Przeskoczymy teraz tematycznie w inny obszar niż Magento 2 🙂 Dzisiaj będzie bardziej filozoficznie, niż technicznie. Jednym z poważniejszych problemów, jaki spotykam wśród czy to znajomych, czy współpracowników, jest bardzo lekceważące podejście do tematów bezpieczeństwa. Nawet śledząc filmy na temat hackerów, możemy się naoglądać co najwyżej niesamowitych grafik 3D albo interface’ów, przy których ręce mi by mi odpadły ze zmęczenia po kilku minutach machania przed sobą. Każdy też zna przelatujące literki w matrixie. Świat bezpieczeństwa jest dla nerdów, a osoby o nim mówiące uchodzą za jedne z bardziej nielubianych w firmie. Ale czy tak musi być i czy dział bezpieczeństwa to ci, którzy tylko wymyślają coraz dłuższe hasła i zabraniają używania wszystkiego? Niekoniecznie.
Nie zamierzam tutaj moralizować, bo tego nikt nie lubi – łączenie ze mną. Starał się będę bardziej uzasadniać, skąd takie podejście administratorów. Pierwsze błędne nastawienie użytkowników jest takie, iż myślą, że sprawy bezpieczeństwa ich nie dotyczą, a jak ktoś się włamie, to winny jest admin. I tutaj mamy odwieczną wojnę administratorów z użytkownikami. Administrator im bardziej blokuje wszystko co się da, tym bardziej użytkownicy wymyślają obejścia, aby dało się normalnie pracować. I znam to z obydwu stron, zarówno jako ten, który stara się utrzymać jakiś poziom bezpieczeństwa w firmie, jak i ofiara admina 🙂 A wystarczy trochę zrozumienia po obu stronach. Niestety, bezpieczeństwo zawsze stało w opozycji do wygody i zawsze gdzieś musimy znaleźć poziom akceptowalny przez obie strony.
Przedstawię najczęściej stosowane metody zachowania bezpieczeństwa, z uwzględnieniem tego, z czego one wynikają i jakie są ulubione wymówki ludzi 🙂
VPN
VPN do sieci firmowej zamiast dostępu bezpośredniego z Internetu. Każda firma ma jakąś stronę firmową i część tylko dla pracowników (system kadrowy, serwer plików, JIRA, wiki etc. ). Poza powszechnymi zabezpieczeniami typu login/hasło, sieć firmy powinna być dostępna tylko dla pracowników. Wystawienie tego dl reszty świata sprawi, że np. hakerzy lub zwykłe automaty będą zgadywały login/hasło. Powoduje to, że konta są blokowane po iluś nieudanych próbach. Można też wykorzystać błędy w samych usługach (exploity, które omijają pytanie o hasła). Z punktu widzenia użytkownika VPN jest to odpalenie aplikacji i kliknięcie połącz. Tutaj użytkownicy bronią się, że to dodatkowa robota, a oni są wystarczająco zapracowani, albo że VPN nie chce się połączyć (zdarza się, że firewall zablokuje taki ruch).
Hasła
Wymagana długość i skomplikowanie hasła połączone ze zmiana co kilka miesięcy. Jest to chyba najbardziej znienawidzony element. Sam go nienawidzę. Poza ty, co pokazują badania także mało sensowny, bo ludzie tworzą wtedy hasła schematycznie. Powoduje to, że są łatwiejsze do zgadnięcia. Niestety co chwila wypływają listy haseł wykradzione z różnych miejsc i ich zawartość osobiście mnie przeraża. Czasami hasło jest jedyną rzeczą jaką chroni dostęp do serwisu. Dodatkowo ludzie często używają tego samego hasła w wielu miejscach. I tutaj mam uwagę dla tych, którzy naoglądali się za dużo filmów 🙂 – hasła nie są wpisywanie ręcznie przez hackera, który myśli o tym, jak nasz kot ma na imię 🙂 Do tego służą programy typu brute force, które próbują „wpisać” nawet kilka tysięcy haseł w ciągu sekundy. Do tego używają wykradzionych list haseł. Rozumiem tutaj bolączkę użytkowników, bo nie łatwo jest zapamiętać wiele skomplikowanych haseł. Jako rozwiązanie tego problemu proponuję używanie menadżera haseł, np. KeePass. Używając go musimy pamiętać jedynie hasło do samego menadżera. Dzięki niemu możemy wygenerować długie indywidualne hasła bez potrzeby zapamiętywania ich. Do tego warto wspomnieć o tym, że wiele serwisów udostępnia uwierzytelnianie dwuetapowe. Za pomocą najczęściej komórki i aplikacji na nią generujemy co kilkanaście sekund cyfry, które musimy wpisać po wprowadzeniu hasła. Powoduje to, że nawet jak ktoś zna nasze hasło to nie dostanie się do naszego konta.
Izolacja sieci
Odseparowanie sieci. Z punktu widzenia wygody, każdy chciałby mieć dostęp z każdego miejsca do każdego miejsca. To nam proponuje internet 🙂 Jednak tutaj z punktu widzenia administratora wygląda to podobnie jak w przypadku epidemii. Najlepszą metodą na opanowanie sytuacji jest oddzielenie wszystkiego, co nie musi ze sobą „gadać”. Niestety, wymusza to na ludziach używania osobnych komputerów do różnych celów (osobny komputer do internetu, osobny z dostępem do np. bazy danych pacjentów szpitala). Ciężko jest zaatakować coś z internetu, jeżeli to coś dostępu do tego internetu nie ma. Takie przeskakiwanie z komputera do komputera potrafi zdenerwować, ale minimalizuje ilość sposobów w jakim hakerzy mogą się dostać
Aktualizacje systemowe.
Na różnych forach można przeczytać, jak ludzie chwalą się, ile to lat nie aktualizowali komputerów i im wszystko działa, a hakerzy trzymają się z daleka. A w sumie to nie mają czego szukać, bo na kompie tylko zdjęcia rodzinne. Ten punkt denerwuje mnie chyba najbardziej ze wszystkich. Jest niczym walka antyszczepieńkowców ze światem korporacji. Argumenty w sumie dość podobne. Tylko dlaczego te złe korporacje wciskają nam co jakiś czas aktualizacje? Nie robią tego by nam spowolnić komputer (często słyszany argument), czy też aby zepsuć system, abyśmy kupili nowy (śmiała teza). Niestety oprogramowanie to bardzo skomplikowany twór, czasami pisane wiele lat i przez tysiące osób. Nie sposób tutaj uniknąć błędów, czy to funkcjonalnych, czy też bezpieczeństwa. Często też wprowadzane są nowości. Brak aktualizacji to wcale nie robienie na złość korporacjom. Najczęściej takie komputery są skanowane przez automaty i zarażane przez wirusy, które nie dają o sobie znaku. Niekoniecznie musi nam coś wyskoczyć na środek ekranu i mówić o zaszyfrowanym dysku. Często takie komputery działają w tzw. botnecie. Nasz komputer jest sterowany przez kogoś, kto albo szantażuje, albo wynajmuje innym przejęte komputery. Oczywiście nie za darmo. W ten sposób przejmując tysiące komputerów może bez naszego udziału i wiedzy „odwiedzać” czyjąś stronę na taką skalę, że strony przestają działać (to tylko jeden z wielu przypadków). Jaka jest skala takich ataków? Największy dotąd odnotowany był na GitHub i miał 1,2 Tbps (czyli 150 GB/s). Wykorzystano do tego m.in. kamery internetowe! Zgadzam się do tego, że czasem aktualizacje potrafią popsuć coś czy też wymaga restartu komputera. Niestety jest to konieczne dla dobra wszystkich. Należy też pamiętać, że programista też człowiek i wszystkiego nie przewidzi 🙂
Szyfrowanie dysków.
Sprawa jest dość prosta. Z dysku nieszyfrowanego można zgrać dane czy nawet usunąć hasło do logowanie bez większego problemu niezależnie od systemu. Szyfrowanie niestety znacząco spowalnia komputer i zabezpiecza tylko wtedy, kiedy komputer jest wyłączony. Zaleta jest oczywista – kiedy ktoś ukradnie nam komputer nie wykradnie nam danych (chyba, że zgadnie hasło do odszyfrowania). Niestety jak już wspomniałem znacząco to spowalnia komputer przez co ludzie unikają szyfrowania dysków.
Blokowanie komputera
Takie proste, a dość skuteczne. Minusem jest ciągłe wpisywanie hasła, pinu czy przykładania palca. Czemu jest to potrzebne przekonał się każdy, komu koledzy zrobili kawał w pracy 🙂 Ale równie dobrze może być to ktoś, kto może narobić szkód naszej firmie, a administratorzy będą widzieć, że wszystko to zrobiłeś ty.
Instalowanie własnego softu na służbowym komputerze
Niestety antywirusy czy firewalle nie uchronią nas przed wszystkim. Instalując prosty programik na 5 minut możemy też zainstalować tzw. koń trojański, który pozwoli atakującemu przejąć nasz komputer. Innym problemem są kwestie prawne – ściągając nawet darmowe oprogramowanie może ono się nie okazać darmowe dla firm.
Dokumentacja/hasła na biurku
Ktoś przechodzący obok naszego biurka może coś takiego chwycić i wykorzystać przeciwko nam
Używanie http / olewanie certyfikatów
Certyfikaty to zaufanie. Niestety, przyzwyczailiśmy się do czerwonych ekranów z informacją o złym certyfikacie. Taki ekran może oznaczać zarówno niefrasobliwość administratora, jak i kogoś, kto podstawił nam swój serwer zamiast właściwego i może wykraść wszystko co na takowej stronie wprowadzimy. Nie należy ignorować tego typu alertów.
Uff, mam nadzieję, że będziecie przychylniej patrzeć na swojego admina 🙂 Czego wam i sobie życzę.