среда, 29. новембар 2017.

Vaznost donosenja akta o bezbednosti IKT sistema


Plašim se da će ova mera koja je trebala da poboljša stanje bezbednosti IKT sistema u našoj zemlji izazvati više problema nego što se trenutno očekuje i zbog toga sam odlučio da ovaj post posvetim ovoj temi.

Kakav je to zakon i kada je donet?

Zakon o informacionoj bezbednosti je donet početkom 2016 godine dok je 5.02.2016. godine počela njegova primena („Sl. glasnik RS”, br. 6/16) dok su akti koji omogućavaju primenu Zakona usvojeni su 17.11 2016. čime je omogućena primena ovog Zakona.
Ovim zakonom se uređuju mere zaštite od bezbednosnih rizika u informaciono-komunikacionim sistemima, odgovornosti pravnih lica prilikom upravljanja i korišćenja informaciono-komunikacionih sistema i određuju se nadležni organi za sprovođenje mera zaštite, koordinaciju između činilaca zaštite i praćenje pravilne primene propisanih mera zaštite.

Aktom o bezbednosti, u skladu sa zakonom, određuju se:
  • mere zaštite,
  • principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti sistema,
  • kao i ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema od posebnog značaja.
U izradi akta moraju se uzeti u obzir odredbe Uredbe o bližem uređenju mera zaštite informaciono-komunikacionih sistema od posebnog značaja, kao i Uredbe o postupku dostavljanja podataka, listi, vrstama i značaju incidenata i postupku obaveštavanja o incidentima u informaciono-komunikacionim sistemima od posebnog značaja, a koje su objavljene takođe u „Sl. glasniku RS“, br. 94/2016 i stupile su na snagu 2. decembra 2016. god.


Šta se zakonom zahteva?

Navedenim zakonom zahteva se sledeće:
  1. Da se uspostavi sistem bezbednosti informacija – 28 zahteva (Član 7.)
  2. Da se uspostavi i dokumentuje Akt o bezbednosti IKT sistema (Član 8.)
  3. Da se minimum jednom godišenje vrši interna provera usklađenosti sa Aktom i dokumentuje izveštaj, samostalno ili uz spoljne eksperte (Član 8.)
Koji su rokovi, kakav je nadzor a kakve su sankcije?

Akt o bezbednosti IKT sistema se mora uspostaviti i dokumentovati u roku od 90 dana od dana stupanja na snagu Zakona – (Član 33. Zakona i Član 8. Uredbe o bližem sadržaju Akta). Nadzor vrši inspekcija za informacionu bezbednost Ministarstva trgovine, turizma i telekomunikacija (Član 28. i 29.)

Novčana kazna iznosi od 50.000,00 do 2.000.000,00 RSD (Član 30. i 31.):
  • ne donese Akt o bezbednosti IKT sistema iz člana 8. stav 1. ovog zakona;
  • ne primeni mere zaštite određene Aktom o bezbednosti IKT sistema iz člana 8. stav 2. ovog zakona;
  • ne izvrši proveru usklađenosti primenjenih mera iz člana 8. stav 4. ovog zakona
  • ne postupi po nalogu inspektora za informacionu bezbednost u ostavljenom roku iz člana 29. stav 1. tačka 1. ovog zakona.
Za navedene prekršaje kazniće se i odgovorno lice u pravnom licu novčanom kaznom u iznosu od 5.000,00 do 50.000,00 dinara.


Na koga se ovaj zakon odnosi odnosno koga kači primena?

Zakon se odnosi na Operatore IKT sistema od posebnog značaja (Član 2. i 6.), a to su:
  1. Organi javne vlasti:
    - državni organ, organ autonomne pokrajine, organ jedinice lokalne samouprave,
    - organizacija kojoj je povereno vršenje javnih ovlašćenja,
    - pravno lice koje osniva Republika Srbija, autonomna pokrajina ili jedinica lokalne samouprave, kao i pravno lice koje se pretežno, odnosno u celini finansira iz budžeta
  2. Pravna lica za obradu podataka (u smislu Zakona o zaštiti podataka o ličnosti) i
  3. Pravna lica koja obavljaju delatnost od javnog interesa (Član 6. i Uredba o utvrđivanju liste poslova)

O čemu je potrebno posebno voditi računa i gde je problem?

Na sajtu RATEL-a možete preuzeti Model akta o bezbednosti IKT sistema koji se može koristiti kao prva pomoć, međutim potrebno je dosta znanja da bi se posao obavio valjano. Ono što predstavlja poseban problem jeste "resavska škola" gde je veliki broj firmi preuzeo navedeni dokument i izvršio izmene u vidu naziva kompanije i datuma donošenja dok je sve ostalo ostalo manje više isto. Ono o čemu niko ne vodi računa jer se išlo na to ajde da obavimo to kako tako da nas ne bi neko zbog toga kažnjavao jeste to što će se zapravo proveravati primena ovog akta što će raditi inspektorat i što bi trebalo da uskoro počne. Ovaj akt na sajtu RATEL-a je napravljen u najboljoj nameri kako bi se pomoglo firmama da naprave ovaj dokument međutim niko nije želeo da se radi klasičan copy/paste i da se dokument ne prilagođava posebim potrebama svake firme.

Ko i kako bi trebalo da ovo radi?

Postoji  velika zabluda vezana za ovo pitanje. Prvo i osnovno što pre svega treba naglasiti jeste da ovakav dokument nikako ne spada u sektor pravne službe jer oni nemaju potrebna IT znanja i poznavanje poslovnih procesa da bi ovo mogli valjano napisati. Druga stvar jeste i da ovo nije nešto što bi trebalo da radi IT služba jer ljudi u ovom sektoru ne poznaju dovoljno poslovne procese niti pravne aspekte. Treća stvar jeste rukovodstvo firme koje jeste odgovorno pred zakonom za sprovođenje mera iz ovog dokumenta ali oni ne poznaju dovoljno specifičnosti IT sistema i postojeće opreme u firmi ali je pitanje i koliko su upoznati sa pravnim aspektom. Kao što možete videti za pisanje ovog dokumenta idealno bi bilo da postoji radni tim koji bi morao da ima bar po jednog člana iz pravne službe, rukovodstvo i IT službe. Ukoliko je ovo nemoguće realizovati zbog veličine firme ili smatrate da je potrebno da ovo urade ljudi koji to dobro poznaju možete ovo platiti konsultantskoj kući koja to može napraviti za vas a na osnovu specifičnosti poslovanja firme.

Nadam se da sam ovim postom uspeo da Vas malo podstaknem na razmišljanje o ovoj temi i da ako niste do sada napisali ovaj akt to što pre uradite a ako jeste da izvršite proveru pre nego što dođu nadležni organi kako ne bi rizikovali plaćanje propisane kazne. Iz tog razloga mi smo formirali tim koji se bavi ovom problematikom i koji Vam može pomoći kako za pisanje akta tako i za skeniranje postojećeg stanja u Vašoj organizaciji. Ukoliko imate bilo kakvih nedoumica ili pitanja vezano za navedenu temu slobodno nas možete kontakti na mail office@secitsecurity.com.

среда, 15. новембар 2017.

Kako sigurno upravljati nalozima i lozinkama

Imam utisak da se veoma neoprezno rukuje sa nalozima i lozinkama za pristup različitim sistemima pa zbog toga želim da kroz ovaj post malo skrenem pažnju na to. Ono što je još gore ne samo što krajnji korisnici ne koriste lozinke na pravi način već ni sistem administratori ne rade baš sve kako treba.

Prvo malo o korisničkim nalozima
Posebno treba obratiti pažnju na nekoliko stvari vezano za upravljanje korisničkim nalozima a naravno direktno u vezi sa tim i korisničkim lozinkama. Prva stvar jeste da je potrebno raditi obavezno sa grupama a ne sa pojedinačnim korisnicima jer na taj način se određena prava dodeljuju ili oduzimaju grupi i svim njenim članovima a ne pojedinačnim korisnicima. Druga stvar jeste neprestano praćenje korisničkih naloga što podrazumeva logovanje svih aktivnosti korisnika na sistemu. Treća stvar jesu neaktivni nalozi koji postoje na sistemu i o kojima treba posebno voditi pažnju jer ih hakeri mogu reaktivirati na različite načine. Neko se može zapitati zašto ne brisati nepotrebne naloge već ih sam privremeno deaktivirati (disable). Odgovor na ovo pitanje je direktno vezan za stavku koju sam već ranije pomenuo a tiče se logovanja aktivnosti naloga. Ukoliko se nalog obriše sa sistema brišu se i svi prateće podaci dok u slučaju deaktivacije sve je i dalje tu sem što korisnik više ne može da pristupi sistemu. Poslednja ali možda i najbitnija stvar jesu takozvani Shared accounts nalozi koje više ljudi zna i koriste se za pristup nekim resursima. Na primer kupi se samo jedna licenca nekog programa a onda više ljudi se loguje preko istog korisničkog imena i lozinke po potrebi. Preporuka stručnjaka jeste da ovakve naloge skoro nikada ne koristiti osim u slučajevima kada drugačije nije moguće.

Šta možemo uraditi da bi kroz upravljanje nalozima otežali ili sprečili otkrivanje lozinke?
Prvo što možemo uraditi jeste voditi računa o minimalnoj kompleksnosti lozinke (Password strength). Kada pričamo o kompleksnim lozinkama mislimo na to koje elemente mora da sadrži (mala slova, velika slova, brojevi i specijalni simboli)
Druga stvar koju možemo podesiti jesti isticanje (Expiration) korisničkog naloga ili lozinke. Ovo može biti korisno jer korisnik mora da periodično promeni svoju lozinku ili da ponovo aktivira nalog i postavi novu lozinku u zavisnosti od polise.
Treća stvar jeste podešavanje koliko se puta ne može ponovo postaviti ista lozinka (Password history/reuse). Ovo je korisno ako korisnici vrte u krug svoje lozinke, recimo imaju 3 lozinke koje vrte u krug. Na ovaj način takav način rada će biti onemogućen i samim tim biće otežan rad hakera na otkrivanje šifre.
Još jedna od mera koja je u direktnoj vezi sa prvom jeste minimalna dužina lozinke (Password length). Ovo podešavanje zavisi od tipa naloga i danas je standard da se za obične naloge koristi minimum dužina 8 karaktera a za admin i privilegovane naloge minimum 12 karaktera.
Mera koja sprečava online napade efikasno poznata je kao Lockout a radi se o tome da se posle nekoliko pogrešno unetih lozinki zaključa korisnički nalog određeni vremenski period. Ovo drastično otežava odnosno onemogućava online napad grubom silom. Sam MS Windows operativni sistem ima podešeno da se na 5 pokušaja nalog zaključa na 3-5min i ovo se može menjati po potrebi.
Ono o čemu još treba povesti računa jeste proces oporavka lozinke u slučaju da je zaboravljena (Recovery). Da li je taj proces automatizovan preko nekog portala ili se to radi tako što se pozove odgovorno lice koje će to uraditi direktno na sistemu. U oba slučaja postoje opasnosti jer u slučaju automatskog sistema neko može pokušati da promeni šifru postojećeg korisnika a u slučaju da to nije sistem već čovek mogu se koristiti tehnike socijalnog inženjeringa kako bi se taj čovek prevario i promenio lozinku.

Gde se nalaze lozinke i u kom su obliku?
Prvo što je izuzetno važno istaći jeste da se lozinke ne čuvaju nikada u čistom tekstu već kao heš vrednosti (Hashed values) gde se uglavnom koriste neki od popularnih algoritama za ovu namenu kao što su md5 i različite varijante sha algoritma). U ovom slučaju čak i da neko dođe u posed heš vrednosti neće moći lako da dođe do same lozinke.
Ako gledamo MS Windows operativni sistem postoje dva mesta gde se mogu naći hešovane vrednosti lozinke. Na svakom računaru sa Windows operativnim sistemom se nalazi takozvani SAM fajl gde se nalaze lokalni korisnici ali i korisnici koji su se preko domena logovali na računar. Ovo je veoma opasno jer se možda neki od privilegovanih korisnika logovao na sistem i ostavio svoje podatke u SAM bazi. Sa druge strane ako se koristi opcija Run as administrator koja postoji na sistemu tada se uneseni podaci neće ubeležiti u SAM bazu. Što se tiče samog fajla on se nalazi u Windows/System32/Config folderu. Drugo mesto na kome se mogu naći heš vrednosti lozinki jeste AD server i na njemu fajl pod nazivom ntds.dit koji je mnogo teži za rad od SAM fajla a i mnogo je teže doći do njega jer se nalazi na samom AD serveru.
Kod operativnog sistema Linux stvari su sasvim drugačije i heš vrednosti lozinki se uvek nalaze u jednom od sledeća dva foldera etc/passwrd i etc/shadow. Odavde ih možete iskopirati na neki eksterni disk i onda ih kasnije razbijati offline tipom napada.

Kako se hakuje lozinka?
Prva stvar jeste da je potrebno ovaj proces razdvojiti u odnosu na to da li imamo pristup samom sistemu (online) ili smo uspeli da iskopiramo fajl sa heš vrednostima lozinki i da ih onda u lokalu obrađujemo (offline). Druga opcija je mnogo bolja jer na napadača ne utiče Lockout naloga koji može biti podešen ili brzina samog linka i servera odnosno krajnjeg računara.
Sledeće metode se mogu koristiti za otkrivanje lozinke:
- Pogađanje, shoulder surf (na osnovu podataka koje znamo o korisniku (datum rođenja, ime članova porodice, ime kućnog ljubimca, automobil koji vozi i slično) ili tako što pratimo šta radi na računaru i možda uspemo da uhvatimo i lozinku koju unosi na tastaturi)
- Sniffing (ovo je tehnika koja se može koristiti samo ako je lozinka u čistom (clear) tekstu u suprotnom ćemo uhvatiti podatke koji nam neće biti od koristi)
- Dictionary (za ovu tehniku nam je potrebno da imamo dobar rečnik za različite jezike, što veći broj reči i sveobuhvatniji rečnik to su nam šanse veće, međutim ova metoda ne garantuje da će se otkriti lozinka jer ako se u lozinci ne nalazi smislena reč neće biti moguće naći odgovarajuću vrednost)
- Brute force (ovo je tehnika grube sile i izuzetno je zahtevna vremenski jer je potrebno ispitati sve moguće vrednosti kombinacije karaktera za određenu dužinu lozinke, sigurno je da će u jednom momentu biti otkrivena lozinke ovom metodom međutim to može da bude i posle nekoliko stotina godina)

Saveti za kraj
1. nikada ne koristiti istu lozinku na više različitih mesta jer ako neko uspe da otkrije na jednom mestu sigurno će pokušati da isproba istu lozinku na drugom mestu
2. nikada ne zapisivati lozinku na papiru i onda ostaviti ispod tastature ili još gore zalepiti na monitor računara gde svako može da je vidi (ako već zapisujete čuvajte kod sebe u novčaniku ili negde gde može biti pod ključem)
3. nikada prilikom kreiranja lozinke ne unositi smislene reči zbog napada rečnikom koji će u tom slučaju biti efikasan.
4. uvek koristiti kompleksnu lozinku sa svim elementima i dužinom nikada manjom od 8 karaktera.
5. nikada ni unositi svoju lozinku na stranici koja nema sertifikat (to možete videti kroz zeleni katanac sa leve strane u internet pretraživaču u suprotnom ne unositi podatke)
6. nikada i nikom ne slati putem elektronske pošte ili otkrivati putem telefona svoju lozinku jer neko može prisluškivati mrežu ili telefonsku liniju i na taj način doći do lozinke. Takođe moguće je i da se neko posluži tehnikama socijalnog inženjeringa i pokuša da se predstavi kao neko drugi.
7. koristiti program za upravljanje lozinkama - Password manager o kom je već bilo reči u jedno od prethodnih postova (zanimljivo je da je po nekim istraživanjima prosečan korisnik ovakvih programa imao 91 zabeleženu lozinku)

Nadam se da sam ovim postom bar malo uspeo da skrenem pažnju na problem koji je izuzetno izražen i koji je mnoge kompanije mnogo koštao. Ako se bar malo zamislite oko ove teme mislim da sam postigao svoj cilj.

среда, 08. новембар 2017.

Zašto je važno vršiti obuku zaposlenih


Ovaj post predstavlja nastavak prethodnog i ima za cilj da ukaže na važnost obuke zaposlenih koja je čini mi se u našoj zemlji neopravdano zapostavljena. Ima jedna stara priča za to kada su pitali jednog direktora zašto toliko ulaže u svoje zaposlene kada oni mogu svakog trenutka otići da rade u drugu kompaniju na šta je on odgovorio "Može da s dogodi da zaposleni u koga ja uložim novac napusti kompaniju i ode da radi za konkurenciju ili otvori svoj privatni biznis ali sa druge strane može da se dogodi da ja ne uložim u njegovu obuku a da on ostane, šta ću onda da radim sa njim?". Ovaj direktor je potpuno u pravu iako on ovde priča o veštinama koje su potrebne za obavljanje posla a u ovom našem slučaju radi se o ulaganju u obuku zaposlenih u oblasti poznavanja sajber pretnji koje svakodnevno vrebaju sve na internetu. Priča je skoro ista, ulaganjem u obuku zaposlenih na svim nivoima jeste da ćete potrošiti određeni novac međutim ukoliko takva obuka spreči samo jedno curenje važnih podataka ili infekciju interne mreže kompanije ona se odmah iz prve isplatila a da ne pričamo o tome ako se na ovaj način spreči više različitih vrsta napada čija se vrednost ni ne može preračunati jer osim opipljivih stvari koje se mogu ukrasti postoji i nešto što se zove imidž firme koji na ovaj način može mnogo biti urušen što može izazvati izuzetne finansijske gubitke pa čak kod nekih kompanija i prestanak poslovanja zbog gubljenja poverenja kod svojih klijenata.


Kako treba da izgleda jedna ovakva obuka
Ovakva obuka uglavnom ne treba da traži bilo kakva predznanja i sprovodi se u kraćem trajanju od maksimalno 2 školska časa odnosno 90min. Treba da bude što praktičnija i da se zaposlenima predstave sve pretnje kao i tehnike kako da ih prepoznaju i odbrane se od njih. Potrebno je ovde promovisati sigurnosne principe kojih se obično pridržavaju profesionalci u svakodnevnom radu kako bi i oni mogli da imaju od toga koristi. Ovde se pre svega misli na osnovne stvari, od politike lozinki pa do šifrovanja fajlova i sigurnog korišćenja email-a. Nije dobro da postoji jedna generička obuka već se svaka ovakva obuka priprema za kompaniju klijenta jer postoje specifičnosti koje je potrebno obraditi u pojedinim slučajevima a koji mogu dosta da utiču na opšte stanje bezbednosti. Ovakve obuke su poznate kao security awareness i predstavljaju vrhunac praktičnih primera iz prakse gde se zaposleni uče na tuđim greškama šta ne treba da rade i kako ne treba da se ponašaju!


Koje sve zaposlene treba obučavati ovakvim treninzima
Odgovor na ovo pitanje jeste apsolutno SVE! Nikada ne možete znati gde će napadač pokušati da udari odnosno ko će mu biti prva meta. Uopšte ne mora da znači da će to biti IT služba kao što veliki broj ljudi misli, naprotiv po nekim statistikama najveći broj pokušaja napada je bio na HR službu jer oni su pravo mesto za pokušaj ulaska u sistem. SECIT security tim sprovodi ovakve obuke već neko vreme i postoje razvijene obuke za sledeće kategorije:
- Trening-obuka za fizičko obezbeđenje
- Trening-obuka za šalterske službenike
- Trening-obuka za kancelarijske radnike
- Trening-obuka za menadžment
- Trening-obuka za radnike CALL centra
- Trening-obuka za finansijsku službu
- Trening-obuka za HR službu (ljudski resursi)
- Trening-obuka za radnike koji delatnost obavljaju na terenu
Pored ovih kategorija uvek je moguće skrojiti obuku po svojoj meri jer jednostavno nije moguće generalizovati stvari. Većina ovakve obuke smatra troškom što na papiru stvarno i jeste međutim ovakva obuka može kompaniju spasiti mnogo velike štete kako finansijske tako i u vidu prestanka poslovanja pa treba na vreme razmisliti o ovome. Po mišljenju većina stručnjaka u oblasti informacione bezbednosti ovakva obuka predstavlja prvu meru odbrane koja se sprovodi i pre nabavke hardvera i softvera koji se može koristiti za zaštitu i predstavlja proaktivnu meru u zaštiti.

Pošto sam u prethodnom postu već pisao o socijalnom inženjeringu ovde se neću baviti tom temom pa koga zanima neka pročita prethodni post. Upravo su socijalni inženjeri najveća opasnost po zaposlene u kompaniji. Nadam se da sam ovim postom uspeo da vas bar malo pokrenem na razmišljanje o ovoj temi i ako jesam to je sasvim dovoljno za početak.