;

Přístup k ICT bezpečnosti mi často připomíná koně s klapkami na očích...

3. 9. 2015
Doba čtení: 3 minuty

Sdílet

 Autor: archiv redakce
...myslí si bezpečnostní expert Jiří Nápravník.

Útok na firmu Hacking Team představuje obrovské riziko a vyvolává několik otázek. V případě virů se dá doba rozdělit na období před STUXNETem a po jeho zveřejnění. Na to samé se musíme připravit v případě Hacking Teamu a sofistikovaných útoků na informační systémy, mobily a IoT. Z uniklých dat nejsou nejdůležitější popisy jednotlivých slabin (zero-day) v Internet Exploreru, Flash nebo JAVA. Mnohem důležitější je know-how jak provádět skryté průniky s použitím různých exploitů.

Bohužel přístup k problémům v obor ICT bezpečnosti mi velmi často připomíná koně s klapkami na očích. Takový kůň se dívá dopředu, ale vždy pouze směrem, kam mu klapky dovolí. Ve výsledku toho takový kůň moc nevidí.

Stačí porovnat ICT s programem Apollo. Američané dokázali za 8 let v projektu Apollo úspěšně vyřešit mnoho do té doby neřešitelných problémů. Dne 12. září 1962 pronesl J.F. Kennedy na stadionu v Rice projev, ve kterém řekl, že USA do konce desetiletí vyšlou své astronauty na Měsíc a bezpečně je dopraví i zpět. V projevu mimo jiné J.F. Kennedy řekl, že na cestu se USA vydávají nikoliv protože je to snadná, ale proto, že je to těžká cesta a že je to výzva pro vědce i inženýry. 20. července 1969 skutečně posádka Apollo 11 přistála na Měsíci. Přínos programu Apollo nebyl pouze v tom, že si „několik astronautů udělalo výlet“. Ten hlavní přínos byl v to, že vědci, technici i dělníci zapojení do projektu Apollo dokázali spojit své úsilí a společně se úspěšně vypořádali s mnoha novými nástrahami z oblasti fyziky, chemie a dalších oborů lidské činnosti.

V případě tvorby software se tvůrci operačních systémů, ovladačů a dalších základních programů musí vypořádat pouze se stylem práce svých kolegů. Nic neznámého, jako je pobyt ve vesmíru nebo kosmické záření, nemusí tvůrci programů řešit. Všechny povolené reakce SW modulu je možné dopředu definovat, naprogramovat a kontrolovat. To je velký rozdíl třeba oproti úkolům, které museli vyřešit tvůrci v programu Apollo. Za osm let usilovné práce dokázali dopravit posádku na Měsíc a zpět. Na proti tomu za více jak 15 let jsme nedokázali vyřešit problém s virovými infekcemi, které jsou způsobeny pouze prací lidí – programátorů. To je velký nepoměr a je s tím spojeno mnoho otázek. Změnit zvolený styl práce bude trvat dlouho a musí se změnit celkový přístup k tvorbě SW.

Existuje ještě jedno řešení, se kterým můžeme začít hned. Jedná se o jednoduché pravidlo:
„Parametry souboru u výrobce se musí vždy shodovat s parametry stejného souboru v zařízení uživatele.“

bitcoin_skoleni

Uživatelé a správci systémů si při dodržování tohoto jednoduchého pravidla budou moci ověřit zda systémové soubory v jejich zařízeních mají parametry stejné s těmi, se kterými soubor uvolnili tvůrci. Žádný virus nebo zásah hackera nebudou mít šanci pozměnit soubory operačního systému a aplikací.

Zdánlivě jednoduchá změna nastaví v prostředí ICT jasná základní pravidla, od kterých je potom možné postupovat dál.