar spune că trebuie să punem IT&C pentru a include și comunicațiile, dar nu este nevoie. În acest context de securitate, comunicațiile sunt parte din IT, sunt țeava prin care curg biții. În legea asta ar trebui să fie vorba despre „securitate IT” și „infrastructuri IT”, dar să revenim.
Dacă aveți curiozitatea să citiți legea, veți vedea că este bine scrisă și are un scop generos, acela de a reduce riscurile de securitate din rețelele de calculatoare și servere de interes național (în textul legii ICIN = infrastructuri cibernetice de interes național). Bine scrisă în sens relativ, fiindcă avem multe alte legi mai stufoase și mai ambigue. Și legea asta poate fi perfecționată.
Sunt voci care susțin că articolul 17 a fost introdus premeditat de către serviciile cu 3 litere pentru a le da acces la datele posesorilor de calculatoare și servere, dar eu cred că nu e chiar așa. Din nou, dacă citiți legea, articolul 17 pare ok în contextul unei amenințări de securitate IT, însă ONG-urile au și ele dreptate: articolul, mai exact punctul (1)a), este scris neglijent și permite niște interpretări periculoase:
Art. 17. (1) Pentru realizarea securității cibernetice, deținătorii de infrastructuri cibernetice au următoarele responsabilități:
a) Să acorde sprijinul necesar, la solicitarea motivată a Serviciului Român de Informaţii, Ministerului Apărării Naţionale, Ministerului Afacerilor Interne, Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, Serviciului de Informaţii Externe, Serviciului de Telecomunicaţii Speciale, Serviciului de Protecţie şi Pază, CERT-RO şi ANCOM, în îndeplinirea atribuţiilor ce le revin acestora şi să permită accesul reprezentanţilor desemnaţi în acest scop la datele deţinute, relevante în contextul solicitării.
b) să informeze, de îndată, autoritățile și instituțiile publice prevăzute la lit.a) cu privire la incidentele cibernetice identificate, conform procedurilor stabilite prin normele metodologice la prezenta lege.
(2) Deținătorii de infrastructuri cibernetice pot solicita asistență de specialitate autorităților și instituțiilor publice cu atribuții în domeniul securității cibernetice în domeniul lor de activitate.
Nu cred că SRI sau alte servicii cu 3 litere au nevoie de articolul ăsta pentru a „convinge” pe cineva că doresc acces la datele lui în cazuri de securitate națională. Mai ales dacă vin la negocieri cu mascații înarmați. Scopul articolului trebuie să rămână izolarea și remedierea incidentelor de securitate IT.
Soluția pentru corectarea Art.17 nu e chiar atît de simplă cum sugerează APTI (Asociația pentru Tehnologie și Internet, unul din ONG-urile de mai sus), cu tot respectul pentru Bogdan Manolea, fiindcă atacurile din internet se întâmplă foarte repede și răspunsul trebuie să fie și mai rapid, dacă se poate înainte ca amenințarea să se transforme într-un incident. Nu ne putem permite să așteptăm ca procurorul să întocmească cererea de „supraveghere tehnică” și apoi ca judecătorul să analizeze și să aprobe. Mărturisesc că nu știu cât de puțin poate dura asta în mod realist, dar nu cred că e vorba de minute sau ore, iar dacă e vorba de zile, atunci e prea târziu. Mai degrabă aș clarifica la ce date deținute trebuie să dea acces și cum. De fapt, aici nu ar trebui să fie vorba despre acces la date, ci despre acces la infrastructura IT cu scopul de a izola și remedia un incident de securitate IT. Veți spune că dacă se dă acces la infrastructură, se dă acces indirect și la date. Corect, însă în astfel de cazuri, de obicei se pun clauze de genul „autoritățile vor folosi accesul la infrastructura IT strict pentru a izola și a remedia incidentul de securitate IT”, eventual decorat cu „eventuale date obținute din acțiunile de izolare și remediere nu pot fi folosite de către autorități în alte scopuri, decât pentru a izola și a remedia incidentul de securitate IT”. Știm cu toții că tehnic nu ai cum să îi oprești, însă legea asta este perfectă pentru a-i ține în lesă.
A doua problemă semnalată de APTI este că legea se aplică tuturor persoanelor de drept public și privat, adică inclusiv firmulițele cu un calculator. Soluția propusă de APTI este ca legea să se aplice doar deținătorilor de infrastructuri IT de interes național, ceea ce are sens, însă ce ne facem cu firmulițele sau chiar persoanele fizice și XP-urile lor care îngroașă botnet-urile prin ignoranța deținătorilor (software neactualizat, lipsa măsurilor elementare de securitate sau pur și simplu pron sau porci zburători prostie). Păi putem folosi învățăminte din sănătatea publică. Cum se procedează când apare o epidemie cu un virus periculos, chiar necunoscut? Amintiți-vă de H5N1 (gripa aviară) sau HIV (SIDA). În primă fază izolezi focarele, pui bolnavii în carantină, îi tratezi și între timp studiezi virusul. Afli modul de răspândire pentru a-l izola mai eficient și cauți un antidot pentru a trata bolnavii. Apoi educi populația să nu se infecteze, să-și ardă găinile suspecte, să folosească prezervativ și ace de unică folosință. Cam așa faci și în securitatea IT. Partea cu educația e un efort de lungă durată, chiar continuu, și nu încape în această lege. Trebuie să investim în programe de educație în domeniul securității IT și să le executăm regulat.
Ceea ce merită totuși inclus într-o lege este izolarea deținătorilor de infrastructuri IT infectate, adică carantina. Știu că e radical ceea ce spun aici, dar este extrem de util și relevant în contextul securității IT. Gândiți-vă că acum, de dragul libertății și al privacy (în IT, asta înseamnă dreptul de a-ți controla datele), nu putem face mare lucru cu calculatoarele infectate ale persoanelor fizice sau juridice care, de cele mai multe ori fără voia lor, participă la rețele internaționale de infracționalitate informatică. Da, calculatoarele lor infectate sunt controlate de infractori pentru a organiza atacuri lucrative către ținte bănoase de aiurea. Posesorii de astfel de calculatoare văd doar o încetinire periodică a calculatoarelor. Atunci își ard găinile, pardon, își reinstalează calculatoarele și rămân sănătoși până la următorul sex neprotejat, pardon, până la următorul site dubios care le reinstalează rootkit-ul sau următoarea aventură printre dependenții de droguri injectabile, pardon, instalare de aplicație primită de la moștenitorul african. Ați înțeles analogia? Carantina este un concept greu de digerat și fiindcă ea trebuie să includă persoanele fizice, poate că nu încape în această lege făcută pentru persoane juridice (vezi Art.2 mai jos).
O altă problemă esențială pe care o văd în această lege este legată de ambiguitatea articolului 2 care definește deținătorii de infrastructuri IT așa:
Art.2.
Dispozițiile prezentei legi se aplică persoanelor juridice de drept public sau privat, care au calitatea de proprietari, administratori, operatori sau utilizatori de infrastructuri cibernetice, denumite în continuare deținători de infrastructuri cibernetice.
Pare ok, însă sunt mici probleme cu partea de proprietari și mari probleme cu cea de utilizatori. Proprietarii ne încurcă în scenariile de cloud public, iar utilizatorii… ei bine, ei n-au ce căuta în legea asta.
Să dăm un exemplu fictiv: să zicem că suntem AFIR (Agenția pentru Finanțarea Investițiilor Rurale) și avem infrastructura IT închiriată de la STS (Serviciul de Telecomunicații Speciale). La ei sunt serverele noastre, adică suntem într-un scenariu tipic de cloud privat. Cine este deținătorul infrastructurii IT? Conform articolului 2, amândoi, fiindcă STS este proprietar, iar noi administratori și operatori. S-ar putea să vrem să lăsăm personalul STS să administreze și noi să rămânem doar operatori, dar e ok, nu se schimbă nimic, suntem amândoi în continuare deținători de infrastructură IT. Mai departe, dacă agenția noastră anunță un val de finanțări, iar fermierii năvălesc pe portalul public să-și depună dosarele cu cereri de finanțare, atunci este mult mai eficient să închiriem vreo sută de servere dintr-un cloud public cum este Azure sau AWS pentru a găzdui portalul public pe perioada de vârf a depunerilor. În acest caz, proprietarul acelei părți a infrastructurii noastre IT va fi o corporație americană, care sub nici o formă nu ne va da acces fizic la datacenterele sale. Dar oare chiar este nevoie să includem proprietarii în această lege? În mod normal, o intervenție pe un incident de securitate se poate face la nivel de administratori. Chiar este nevoie de acces la nivel de proprietari, adică acces fizic la fiare și sârme? Cine știe, poate e nevoie să smulgi repede niște harddisk-uri, sau niște cabluri. Habar n-am. Poate ne lămurește cineva care se pricepe la asta. În orice caz, dacă lăsăm proprietarii în lege, atunci avem o problemă cu cloud-ul public. Nu spun că Microsoft sau Amazon nu ar colabora cu autoritățile române, dar trebuie să avem pretenții rezonabile, adică nu are rost să le cerem acces fizic și nu e realist să le cerem ceva fără hotărâre judecătorească. În plus, ar fi păcat ca această lege să pună piedici inutile în folosirea de cloud-uri publice.
În scenariul de mai sus vorbeam de fermierii care depun cereri pentru finanțări. Cine sunt ei? Sunt utilizatorii portalului public. Adică, conform articolului 2, sunt și ei deținători de infrastructuri IT. Complet greșit! Ei trebuie scoși din articolul 2, fiindcă doar încurcă acolo.
Nu scriu asta pentru a critica inițiatorii sau legiutorii, deși se vede că o dezbatere publică ar fi fost utilă. Vreau doar să ajut și vă indemn și pe voi să o faceți, mai ales dacă rezonați la probleme de securitate IT.
FIDO vrea să elimine parolele
FIDO Alliance își dorește eliminarea parolelor și pare să capete tracțiune de la onlineri și de la câțiva mari jucători pe piața consumatorilor de acasă. Săptămâna asta au scos specificațiile finale iar entuziasmul a luat proporții.
Culmea e că acum 10 ani când Bill Gates a anunțat moartea parolelor la o conferință RSA, puțină lume din industrie l-a luat în serios. Reacțiile au fost mai degrabă de bășcălie, însă cei care au fost atenți, și-au dat seama că sistemul de management de identitate despre care vorbea era superb, atât de generos, încât era prea frumos să fie adevărat. Și totuși, acum, după un deceniu, încă ne luptăm cu parolele, fiindcă industria nu a luat-o pe acea cale. FIDO Alliance face acum exact invers, o ia de jos în sus, de la device către backend. Inițiat de către onlineri, FIDO Alliance propune un sistem simplu de modernizare a managementului de identitate pornind de la user. Nu este ceva revoluționar, dar este un prim pas al naibii de important. Și pare că le reușește. Google, Samsung, RSA, Visa, Mastercard, o serie de bănci mari au sărit în barca asta. Hop și Microsoft, care știe că ajutând acest demers, va putea continua efortul pe ”the big picture”. Nu se bagă să conducă grupurile de lucru și îi lasă pe onlineri să se afirme (Google, eBay, PayPal). Deh, gustul amar al standardizării Open XML încă persistă. Vremuri interesante!
Urmează ca alianța să-i convingă pe Apple și pe marii jucători din enterprise, IBM și Oracle fiind deja obosiți de atâtea eforturi de ”identity interop”. O altă absență importantă este Amazon, deși Alibaba e deja acolo. Mda, lumea standardelor este una ciudată și plină de interese comerciale. Să sperăm totuși că își vor băga cu toții mințile în cap și vor agrea aceste specificații, care fie vorba între noi, nici măcar nu sunt standard, fiindcă nu au fost cedate încă unui organism de standardizare.
Digital Crimes Unit strikes again
Microsoft Digital Crimes Unit este divizia de investigatori (a se citi d-ăia foști pe la agențiile cu trei litere) care au o poziție ofensivă față de infractorii din internet. Suntem singurii din industrie care își asumă și această poziție, pe lângă cele defensive. Ultima ispravă este legată de infecțiile cu Bladabindi și Jenxcus prin servicii gratuite de Dynamic DNS nesecurizate. Detalii la http://blogs.technet.com/b/microsoft_blog/archive/2014/06/30/microsoft-takes-on-global-cybercrime-epidemic-in-tenth-malware-disruption.aspx și în infograficul de mai jos:
Siguranța online în săptămâna altfel
Ne-a vizitat azi o armată de copii. Au fost multe interacțiuni faine cu colegii, pe teme diverse. Eu le-am vorbit despre securitatea pe net, urmând ideile de mai jos:
Păstrează secrete toate parolele
– Crează parole puternice
– Securizează-ți parolele
Folosește rețelele sociale în mod sigur
– Nu împărtăși prea multe despre tine sau familia ta
– Controlează-ți reputația
– Folosește cu cap serviciile de localizare
Atenție la fraude
– Păcăleli online
– Păcăleli telefonice
Nu răspundeți la intimidări și raportați-le celor de încredere
www.sigur.info
www.safernet.ro
www.efrauda.ro
www.microsoft.com/security
Countermeasures: Protecting BitLocker-encrypted Devices from Attacks
Un document proaspăt care demistifică (lipsa) pre-boot authn de pe tablete și eficiența BitLocker în scenarii mobile: http://www.microsoft.com/en-us/download/details.aspx?id=41671. 20 de pagini foarte bune pentru cei cu înclinații paranoice spre securitate. Din cuprins:
- Attacks
- Bootkit and rootkit attacks
- Brute-force sign-in attacks
- Direct memory access attacks
- Hyberfil.sys attacks
- Memory remanence attacks
- Countermeasures
- Protection before startup
- Protection during pre-boot: pre-boot authentication
- Protection during startup
- Protection after startup: DMA attack protection
- Choosing the right countermeasures
- Summary
Despre securitate, ieri la Hotnews, azi la CERT-RO
Ieri am fost cu prietenul meu George Cozoș la Hotnews pentru o discuție online despre securitatea în cloud. Vedeți aici ce a ieșit și mai jos un scurt interviu:
Azi am fost la conferința anuală a CERT-RO și am prezentat ceea ce vedeți mai jos, adică o perspectivă asupra securității cibernetice în contextul în care business-urile și organizațiile doresc să fie competitivi prin adopția de trenduri moderne ca mobile, social, cloud și big data:
Dezbatere pe teme de securitate la Hotnews
Am fost marțí la Hotnews la o dezbatere pe teme de securitate IT și m-a frapat naivitatea cu care se privesc actualizările pentru sistemul de operare și pentru restul de aplicații folosite. Fraților! Nu are sens să vorbim de alte măsuri de securitate (firewall, antivirus) sau de educația utilizatorilor (să nu deschidă toate prostiile primite de pe net), dacă lumea nu își actualizează softurile. Este atât de simplu. Actualizările de obicei sunt răspuns la atacuri reale care se întâmplă deja. Este absurd să crezi că te poți pur și simplu ascunde.
Ah și mai e un lucru, Windows XP este pe ducă. Aveți exact jumătate de an să scăpați de el și să treceți la ceva modern.
Discuția de la Hotnews este la http://economie.hotnews.ro/stiri-it-15755966-cat-mare-pericolul-fii-victima-unui-atac-cibernetic-cum-poti-proteja-softurile-care-pot-prelua-controlul-asupra-computerului-tau-specialistii-cert-anssi-microsoft-discuta-online-miercuri-ora-10.htm
Accesul guvernelor și justiției la datele voastre din cloud
Am participat marți la evenimentul organizat de The Hack meetings despre securitatea și confidențialitatea* datelor în cloud. A fost o discuție de mare actualitate, mai ales că în media s-au făcut o grămadă de speculații în ultimul timp. Iată pe scurt câteva chestiuni pe care le-am spus acolo:
- Cloud-ul nu este un loc unde te poți ascunde de autorități. Da, dacă autoritățile (din orice țară, nu numai SUA) vin cu o citație sau ordin judecătoresc la furnizorul de cloud, acesta trebuie să se conformeze și să ofere acces la datele clientului. Asta nu înseamnă că autoritățile au acces oricând la aceste date. Microsoft oferă acces la metadatele clienților săi numai pe baza unei citații și oferă acces la date (conținut) numai pe baza unui ordin judecătoresc. Vedeți aici un raport cu cererile pe care le-am primit în anul 2012, de unde reiese că au fost doar 4 clienți comerciali în această situație. Toți 4 au fost informați și au fost de acord să colaboreze.
- Guvernele (de aiurea) și agențiile lor (alea cu trei litere) fac analiza datelor care sunt disponibile pe internet în diverse scopuri. Asta e realitatea. The name of the game is big data. Asta nu înseamnă că pot analiza și documentele voastre din cloud.
- Securitatea în cloud este cu mult mai mare decât își poate permite marea majoritate a consumatorilor de IT de orice dimensiuni. Trebuie să înțelegem că securitatea înseamnă protejarea datelor împotriva pierderii, utilizării greșite, accesului neautorizat, dezvăluirii, alterării sau distrugerii și atunci ne dăm seama că ne trebuie:
- controlul accesului și
- criptarea datelor în repaus (stocare) și în mișcare (transfer) și
- securitate fizică și
- recuperare în caz de dezastre și
- auditare în sens de monitorizare.
- Avem o problemă de încredere peste care nu putem trece decât prin respectarea regulilor și prin transparență. De aceea am cerut șefului Departamentului de Justiție al SUA să ne permită publicarea completă a modului în care tratăm solicitările de acces la date pentru a include și cele în scop de siguranță națională. Detalii în română aici și în engleză aici. Update 30 aug 2013: Microsoft și Google sunt în continuare îngrijorate că guvernul SUA nu ne permite publicarea acestor informații. Detalii aici.
Salutăm inițiativa organizatorilor! Iată și un rezumat al moderatorului Vali Bîrzoi.
Notă: *confidențialitate este o traducere nefericită a privacy dar chiar nu știu un alt cuvânt mai potrivit care să reflecte respectarea dreptului cuiva de a-și controla datele.
Zoli Herczeg 