Η ENISA έκανε πέρσυ ένα survey με θέμα τα μέτρα που λαμβάνουν οι service providers για την ασφάλεια και το spam. Το κείμενο σε μορφή PDF μπορείτε να το διαβάσετε εδώ:
Ενδιαφέροντα στοιχεία από τις 28 σελίδες του survey:
– “Providers in Europe are less concerned about outgoing emails, i.e. they are less concerned about their customers sending spam. They rely on legal instruments such as Terms and Conditions. In addition, to gain better information about legal consequences, enforcement could be further improved to prevent spam originating from Europe.”
– “Only the Finnish NRA* indicated that they issue recommendations or advice which describe technical safeguards in detail.”
Αυτή τη χρονική περίοδο η ENISA τρέχει ένα δεύτερο survey για να επικαιροποιήσει τα αποτελέσματα του πρώτου.
Το μεσημέρι μίλησα λίγο πιο έντονα σε ένα φίλο. Το σκέφτηκα λίγο αργότερα και (επειδή κανείς δεν χαίρεται με το να φωνάζει σε φίλους του) είπα να κατασκευάσω μια ιστορία για να καταλάβει το point μου:
Έστω ο administrator Χ. ο οποίος έχει ένα μηχάνημα με XP σπίτι του για να συνδέεται στο Internet από το σπίτι. Όπως είναι (ίσως) λογικό ο administrator της ιστορίας μας έχει στήσει και την υποδομή του έτσι ώστε να μπορεί να συνδέεται και στο εταιρικό του δίκτυο για να “κοιτάζει τι δεν πάει καλά”.
Επειδή κανείς δεν είναι μόνος σε αυτή τη ζωή ο administrator παραχωρεί (όχι με ιδιαίτερη ευχαρίστηση) δικαιώματα χρήσης και σε τρίτους στο (οικογενειακό) desktop. Φυσικά και έχει πάρει κάθε (δυνατό) μέτρο ώστε να προστατεύει το μηχάνημα από λάθη και “λάθη”. Ξέρει όμως πως οι χρήστες είναι ανίκητοι: Και όταν χρειάζονται ένα πρόγραμμα, θα το εγκαταστήσουν και χωρίς την άδειά του. Ακόμα κι αν είναι “παράνομο” και κατεβάσουν το άγνωστης προέλευσης binary crack από το Internet (“Μα αφού δουλεύει, τι με νοιάζει αν κάνει και κάτι άλλο;”).
Ο administrator της ιστορίας μας μπορεί να την πατήσει και όχι γιατί δεν ήταν αυτός προσεκτικός+.
Στη χειρότερη εκδοχή του παραπάνω σεναρίου αυτά συμβαίνουν όχι στον υπολογιστή του administrator, αλλά σε αυτόν του CEO, ο οποίος απαιτεί να έχει και remote access στο εταιρικό δίκτυο, και ένα κάρο προγράμματα που κατέβασε από το Internet γιατί είναι “cool”.
Αν με βρίσκετε υπερβολικό, you are entitled your own level of paranoia.
[*] – Καλύτερο παράδειγμα: Εγκαταστήστε το Office 2000 (complete installation) σε XP. Μετά κάντε login σε limited account και προσπαθήστε να εκτελέσετε μια εφαρμογή για πρώτη φορά. Για να υπερβείτε το πρόβλημα που θα παρουσιαστεί, προσωρινά κάντε το limited account -> computer administrator και εκτελέστε όλα τα προγράμματα του Office που σας ενδιαφέρουν μία φορά. Μετά αλλάξτε το λογαριασμό πάλι σε limited account και είστε OK. Το πρόβλημα προκύπτει γιατί το O2K θέλει administrator rights για να γράψει κάποια keys στο registry όταν εκτελείται πρώτη φορά.
[+] – Η ιστορία αυτή είναι ισοδύναμη με το να σπαταλάς χρόνο, χρήμα και ενέργεια για να μπεις σε ένα ασφαλή χώρο, ενώ την ίδια στιγμή μπορεί να καταφέρεις το ίδιο πράγμα δίνοντας λιγότερα χρήματα στην καθαρίστρια ή κάνοντας σωστό social engineering.
Με αφορμή (και όχι αιτία) την επίθεση με ρουκέτα κατά της Αμερικανικής Πρεσβείας διάφοροι φωστήρες ζητούν να αλλάξει η απόφαση της ΑΠΔΠΧ και να επιτραπεί η χρήση των καμερών παρακολούθησης της κυκλοφορίας και για την πρόληψη κακουργηματικών ενεργειών. Ας δούμε τι συμβαίνει ως τώρα και εάν εφαρμόζεται ορθά η απόφαση της Αρχής:
Αυτό το video έχει περάσει mail-με-mail (κατά το χέρι-με-χέρι) από σχεδόν κάθε Ελληνικό mailbox. Αν δε πάει κανείς στο Youtube και ψάξει για “Greek traffic accident” θα δει και video που δεν είναι καθόλου μα καθόλου αστεία (Parental advisory).
Και ρωτάω:
Κόψατε κανένα κώλο;
Με ποια τεκμηρίωση και τι μούτρα ζητάτε να επεκταθεί η χρήση των καμερών τη στιγμή που δεν μπορείτε να περιορίσετε τη διοχέτευση των video στο Internet*;
Το βασικό επιχείρημα είναι πως “όποιος δεν έχει κάνει κάτι κακό, δεν έχει τίποτε να φοβηθεί”. Αλήθεια;
“As governments widen their definitions of just who is a potential threat it makes increasing sense for citizens engaged in previous innocuous activities (especially political and financial privacy) to protect their data from being useful if seized.”
(Απόσπασμα από email του Steve Schear σε απάντηση στον Steven Bellovin στη λίστα cryptography παπάκι metzdowd τελεία com)
Και ναι το παραπάνω απόσπασμα αναφέρεται σε δεδομένα που ο χρήστης κρυπτογραφεί για να μην είναι εύκολα προσβάσιμα από οποιονδήποτε τρίτο, αλλά οι λόγοι είναι οι ίδιοι.
Χτες (2006/01/17) ο Βουλευτής κ. Γεωργιάδης στη ΝΕΤ 105.8 υποστήριξε πως εφόσον είναι σε δημόσιο χώρο κάποιος, διατρέχει τον ίδιο κίνδυνο να γίνει γνωστό το “μυστικό” του, όσο κι αν τον δει μια γειτόνισσα. Γι’αυτό όποιος έχει μυστικά καλύτερα να τα διαχειρίζεται σπίτι ή στο γραφείο του.
Ενδιαφέρουσα επιχειρηματολογία, αστήρικτη όμως. Την κουτσομπόλα γειτόνισσα την ξέρω και μπορώ να την αποφύγω. Τις (πάμπολλες) κάμερες όμως δε μπορώ. Όπου κι αν στρίψω είναι πάντα μπροστά μου. Στη γειτόνισσα πετάω κι ένα μπινελίκι και εξαφανίζεται. Άμα βρίσω μια κάμερα θα κλείσει;
Όλοι αυτοί που πιέζουν για την αύξηση των καταγραφομένων δεδομένων ονειροβατούν, κυρίως γιατί δεν έχουν hands-on experience από συστήματα καταγραφής. Όπως λέει και ο John Gilmore:
Ένα τέτοιο σύστημα μαζικής καταγραφής είναι αποτυχημένο εν τη γεννέση του. Προάγει τους πάντες σε πιθανούς ύποπτους.
– Ποιο το πρόβλημα λοιπόν;
Αυτό δε μπορεί να ισχυριστεί ένας υποστηρικτής των καταγραφέων; Εκτός από τα χαμένα χρήματα; Μα η παράνομη στόχευση σε πολίτες. Με τι απόδειξη; Μα το παραπάνω video που έχει διαρρεύσει σαν αστείο στο Youtube αυτό δείχνει. Σήμερα είναι ένα αστείο, αύριο θα είναι η επί πληρωμή παρακολούθηση του πολίτη στον δρόμο από κάποιο τρίτο.
Δεν αμφισβητώ εγώ την ηθική των χειριστών των καμερών -το έκαναν μόνοι τους, με τα video που έχουν διαρρεύσει. Αλλά τα προβλήματα που υπάρχουν είναι πολλά και δεν δείχνει να τα έχει αντιλληφθεί κανείς. Ποιές είναι οι μισθολογικές απολλαβές των χειριστών; Είναι τέτοιες που να τους αποτρέπουν από την ιδέα και μόνο του χρηματισμού; Πως μπορούν να προστατευτούν από εκβιαστές; Γιατί ένα παλιό ανέκδοτο της ασφάλειας υπολογιστών λέει:
– Μπορείς να σπαταλήσεις εκατοντάδες χιλιάδες δολλάρια σε εξοπλισμό για να “σπάσεις” ένα σύστημα, ενώ μπορείς να δώσεις χίλια και να πάρεις τα κλειδιά από την καθαρίστρια.
(Μερικές φορές πάλι αρκεί να φτάσεις μέχρι τη ποδιά της καθαρίστριας για να πάρεις τα κλειδιά)
Πως ελέγχεται ο χειριστής της κάμερας που θα εντοπίσει το “τρελό γκομενάκι” και θα το κοιτάξει να δει που πάει και τι λέει, αν έχει γκόμενο κ.λπ. Έχει μελετήσει ποτέ κανείς αυτή την περίπτωση stalking; Τα άλλα προβλήματα; Και εάν ναι, ποιες είναι οι προβλεπόμενες αντιδράσεις; Γιατί μέχρι σήμερα δε φαίνεται να υπάρχει κάτι.
Δε θα μου αλλάξει τον τρόπο ζωής κανένας τρομοκράτης.
Αποδείξτε πως μπορείτε να διασφαλίσετε σωστά τις υπάρχουσες κάμερες από διαρροές και να μας προστατεύσετε από τους χειριστές τους και μετά το ξανασυζητάμε για την πλήρη ενεργοποίησή τους ώστε στοχευμένα και μετά την εντολή εισαγγελέα να μας προστατεύουν από κακόβουλες ενέργειες.
Με την υπόθεση πως μια από τις πρώτες εντολές που εκτελεί κάποιος που παίρνει shell access σε μια μηχανή είναι η ls, τότε κάνοντας ένα hardlink το /bin/ls στο /sbin/halt, με το που θα εκτελεστεί η εντολή ο firewall θα κάνει halt. Επειδή αυτό είναι ένα μη προγραμματισμένο γεγονός, όταν βρεις τον firewall κλειστό χωρίς προφανή λόγο, καλό είναι να αρχίσεις να σκέφτεσαι μήπως έχει γίνει κάτι πονηρό…
– ΟΚ, και τότε πως θα κάνω ls στον firewall από το shell;
Απάντηση: Σε ένα shell prompt δοκιμάστε την εντολή:
“[…] What we hope to see next year: Less vulnerabilities! Higher quality software. More responsive and responsible vendors. Credit, where credit is due. A vulnerability database. A safe programming tutorial. Some of these we know we probably wont get. Others we are working on making happen. Whatever happens, this will be an interesting year.
May your servers be secure, and your firewalls tight.”
Χμμμ… αν εξαιρέσουμε databases σαν το CVE, πόση πρόοδος έχει υπάρξει άραγε αυτά τα 10 χρόνια στα υπόλοιπα ζητήματα που έθεσε με το email του ο Aleph One;
“Όποιος ξανακαπνίσει στο terminal room να ξέρει πως θα του κόψω τον κώλο –adamo”1
Μερικοί εγκαταστάτες έχουν την εντύπωση πως επειδή κάνουν ένα install σε κάποιο ΝΠΔΔ, πως έχουν έρθει σε νησάκι με ιθαγενείς και μπορούν να μιλάνε όπως τους αρέσει, να κάνουν ότι τους αρέσει και να έχουν και αλλαζονικό υφάκι. Ανάμεσα στα άλλα επίσης θεωρούν πως είναι τεράστια μαγκιά (γιατί μόνο για λόγους επιβολής μπορεί να γίνεται αυτό και σαν BOFH αυτά τα κόλπα τα μυρίζομαι από μακριά) να καπνίζουν αρειμανίως την ώρα της εγκατάστασης, ανεξάρτητα από το χώρο στον οποίο γίνεται.
Ρε στόκε, από πάνω σου ήταν ο αισθητήρας φωτιάς! Αλλά ακόμα και αν δεν ήταν εκεί ο αισθητήρας, έτσι έμαθες να κάνεις τη δουλειά σου; Ακούς εκεί “Δεν πειράζει”.
Τέλος πάντων ήταν τυχερός που δεν ήμουν εκεί την ώρα που έγινε αυτό. Και διπλά τυχερός γιατί αυτός που τον σταμάτησε “ανάβει” πιο γρήγορα και από εμένα.
OWASP Greece Local Chapter: “Το ΟWASP (Open Web Application Security Project – http://www.owasp.org) αποτελεί μία πρωτοβουλία που αποσκοπεί στον εντοπισμό και στην καταπολέμηση των τρωτών σημείων του λογισμικού τέτοιων εφαρμογών. Όντας ένας μη κερδοσκοπικός οργανισμός, ακολουθεί την ιδεολογία του Ελεύθερου/Ανοικτού λογισμικού, παρέχοντας δωρεάν αλλά επαγγελματικής ποιότητας έγγραφα, εργαλεία και πρότυπα. Παράλληλα, ενισχύει τη διοργάνωση συνεδρίων και τοπικών ομάδων εργασίας (local chapters), τη δημοσίευση άρθρων και συγγραμμάτων, καθώς και την ανταλλαγή απόψεων μέσα από forums και mailing lists. Το OWASP απαριθμεί μέλη σε όλο τον πλανήτη, συμπεριλαμβανομένων μεγάλων οργανισμών και εταιριών του χώρου όπως VISA, Deloitte, Unisys, Foundstone, και άλλες.”
Managing organized complexity 