среда, 27. септембар 2017.

Moja misija - širenje znanja!


Došao je septembar i sve se pokrenulo posle sezone godišnjih odmora i predaha koji nam je svima bio potreban kako bismo napunili baterije i očistili um. Odmah na početku meseca sačekale su me obaveze i priprema novih predavanja i seminara, malo sam zastao posle letnjeg odmora i razmislio o svemu. Posebno sam se zapitao zašto radim to što radim i zašto mi je to toliko bitno, ovaj post je posvećen tome i predstavlja sistematizaciju svega onoga što ja zapravo radim.

Zašto radim to što radim?
Svaki čovek ima nešto što ga pokreće i za šta je spreman da posveti svoje vreme, a i sva ostala sredstva. Ono što ja radim u poslednjih nešto više od 15 godina može se opisati jednom rečenicom: "Ja širim znanje o bezbednosti informacija". Ovo je u poslednje vreme postala popularna oblast dok je pre nekih 10 pa i više godina malo ljudi znalo išta o tome. Svedoci toga su moji prijatelji, koji su imali tu "nesreću" da od mene uvek slušaju o ovoj temi o kojoj niko drugi, ili bolje rečeno, koju je mali broj ljudi tada pominjao. Sebe mogu opisati kao nekoga ko želi da što više proširi svest o bezbednosti u sajber svetu što većem broju ljudi. Tu svoju misiju obavljam na više načina:

- Moj blog koji upravo čitate o informacionoj bezbednosti, gde pokušavam da jednom nedeljno pišem na neke teme iz oblasti sajber bezbednosti i to na što razumljivijem nivou, odnosno tako da što veći broj ljudi koji nisu IT stručnjaci može razumeti tekst do neke mere. Ideja mi je da kada neko želi nešto više da sazna o nečemu iz oblasti sajber bezbednosti dođe na blog i pročita. Takođe ideja je da se to sve jednog dana sisstematizuje u jednu knjigu.

- Video podcast KnowledgeCenter.rs gde sa svojim dobrim prijateljem i saradnikom, Miodragom Ranisavljevićem, koji je preuzeo ulogu voditelja, pokušavam da izborom zanimljivih tema iz oblasti sajber bezbednosti objasnimo što više praktičnih stvari. Takođe, ovde ćemo pozivati i goste iz struke koji će davati svoje komentare i mišljenja o aktuelnim temama koje obrađujemo. Za sada smo snimili uvodnu emisiju i prvu epizodu, a za koji dan je druga na redu.

- Seminari i obuke za profesionalce koje realizujem kroz svoju firmu SECIT security, a u saradnji sa privrednim komorama iz Srbije i regiona (PKS, Privredna komora Beograda, Regionalna privredna komora NS, Privredna komora Skopje), kao i nekim kompanija od kojih bi izdvojio nemačku firmu Forum Media d.o.o., koja već dugo godina uspešno posluje i u Srbiji. Pored ovoga izvodimo i treninge i obuke koji se rade inhouse, odnosno kod naših klijenata koji su kompanije ili organi države. Ovde moram da iskoristim priliku da se posebno zahvalim mojim saradnicima koji su stvarno stručni i dobro rade svoj posao.

- Predavanja na Fakultetu za informacione tehnologije (FIT) gde držim više predmeta na osnovnim studijama, a takođe sam i koordinator master studija Bezbednost informacija, gde takođe držim više predmeta iz oblasti bezbednosti informacija i digitalne forenzike i pokušavam da učinim da ovaj program bude što bolji i da učimo studente pravim i aktuelnim stvarima iz ove oblasti. Mislim da ovo u velikoj meri i uspevamo jer je Univerzitet Metropolitan, po nekim istraživanjima koja su sprovedena među studentima, broj 1 po zadovoljstvu studiranja.

- Udruženje eSigurnost je osnovano sa namerom širenja znanja iz oblasti bezbednosti informacija početkom 2016. godine, kada smo moji prijatelji i saradnici Aleksandar Mirković i Jovan Šikanja i ja, rešili da osnujemo udruženje gde ćemo pokušati da okupimo što veći broj stručnjaka iz ove oblasti i kako bi na taj način međusobno delili informacije i znanje. Danas udruženje broji oko 200 članova i može se reći da smo veoma aktivni što se tiče dešavanja u oblasti sajber bezbednosti na teritoriji RS. Naravno, po mom mišljenju, to još nije dovoljno, pa ću se truditi da prethodno pomenuto dovedem na viši nivo u narednim godinama.

- Tribine koje organizuje eSigurnost sa svojim partnerima su događaji koji se odigravaju nekoliko puta godišnje i imaju za cilj da se veći broj stručnjaka sakupi na jednom mestu i da se svaki put obrađuje neka aktuelna tema. Ovo su događaji koji su potpuno besplatni za svakoga ko želi da prisustvuje i ne postoje nikakve kotizacije. Eventualno se neki događaj zbog same teme mora održati tako da mu mogu prisustvovati samo ljudi po pozivu ali to je retko. Sledeći ovakav događaj se planira za prvu polovinu decembra a o tome ću još pisati na blogu.

- Dobijam dosta poziva za gostovanje na TV, radio, live stream emisijama, gde se odazivam kad god ovo mogu da uklopim u svoje obaveze, a trudim se da to bude što češće. Na ovaj način želim da što veći broj ljudi čuje za oblast sajber bezbednosti, koji inače ne bi to čuo da nije bilo gostovanja u emisiji. Pošto Udruženje eSigurnost ima dosta stručnjaka, ako nekada ne mogu da stignem na gostovanje zbog obaveza ili službenog puta van zemlje, uvek postoji opcija da se neko iz Udruženja odazove tako da postižemo da se skoro uvek odazovemo na pozive i zbog toga sam veoma ponosan.

- Smatram da najbolji način razmene informacija i znanja između stručnjaka iz neke oblasti predstavljaju konferencije, pa se iz tog razloga trudim da i ovu oblast ne zapostavim. Trenutno učestvujem u organizaciji dve konferencije iz oblasti bezbednosti informacija. Prva je stručna konferencija eSecurity koju organizuje Udruženje eSigurnost i koja će se održati u drugoj polovini aprila meseca 2018. godine (o detaljima  kao što su tačni datumi, agenda slično moći ćete da čitate na blogu). Druga je međunarodno naučna konferencija BISEC koju organizuje Univerzitet Metropolitan i koja je posvećena oblasti bezbednosti informacija, a kategorizovana je kao M33 i ugostiće i stručnjake iz regiona. Takođe, pored ovih konferencija gde sam uključen u organizaciju, uvek se rado odazivam na sve konferencije i kao predavač, gde koristim priliku da pričam o onome što najbolje znam, a što mislim da može biti korisno ciljnoj publici.

- Još jedna stvar koju sam započeo, ali za koju će trebati više vremena, jeste knjiga koju želim da napišem, a u kojoj ću pokušati da na što jasniji način predstavim sve opasnosti koje vrebaju jedan poslovni sistem i pojedince u njemu. Plan mi je da od tekstova sa ovog bloga kreiram sadržaj za knjigu, naravno kada se prikupi veći broj postova. Ideja mi je da ovo ne bude knjiga samo za stručnjake, već za širu publiku, a posebno bi mi bilo drago da je pročitaju direktori malih i srednjih preduzeća u Srbiji, koji predstavljaju ključan faktor u sajber bezbednosti, a da toga uopšte nisu ni svesni. Nadam se da ću u bližoj budućnosti uspeti da i ovo privedem kraju i da će se knjiga pojaviti na policama neke knjižare.

Kao što sam na početku bloga započeo sa pisanjem, na sličan način ću i završiti. Rekao sam da svako ima nešto što ga pokreće i u šta je spreman da uloži mnogo, a ovo je moj način da ostavim nekakav dublji trag u vremenu. Želim da na ovaj način utičem na što veći broj ljudi koji neće biti prevareni na internetu, firme koje neće biti hakovane od strane profesionalaca i neće pretrpeti štetu, ali i decu koja neće biti žrtve na internetu pedofila koji vrebaju ili svojih vršnjaka koji ih mogu terorisati. Nadam se da ću ostati na ovom putu koji sam započeo i da ću uspeti da ostavim neki trag, pa makar to pa makar to bio uticaj na samo nekoliko ljudi. Toliko za sada, a već sledeće nedelje očekuje vas novi post koji će nas sve zajedno povesti u tom smeru.

среда, 20. септембар 2017.

Bezbedna kancelarija u oblaku


Cloud computing odnosno oblak je iz korena promenio način na koji danas funkcioniše IT, kako u poslovnom okruženju, tako i običnih korisnika. Prednost ovakvog pristupa je višestruka, a glavna prednost jeste dostupnost podatka sa različitih lokacija (bez obzira da li se nalazite u kancelariji, svojoj kući ili na službenom putu van zemlje). Druga važna prednost oblaka jeste što podacima možete pristupati sa različitih vrsta uređaja koje koristite i to bez obzira na to koji operativni sistem koristite (mobilni telefoni - android, iphone, različite vrste tableta, laptopovi...). Sa poslovnog aspekta navedene prednosti su veoma pozitivne stvari vezane za prednosti korišćenja ove tehnologije jer jedan od efekata svakako jeste mogućnost velike uštede na IT troškovima kompanije. Ovde pre svega mislim zbog toga što se u ovom modelu neko drugi brine o Vašim podacima (pružalac usluga - Cloud provider), a sa druge strane i korisnici mogu sa jeftnijih uređaja da koriste resurse (ne moraju svi da imaju jake računare sa snažnim procesorima i dosta RAM memorije kako bi koristili ovu tehnologiju). Međutim postoje i sigurnosni problemi na koje želim da ukažem ovim postom, kao i na to koje podatke treba prebaciti u Cloud a koje ne. Pa da krenemo redom, prvo da vidimo koji sve modeli oblaka postoje.


Modeli oblaka

E sada kada smo objasnili koje su prednosti, potrebno je znati da postoje tri osnovna modela servisa u svakom cloud okruženju i svaki od navedenih modela ima različit uticaj na bezbednost podataka u cloud‑u i ne postoji mera bezbednosti koja je univerzalno primenjiva na sva tri modela. Postoje sledeći modeli:
- Infrastruktura kao servis (IaaS) - ovo je model u kome se iznajmljuje čitava infrastruktura, što podrazumeva virtualne računare, ali ne samo to već i mrežnu opremu i uređaje
- Platforma kao servis (PaaS) - predstavlja model u kome se iznajmljuje virtualni računar sa određenom količinom procesora i radne memorije, koje je moguće vrlo lako kroz pretplatu povećavati ili smanjivati u zavisnosti od potreba
- Softver kao servis (SaaS) - najčešće primenjivani model u kome se iznajmljuje sam program odnosno softver. Tipični primeri ovakvih usluga jesu MS Office 365 sa čuvanjem podataka na One Drive ili besplatna rešenja kao što su Dropbox i Google Drive. Osnovna ideja jeste da se program nikada ne kupuje, već da se plaća po broju sati korišćenja ili se plaća paušalno dogovorena cena na mesečnom ili godišnjem nivou, što je mnogo fleksibilnije od toga da morate kupiti čitavu aplikaciju i onda brinuti o licencama ili o ažuriranjima verzije.

Koje podatke čuvati na Cloud-u?
Neke vrste podataka su isuviše osetljive za smeštaj u oblak. Tu pre svega spadaju poverljivi poslovni podaci kao što su podaci o klijentima na primer. Međutim postoje različite varijante Cloud-a pa se postavlja pitanje koji je pravi model za Vaše poslovanje. Kod public cloud-a situacija je takva da više korisnika deli isti prostor za skladištenje podataka i tu je bezbednost na mnogo nižem nivou (Dropbox, Google Drive).

Bekap, disaster recovery i business continuity
Nešto što predstavlja stalnu boljku IT stručnjaka u kompanijama jeste šta raditi ako dođe do gubitka podataka, odnosno kako sistem što pre vratiti u stanje rada. Ovde je bitno istaći i da je ovo jedna od najskupljih i najzahtevnijih stvari jer se dostupnost poslovnih podataka ne sme dovoditi u pitanje. Cloud provajder mora da ispuni određene standarde i mora imati izuzetno veliku dostupnost, što podrazumeva i pristup podacima posle poplava, zemljotresa, nestanka električne energije i slično. Oblak predstavlja idealno mesto za skladištenje poslovnih podataka zbog svega navedenog. Troškovi su daleko manji od kupovine dodatnih resursa za čuvanje podataka i možda čak i održavanje sekundarne lokacije. Ukoliko dođe do bilo kakvog problema, svi podaci se nalaze u oblaku, tako da čak i sekundarna lokacija iako postoji, ne mora imati kopiju podataka jer je oblak dostupan i sa te lokacije.

Zašto čuvati podatke u oblaku?
Danas je većina cloud provajdera sertifikovana za poslove koje rade i trude se da steknu i očuvaju dobru reputaciju zbog starih i novih klijenata. To znači da su spremni da ispune određene standarde koji vam odgovaraju i koje vi verovatno ne možete tako lako ispuniti i dostići kao kompanija. Izbor cloud provajdera je stvar poverenja i to se mora graditi tokom vremena. Cloud provajderi takođe uglavnom imaju dobro opremljene data centre, adekvatnu logistiku i visokokvalifikovano IT osoblje, što mala i srednja preduzeća u Srbiji sebi teško mogu da priušte na tom nivou. Ovde treba voditi računa da je i dalje najveća odgovornost na korisniku jer ne znači puno ako Cloud provajder vodi računa o svim ostalim stvarima, a korisnik ne zaštiti svoj pristup Cloud-u. Pošto je ovo posebno bitna tema, u nastavku slede neka uputstva kako biti bezbedan u oblaku.

Dvostepena i biometrijska provera
Da bi sprečili ili bar otežali posao hakerima, koji pokušavaju da pristupe našim podacima, možemo koristiti sledeće dve tehnologije:
- Dvostepena verifikacija (2 step verification) - tehnologija koja omogućava korisniku da pored korisničkog imena i šifre uvede i drugi stepen provere, što je uglavnom SMS poruka sa pristupnim parametrima, koja stiže na unapred prijavljen broj telefona. Na ovaj način čak i da neko sazna vašu lozinku za pristup, neće moći da pristupi nalogu ako nema mogućnost da na vaše telefonu vidi parametre koji su stigli u SMS poruci. Većina cloud provajdera nudi ovu mogućnost, odavno je uvedena od strane kompanija Google i Apple a vrlo brzo posle toga i Dropbox pruža ovakvu mogućnost.
- Biometrijska provera (biometric verification) - tehnologija koja se može koristiti kao dodatni faktor provere i koja se bazira na otisku prsta ili zenice oka korisnika. Postoji još pored ovoga dosta različitih vrsta biometrijske provere, ali zbog jednostavnosti otisak prsta je nešto što se najčešće susreće u praksi. Veliki broj poslovnih laptop računara već ima ugrađen čitač otiska prsta kao sastavni deo, tako da ovo još dodatno olakšava primenu ove tehnologije.

Bezbednost radne stanice
Bez obzira što se podaci u ovakvom poslovanju većinom čuvaju u oblaku potrebno je i dalje voditi računa o bezbednosti samog računara sa kog pristupamo oblaku. To podrazumeva minimum sledeće:
  • ažuriran operativni sistem najnovijim zakrpama
  • instaliran i ažuriran antivirus program
  • dobro podešen softverski firewall
  • VPN klijent za pristup

Procedure za korisnike
Pored bezbednosti uređaja sa kog se pristupa potrebno je obezbediti i procedure za korisnike koji koriste ovakvo okruženje. Međutim izuzetno je bitno da korisnici budu upoznati sa tim procedurama kao i sankcijama u slučaju kršenja istih. Ovo je nešto što bi trebalo uraditi u kompanijama mnogo pre početka korišćenja oblaka u poslovanju. Ukoliko ne postoje ljudi u kompaniji koji su upoznati sa ovim, potrebno je obavezno angažovati stručne konsultante koji imaju iskustva sa ovom temom, kako bi se pokrilo sve što je potrebno sa tehničke i pravne strane. Ovde je posebno bitno da postoje definisane procedure bekapa podataka, povratka posle katastrofe (disaster recovery) i kontinuiteta poslovanja (business continuity) jer one mogu ugroziti poslovanje kompanije.

Da li da koristim Cloud u poslovanju ili ne?
Bitno je istaći da pošto su svesni rizika, provajderi koji nude ovakve usluge veoma ozbiljno shvataju opasnosti koje vrebaju u ovom modelu poslovanja. Tako da čak i u slučaju da se desi neki neželjeni upad u sistem, to ne znači da su podaci hakerima dati „na tanjiru“. Oni se šifruju i gotovo je nemoguće dešifrovati ih u nekom razumnom vremenskom periodu (ono što ovde stvara još dodatne zabune jeste veliki broj vesti koje se brzo šire internetom kako je došlo do kompromitovanja velikog broja podataka što uglavnom nije tačno već su uzete samo heš vrednosti lozinki i veliko je pitanje da li se i na koji način stvarno mogu razbiti).
Ono što predstavlja izuzetno korisnu stvar jesu aplikacije koje se koriste direktno u oblaku, kao što su na primer Office 365 ili Google Docs. Na ovaj način drastično je olakšana kolaboracija, odnosno zajednički rad na dokumentima koji se pored toga što su dostupni za izmenu od strane više korisnika sa mogućnošću praćenja izmena, takođe i sačuvani direktno u oblaku.

Zaključak
Potpuno je jasno da rad u cloud okruženju donosi niz prednosti u odnosu na rad sa izolovanim računarima ili računarima koji su povezani u neku vrstu računarske mreže. Naravno, potrebno je biti obazriv i voditi računa o svemu, ali ne treba da postoji paranoja i odbacivanje ovakve tehnologije, koja će se u budućnosti svakako sve više razvijati i doneti niz novih prednosti. Ukoliko želimo da iskoristimo sve te prednosti koje su već dostupne ili će tek biti, moraćemo da koristimo cloud okruženje, a da bi to radili u koliko toliko bezbednom okruženju, moraćemo i da poštujemo i neka pravila.

среда, 06. септембар 2017.

Botovi i njihov uticaj na društvenim mrežama


Posle jednog događaja koji se desio prošle nedelje, a tiče se botova na twitter mreži o čemu će biti reči kasnije u postu, rešio sam da ovim postom malo pojasnim kako se oni koriste i za koje namene, kako bi čitaocima približio problematiku koja možda nije poznata širem krugu.

Šta je bio događaj koji me je naveo da pišem o ovome?
Poznati novinar i istraživač u oblasti sajber bezbednosti Brian Krebs je na svom blogu 30. avgusta objavio post u kome je pisao o tome kako je za jedan dan sakupio 12.500 novih pratioca objavljivanjem samo jednog posta u kome je spominjao ruskog predsednika Vladimira Putina. Većina tih novih pratioca su nalozi koji imaju nula ili mali broj pratioca na twitter mreži, kao i to da imaju izuzetno mali broj objava, odnosno tvitova (tvit je poruka od maksimalno 120 karaktera). Kasnijom istragom ustanovljeno je da postoji mreža botova koja se automatski aktivira na osnovu nekih parametara, što je u ovom slučaju bilo pominjanje ruskog predsednika i automatski šalje veliki broj poruka, vezanih u ovom slučaju za poruke predsedničkog kandidata i sadašnjeg predsednika USA Donalda Trampa. Ovo je potvrdilo još nekoliko istraživača, a među njima i Joseph Cox, koji je pisao za Daily Beast i Ben Nimmo koji je pisao za DFRLab. Njih dvojica su takođe imali sličnu situaciju i pominjanjem imena Vladimira Putina ista stvar se desila i sa njihovim twitter nalozima. Ovo je samo jedna strana priče koja je okrenuta na stranu USA, međutim nije nikakva tajna da i oni koriste botovanje i to je bilo vidljivo za vreme predsedničke kampanje kada je na svaku objavu na zvaničnom nalogu Donalda Trumpa automatski veliki broj botova (preko 7 miliona) retvitovao isti post u roku od par sekundi. Sve ovo dovodi do razmišljanja o tome koliko je stvarno moguće uticati na javno mnjenje i na rezultate izbora recimo. Moje mišljenje je da je moguće i to značajno ovim metodama izmeniti stav javnog mnjenja. A sada idemo redom da vidimo za početak šta su zapravo botovi i kako funkcionišu.

Šta su, ko su i kako funkckionišu botovi?
Sa tehničke strane gledano, bot je skraćeni naziv za softverskog robota, odnosno inteligentnog softverskog agenta, koji često uključuju elemente veštačke inteligencije. U širem smislu, botovi su armija koja svojim komentarima na društvenim mrežama zavarava javno mnjenje, jer im je naređeno da svojim komentarima stvore utisak da je ceo svet opredeljen i da podržava njihovo mišljenje, koje ustvari nije lično, nego ciljano. Ovaj fenomen je rasprostranjen uglavnom u cilju promovisanja političkih ideja i stranačkih ličnosti. Stranke uveliko koriste taj vid propagande, koji je dobro oranizovan i važan instrument u kampanjama, koji treba da promoviše, uništi ili ismeje određenu ideju ili ličnost sa utiskom da je u pitanju mišljenje običnog građanina.

Jedan od najvećih doprinosa političkih stranaka, ako ništa drugo, svakako jeste u poslednjih nekoliko godina dovođenje tzv. botovanja gotovo do savršenstva. Ovde je bitno napomenuti da kvalitetno botovanje podrazumeva širok dijapazon, od štancovanja naručenih komentara na internetu, do masovnog uključivanja "stranačkih vojnika" u televizijske i radio emisije, kad god gostuje neko od partijskih funkcionera. Političari naravno odbacuju tvrdnje da oni na taj način utiču na kreiranje javnog mnjenja, te da su važan deo njihove partijske mašinerije i sami botovi. Vrlo je zanimljivo da se na internetu lako mogu naći uputstva za botovanje određenih političkih stranaka, u kojima se piše o tome kako izabrati ime (Nickname), kao i to kakav komentar treba da bude u smislu sadržaja.

Zaključak i teme za razmišljanje
Želim da istaknem da botovanja, osim u politici, ima i u drugim sferama, kao na primer kod alternativnih metoda lečenja, protivljenja vakcinaciji, prodaji određenih proizvoda i slično. Na raznim skupovima koji se bave ovom problematikom zaključeno je da je botovanje, kao fenomen na društvenim mrežama u kojem anonimni zastupnici određene politike, ideologije, kompanije, zavaravaju javno mnjenje, zapravo zloupotreba i nedemokratska tekovina i da se kao takva mora sankcionisati. Takođe još jedna stvar o kojoj se uglavnom priča jeste da ako već ovako nešto postoji, mora se na neki način regulisati i kontrolisati upotreba ovakve tehnologije i metoda jer se zapravo radi o prevari javnog mnjenja. Ono što još predstavlja dodatnu zanimljivost jesu Wikipedia botovi koji su mali skriptovi napisani u jeziku python (pywikipediabot), koji mogu automatski menjati sadržaj stranica i kreirati nove u cilju manipulacije.