субота, 14. март 2020.

Kako omogućiti bezbedan rad od kuće za zaposlene



Zbog aktuelne situacije sa širenjem COVID-19 virusa u Srbiji i regionu neke firme su se već odlučile da omoguće rad zaposlenih od kuće a neke razmišljaju o tome. Smatram da je ovo ozbiljna tema ako gledamo sa aspekta IT bezbednosti firme. Iz tog razloga smatram da treba posebno obratiti pažnju kako realizovati rad od kuće za zaposlene i to je i razglog zašto sam odlučio da napišem ovaj post.

Hajde da prvo razmotrimo šta zapravo znači rad od kuće i koji se tu problemi javljaju. 


Najjednostavnija varijanta rada  od kuće
Rad od kuće može podrazumevati da zaposleni može da pristupi svom mailu i da sve radi na svom računaru a onda šalje u određeno vreme koje je dogovoreno to što je uradio. Ovo je najjednostavniji vid rada od kuće i tu nema većih problema osim što treba voditi računa o tome da neko ne pokuša da lažira mail zaposlenog i da umesto njega pošalje fajl koji je zapravo neka vrsta virusa što može biti ozbiljan problem jer će neko u firmi otvoriti attachment jer će smatrati da je to bezbedno jer stiže sa adrese kolege. Još jedna opasnost ovakvog načina rada može biti i to da privatni računar bude zaražen nekom vrstom virusa ili crva i da onda sam zaposleni kada šalje fajl pošalje zapravo zaražen fajl. 

Malo komplikovanija varijanta
Ovakav načina rada od kuće kakav je gore  opisan uglavnom neće biti dovoljan većini jer je potrebno da zaposleni ima pristup nekom direktorijumu gde se nalaze fajlovi koji su mu potrebni za rad. Ovde sada možemo koristiti novije tehnologija kao što je Cloud ali moramo biti vrlo oprezni i voditi računa ko i kakav pristup ima podacima koji se dele na ovakav način. Znači ovde treba voditi najviše računa o kontrolama pristupa i striktno voditi računa o tome ko je, kada i na koji način pristupao fajlovima. Bilo bi izuzetno korisno aktivirati ako je moguće i opciju geotagovanja koja bi mogla da ograniči pristup samo na Srbiju ili na region.

Ozbiljan sistem za rad od kuće
Ukoliko ne želite da koristite Cloud tehnologiju onda ostaje da se na neki koliko toliko bezbedan način dele fajlovi. Ovo se može realizovati tako što zaposleni može pristupiti daljinski svom računaru na poslu i onda raditi sve normalno kao da je u kancelariji. Takođe ovo je korisno i ako zaposleni ima potrebe da pristupa određenim servisima i bazama koje nisu dostupna na internetu već je pristup isključivo moguć iz zgrade firme. Da bi se sve ovo realizovalo potrebno je koristiti neku tehnologiju koja će ovo omogućiti. VPN odnosno virtualna privatna mreža je nešto što će se koristiti u većini slučajeva. Treba voditi računa da ova tehnologija ima svoje nedostatke i propuste koje neko zlonameran može iskoristiti. Tako da iako koristite VPN nemojte davati nepotrebne pristupe i privilegije korisnicima već samo ono što im je minimalno potrebno da bi mogli da neometano obavljaju svoj posao od kuće. Takoće potrebno je da imamo dobar log menadžment sistem koji će pratiti sve što se dešava u mreži i kako bi mogli monitorisati daljinski pristup internoj mreži firme.

Bez obzira koji model od prethodno navedenih izabrali postavlja se još jedno važno pitanje a to je da li je pametno dozvoliti pristup zaposlenog sa svog privatnog računara. Treba imati u vidu da firmin računar koji zaposleni koristi je zaštićen na različite načine i da je moguće dodatno ga kontrolisati čak i daljinski. U tom slučaju takav računar ima u najvećem broju slučajeva instaliran legalan softver, neki enterprise antivirus softver i kontroliše se šta je od programa instalirano na njemu. Za razliku od toga privatni računar zaposlenog moguće da koristi više ljudi u porodici gde se često može dogoditi da to budu i deca koja često koriste računar za igru. Antivirus softver je moguće da je samo onaj koji dolazi sa samim operativnim sistemom Windows ili eventualno neki besplatan koji se ne može meriti sa ozbiljnim enterprise rešenjima u sprečavanju širenja virusa i ostalih malignih programa. Takođe je moguće i da je računar dosta star i da operativni sistem bude Windows XP ili Windows 7 koji više nemaju podršku i za koje Microsoft više na izbacuje ažuriranja pa samim tim ovakav računar nije uopšte bezbedan. Još jedna od čestih stvari jeste korišćenje torrent klijenata za skidanje piratskih filmova i igrica što je itekako ozbiljan problem. I na kraju još jedna stvar može biti izuzetno važna a to je kako zaposleni pristupa internetu tj. da li je u pitanju žična veza putem kabla ili je bežični pristup u pitanju. Ako je u pitanju bežični pristup preko nekog rutera odnosno AP-a koji je zaposleni dobio od svog provajdera i ništa nije podešavao moguće je da je takva mreža neadekvatno zaštićena.

Na kraju bih hteo da sve sumiram i dam  neke preporuke takstativno. 
Rad od kuće jeste poseban izazov za firme koje inače nemaju tu praksu i potrebno je dobro razmotriti šta koristiti i na koji način to realizovati. Moje preporuke za koliko toliko bezbedan rad od kuće su sledeće:

  • Ne dozvoliti zaposlenom da koristi svoj privati računar već mu dati firmin računar sa ažuriranim operativnim sistemom
  • Obavezno koristiti VPN za daljinski pristup
  • Voditi računa na koji način se pristupa podacima firme
  • Uključiti logovanje na što više mesta kako bi znali šta se dešava u mreži
  • Uključiti ograničavanje lokacija sa kojih se može ulogovati zaposleni
  • Pratiti sve daljinske sesije poput RDP, VNC, Web i  SSH konekcija

Nadam se da sam ovim tekstom bar malo skrenuo pažnju ljudi koji su odgovorni za zaštitu IT sistema i da će bar razmisliti malo na ovu temu i ako sam u tome uspeo onda sam ostvario svoj cilj pisanja ovog posta.

петак, 16. новембар 2018.

Opasnost zvana IoT

Ovaj tekst predstavlja osvrt na jednu veoma važnu temu o kojoj smatram da nije bilo dovoljno reči do sada pa sam odlučio da se malo osvrnem na ovu temu.

Šta je zapravo IoT?

Ova kovanica prvi put je upotrebljena 1999. godine, na vrhuncu „dot-com balona”, da bi se opisala mreža na koju će biti povezane sve stvari (izvorno zamišljeno, pomoću RFID tehnologije). Međutim usledilo je pucanje dot-com balona i priča o povezivanju svih stvari je zamrla. Ipak razvojem 3G a zatim i 4G mobilne mreže kao i razvojem mrežne tehnologije koje su postale jeftinije i ekonomičnije u pogledu resursa danas možete koristiti mnoge uređaje preko mreže. Na osnovu svega navedenog mozemo zaključiti da je IoT u suštini bilo koji uređaj koji komunicira preko mreže, žičane, wi-fi ili mobilne. Danas su milijarde uređaja sastavni deo platforme Internet of Things, a koriste ugrađeni hardver i softver kako bi slali i dobijali podatke preko različitih komunikacionih protokola. Mnogi sanjaju o “pametnim domovima” gde bi svaki uređaj automatski funkcionisao i olaksavao nam zivot.

A sada malo više tehnički

Internet of Things (IoT), koji još neki zovu i Internet of Everything (IoE), sastavljen je od svih uređaja koji mogu da se priključe na mrežu, a sakupljaju, šalju i funkcionišu prema podacima koje prikupljaju iz okruženja, koristeći ugrađene senzore, procesore i komunikacioni hardver. Ove sprave, koje se obično nazivaju „povezanim“ ili „pametnim“, mogu ponekad da „razgovaraju” sa drugim povezanim uređajima, u procesu koji se naziva machine-to-machine (M2M) komunikacija, a funkcioniše na osnovu podataka koje dobijaju jedne od drugih. Medjutim da nije sve tako sjajno govori verovatno najveći izazov vezan za IoT u oblasti bezbednosti.

Šta je najveći problem IoT?

Prva stvar koja je očigledna jeste da smo došli do toga da naš dom može biti ugrozžn jer u kući sada imamo dosta ovakvih uređaja koji se kako smo u prethodnih par godina videli mogu lako zloupotrebiti. Ono što je još bitno istaći jeste i to da postoje i IoT uređaji koje nosimo stalno sa sobom i koji takođe mogu biti zloupotrebljeni za razne namene. Pored ovoga još jedna velika opasnost jesu pametne igračke za decu koje  imaju u sebi mikrofon, kameru i GPS i zbog toga se mogu zloupotrebiti a povodom toga je i FBI objavio upozorenje roditeljima. 

Ako se okrenemo ka poslovnim korisnicima i tu su stvari dosta komplikovane jer danas u industriji 4.0 imamo u proizvodnji veliki broj IoT uređaja koji mogu takođe biti zloupotrebljeni i napraviti ogromnu finansijsku štetu kompaniji.


Ko treba da se brine o bezbednosti IoT uređaja?

Najveću ulogu u stvaranju bezbednosti IoT okruzenja trebalo bi da imaju sami proizvođaci takvih uređaja što danas i nije slučaj. Moramo imati malo razumevanja i za njih jer su oni u potpuno drugoj industriji i njima je bezbednost jedna od poslednjih stavki sa kojima se do sada nisu susretali a funkcionalnost samih uređaja im je na prvom mestu. Takođe takve firme uglavnom i nemaju zaposlene ljude koji bi se bavili ovom temom pa to za njih predstavlja velikih trošak jer su stručnjaci u ovoj oblasti danas skup i tražen kadar.

Šta je neophodno unaprediti?

  1. Prva stvar koja bi bila neophodna jeste proces automatskog ažuriranja softvera na IoT uređajima (ovo je nekada bio problem i sa pametnim telefonima gde je bilo nezamislivo da se takvi uređaji redovno ažuriraju a danas to smatramo sasvim normalnim).
  2. Druga stvar jeste voditi računa o podrazumevanim korisničkim imenima i lozinkama za pristup IoT uređajima jer je primećeno da se često koriste podrazumevani nalozi i lozinke kao sto su admin i slično.
  3. Treća stvar jeste povesti računa o načinu čuvanja korisničkih podataka na samim IoT uređajima iako su ovi uređaji hardverski slabi treba dobro povesti računa na koji način i gde se čuvaju podaci.
  4. Četvrta stvar jeste uvesti minimalnu kriptografiju za zaštitu prenosa podataka i protokola između IoT uređaja (međutim najveći problem u celoj priči jeste nedostatak procesorske snage i memorije na IoT uređajima pa je potrebno razviti i koristiti algoritme koji su hardverski manje zahtevni)
  5. Peta stvar jeste prihvatanje jedinstvenog operativnog sistema specijalne namene poput IncludeOS koji za razliku od Linux sistema koji se danas uglavnom koristi mnogo bolje koristi resurse uređaja i ima dosta manju površinu napada jer je tipski sistem.

Dilema umesto zaključka

Šta ako proizvođač ne uradi ništa povodom poznatog propusta?
Logično bi bilo da se takav uređaj vrati proizvođaču uz povraćaj novca koji ste platili prilikom kupovine. Zamislite da vaš automobil ima problema sa kočnicama koji proizvođac ne može da reši, sasvim bi bio logično da se takav automobil zameni ili da se kupcu vrati novac. Na žalost ovde će biti dosta problema pogotovo sa velikim brojem proizvođaca iz Kine koji na nekim tržištima čak i nemaju ovlašćene servisere i prodavce.

понедељак, 4. јун 2018.

Sigurno upravljanje nalozima i lozinkama korisnika: Predostrožnost je najbolja odbrana


U vreme sve sofisticiranijih sajber napada koji prete da izazovu pogubne gubitke u poslovanju, prve mere zaštite odnose se na sigurno upravljanje nalozima i lozinkama korisnika. Da biste ih efikasno primenili, potrebno je da znate i na koji način razmišljaju hakeri, i šta je redosled najvažnijih koraka u odbrani od sajber zluopotreba.

Sajber napadi mogu biti motivisani različitim razlozima, ali svaki obavezno podrazumeva preuzimanje korisničkog naloga nekog od korisnika na sistemu, preko koga će dobiti pristup pojedinim kompanijskim resursima. Pri tom, što su veća ovlašćenja koja poseduje ukradeni nalog, poput Admin naloga na Windows operativnom sistemu ili root naloga na Unix/Linux sistemima, to su veće mogućnosti sajber napadača.

Korisnički nalog se može zloupotrebiti na više načina, u zavisnosti od tehnika kojima se sajber napadač koristi. U nekim slučajevima u pitanju su napadi društvenog inženjeringa, kada napadač pokušava da prevari zaposlene u kompaniji kako bi došao do korisničkog imena i lozinke za pristup informacionom sistemu. U drugim slučajevima koriste se razne tehnike probijanja korisničkih lozinki različitim alatima napravljenim za ovu namenu, od kojih su najpoznatiji john the ripper i l0pht crack.

Najvažniji koraci u zaštititi korisničkog naloga

Zato je prilikom zaštite korisničkog naloga posebno važno obratiti pažnju na nekoliko stvari koje se odnose na upravljanje korisničkim nalozima. Prvo, potrebno je uvek raditi s grupama a ne s pojedinačnim korisnicima, jer na taj način se određena prava dodeljuju ili oduzimaju grupi i svim njenim članovima, a ne pojedinačnim korisnicima. Drugo, neophodno je neprestano pratiti korisničke naloge, što podrazumeva logovanje svih aktivnosti korisnika na sistemu.

Treći važan korak zahteva da se posebno vodi računa o neaktivnim nalozima koji postoje na sistemu, jer hakeri mogu da ih reaktiviraju na različite načine. Poslednja ali možda i najbitnija mera predostrožnosti odnosi se na takozvane Shared accounts naloge, koje više ljudi koristi za pristup nekim resursima. Primera radi, kupi se samo jedna licenca nekog programa a potom se loguje više ljudi preko istog korisničkog imena i lozinke, po potrebi. Stoga stručnjaci preporučuju da se izbegava korišćenje ovakvih naloga, izuzev kada ne postoji druga mogućnost zbog skupih licenci.

Sprečavanje otkrivanja lozinke

Pored zaštite samog korisničkog naloga, potrebno je preduzeti mere koje će sprečiti, ili makar otežati otrkrivanje lozinke. Prvo o čemu bi trebalo da vodimo računa jeste neophodni minimum složenosti lozinke (Password strength) da bismo je zaštitili, odnosno koje elemente bi obavezno morala da sadrži (mala slova, velika slova, brojevi i specijalni simboli). Druga mera se odnosi na isticanje (Expiration) korisničkog naloga ili lozinke, a njena prednost se ogleda u tome što zahteva od korisnika da periodično promeni svoju lozinku, ili da ponovo aktivira nalog i postavi novu lozinku u zavisnosti od polise.

Treći preventivni korak jeste podešavanje koliko se puta može ponovo postaviti ista lozinka (Password history/reuse). Na ovaj način se onemogućava da korisnici stalno ponavljaju nekoliko istih lozinki, što ujedno otežava rad sajber napadaču na otkrivanju šifre. Još jedna važna mera odnosi se na minimalnu dužinu lozinke (Password length). Ovo podešavanje zavisi od tipa naloga i danas je standard da se za obične naloge koristi najmanje 8 karaktera, a za naloge administratora i privilegovane naloge najmanje 12 karaktera.

Mera koja efikasno sprečava online napade poznata je kao Lockout i podrazumeva da se posle nekoliko pogrešno unetih lozinki zaključa korisnički nalog na određeni period, što praktično onemogućava online napad grubom silom. Podsetimo da je sam MS Windows operativni sistem podešen tako da se nakon pet pogrešnih pokušaja unošenja lozinke nalog zaključa na 3 do 5 minuta, a ovi parametri se mogu menjati po potrebi.

Ono o čemu bi, takođe, trebalo povesti računa jeste proces oporavka lozinke u slučaju da je zaboravljena (Recovery), bilo da je taj proces automatizovan preko nekog portala, ili se za te potrebe poziva odgovorno lice koje će to uraditi direktno na sistemu. U oba slučaja postoje opasnosti: ukoliko se oporavak lozinke vrši automatski, neko može pokušati da promeni šifru postojećeg korisnika; u slučaju da sistem nije automatizovan već to radi čovek, mogu se koristiti tehnike socijalnog inženjeringa kako bi se on prevario i promenio lozinku.

Kako se hakuje lozinka?

Kada govorimo o načinima koji se koriste za otkrivanje lozinki, potrebno je najpre da se taj proces razdvoji u odnosu na to da li onaj koji to radi ima pristup samom sistemu (online) ili je uspeo da iskopira fajl sa heš vrednostima lozinki i da ih onda u lokalu obrađuje (offline).

Postoji više metoda koje se koriste za otkrivanje lozinke. To može biti pogađanje na osnovu podataka koje onaj koji hakuje zna o korisniku (datum rođenja, ime članova porodice, ime kućnog ljubimca, automobil koji vozi i slično), ili tako što će pratiti šta korisnik radi na računaru i pokušati da sazna i lozinku koju unosi na tastaturi.

Druga tehnika, sniffing, može se koristiti samo ako je lozinka u čistom (clear) tekstu, u suprotnom će haker doći samo do onih podataka koji mu neće biti od koristi. Ukoliko koristi metodu dictionary, potrebno je da ima dobar rečnik za različite jezike, a što je rečnik sveobuhvatniji to su šanse za otkrivanje lozinke veće, ali ne i sigurne jer ako se u lozinci ne nalazi smislena reč, neće biti moguće naći odgovarajuću vrednost.

Još jedna tehnika koja se primenjuje jeste gruba sila (brute force), koja je vremenski izuzetno zahtevna jer je nužno ispitati sve moguće vrednosti kombinacije karaktera za određenu dužinu lozinke, što može potrajati i nekoliko vekova.

Šta izbegavati, a šta primeniti

Na osnovu analiziranih rizika, vrlo je važno da se korisnici pridržavaju nekoliko ključnih uputstava. Pre svega, nikada ne treba koristiti istu lozinku na više različitih mesta, jer ako neko uspe da je otkrije na jednom, sigurno će pokušati da isproba istu lozinku na drugom mestu. Lozinka se ne sme zapisivati na papiru i ostaviti ispod tastature, ili što je još gore zalepiti na monitor računara gde svako može da je vidi (ako već zapisujete lozinku, čuvajte je kod sebe u novčaniku ili negde gde može biti pod ključem). Prilikom odabira lozinke, treba voditi računa da se ne unose smislene reči koje je moguće otkriti upotrebom rečnika, kao i da se koristi složena lozinka sa svim potrebnim elementima i dužinom koja ne sme biti manja od 8 karaktera.

Veoma je bitno da se lozinka ne unosi na stranici koja nema sertifikat, a što se može videti kroz zeleni katanac s leve strane u internet pretraživaču – u suprotnom, ne treba unositi podatke. Lozinka se ne sme slati nikada niti bilo kome elektronskom poštom ili otkrivati u razgovoru telefonom, jer neko može prisluškivati mrežu ili telefonsku liniju i na taj način doći do lozinke. Takođe, moguće je i da se neko posluži tehnikama socijalnog inženjeringa i pokuša da se predstavi kao neko drugi.

Potrebno je da se koristi program za upravljanje lozinkama – Password manager je aplikacija čija je osnovna namena da čuva vaše različite šifre za pristupanje raznim sajtovima i aplikacijama. Osnovna ideja jeste da imate jedan glavni master ključ koji koristite za logovanje na Password menadžer aplikaciju i dovoljno je da upamtite samo njega, jer će se za sve ostale šifre brinuti sama aplikacija.

Na kraju, potrebno je istaći da i pored svih tehničkih metoda zaštite uvek postoji rizik da zaposleni u kompaniji budu prevareni i da zato nenamerno otkriju korisničko ime i lozinku sajber napadaču. Da bi se ta opasnost sprečila, neophodno je sprovoditi stalnu edukaciju zaposlenih (security awareness training), kako bi bili upoznati sa najnovijim sigurnosnim pretnjama i kako ne bi nasedali na trikove sajber napadača koji postaju sve sofisticiraniji.


Tekst je objavljen u majskom izdanju časopis Biznis & Finansije 2018

понедељак, 7. мај 2018.

Izveštaj sa eSecurity 2018 konferencije


Druga međunarodna eSecurity konferencija, održana je od 25. do 27. aprila u Hotelu Crowne Plaza u Beogradu u organizaciji Udruženja eSigurnost. Događaj je privukao veliki broj stručnjaka iz zemlje i inostranstva u oblasti ICT, informacione bezbednosti, digitalne forenzike, IT revizije i upravljanja IT rizicima.

Glavne teme predavanja su bile posvećene upravo cyber bezbednosti i zaštiti kompanija i pojedinaca. Pored toga, konferencija je obradila i druge značajne i aktuelne teme kao što su GDPR, IoT, RF, blockchain, kripto valute itd.

Konferencija je započela treningom pod nazivom Zero day, 25. aprila. Održane su radionice za etičke hakere pod nazivom #ack4Life, gde su učesnici imali mogućnost da se upoznaju sa naprednim hakerskim tehnikama i načinima odbrane.


Konferenciju je otvorio Sava Savić, pomoćnik ministra za informaciono društvo MTTT. Tom prilikom naglasio je koliki je značaj informacione bezbednosti u današnjem svetu i izneo je informacije o tome šta Ministarstvo za trgovinu, turizam i telekomunikacija preduzme u ovoj oblasti. U nastavku je dr Igor Franc, predsednik Udruženja eSigurnost svim prisutnim učesnicima poželeo uspešan rad u dva dana konferencije i izneo osnovne informacije o samom udruženju koje je organizator konferencije.

Takođe, ovo je zvanično bio i početak završnog kruga #ACK4LIFE igre, koja je organizovana tako da su nekoliko meseci pre konferencije preko sajta distribuirani zadaci za zainteresovane, a 250 učesnika je učestvovalo u ovom on line delu. Dvanaestoro je uspelo da reši svih 5 postavljenih nivoa i oni su kao nagradu dobili besplatne kotizacije za konferenciju što nije bio kraj nagradama u ovoj zanimljivoj igri.

Značajan deo prvog dana bio je posvećen GDPR regulativi i zaštiti podataka u praksi, a održan je i zanimljiv panel o tome. Moderator panela bio je dr Dragan Đokić, profesor i menadžer za bezbednost, a učesnici Nevena Ružić iz kancelarije poverenika, Armi Dinar iz PwC Srbija, Vladimir Marinkov iz advokatske kancelarija Guberina-Marinkov i dr Goran Kunjadić profesor i menadžer za bezbednost u jednoj od banaka.


Tokom konferencije predstavili su se i prijatelji udruženja ISACA, Open Link i IT veštak. Veliku pažnju posetilaca privukla su predavanja o bezbednosti blockchain tehnologija i kripto-valutama; predavanje Dejana Levaje o hakovanju RF uređaja; live haking sesija gde su Mane Piperevski i Filip Simeonov uspešno hakovali Windows 10 operativni sistem koji je bio ažuriran poslednjim bezbednosnim ispravkama, kao mnoga druga sponzora i IT stručnjaka.

Pokazani su do sada neviđeni „alati“ koji se mogu primeniti i u svakodnevnom životu za probijanje različitih sigurnosnih barijera. Počev od običnih, „fizičkih“ sigurnosnih brava, katanaca, pa sve do najsavršenijih oblika zaštite, u obliku biometrijskih podataka, pa čak i najnovije IRIS-tehnologije. Naravno, sve sa ciljem kako bi se ukazalo na potrebu edukacije i neophodnost savremene zaštite IT uređaja.

Za sve posetioce konferencije je organizovana i večera u staroj Vajfertovoj pivari u Pančevu koja je protekla u veseloj atmosferi, razgovoru i druženju. Kompanija Kaspersky, kao sponzor večere, je i ovoga puta podelila vredne nagrade svim prisutnima u vidu jednogodišnjih licenci za njihov antivirus proizvod i USB diskove. Na kraju prisutnima se u ime Udruženja eSigurnost obratio dr Igor Franc koji se zahvalio prisutnima i sponzorima i pozvao ih da i sledeće godine učestvuju na konferenciji Udruženja eSigurnost. Etički hakeri koji su uspešno rešili poslednji krug #ACK4LIFE igre dobili su vredne nagrade od kompanije Kingston u vidu SSD diskova i kripto flesh memorija.


Ovogodišnju konfereciju podržao je veliki broj sponzora: Kaspersky, Check Point, Kingston, Veracomp, Arbor Networks, PwC, Ibis Instruments, Energoprojekt Energodata, Sion Net, Panda, Avigilon, Brother, Digitron-ist, CP Security, Cards Print, SECIT Security, Piperevski & Associates.
Konferenciju je podržao i veliki broj medija: Kompanija Novosti AD, PC Press, Biznis & Finansije, BIZLife, ICT business, Internet Ogledalo i Računalo iz Hrvatske.

субота, 31. март 2018.

Šta je zapravo "Kembridž analitika"


Taman kada pomislimo da smo sve već videli i da neće biti nekih većih iznenađenja pojavi se kompanija koja bez reči uzme veliku količinu podataka i pokuša da psihološki utiče na korisnike. Reč je o kompaniji koja drugim kompanijama, ali i političkim partijama i zvaničnicima, nudi mogućnost “uticaja na ponašanje publike“.

Sama kompanija tvrdi da su u mogućnosti da analiziraju velike količine podataka o potrošačima, to uporede sa njihovim ponašanjem i tako dođu do ljudi koji su podložni za uticaj - na primer za koga da glasaju ili da izađu na izbore. 

Firma je osnovana 2013. godine kao deo kompanije “SCL grup“ i velika je šteta što se ovo nije desilo posle 25.05.2018. kada u EU stupa na snagu GDPR direktiva jer bi onda videli kakva bi tada bila reakcija.

A zašto je ta firma bila u svim svetskim medijima?


Zato što je britanski “Obzerver“ objavio da su 2014. akademik Aleksandar Kogan i njegova kompanija “Global Science Research (GSR)“ došli do podataka više od 50 miliona Fejsbuk korisnika, a od kojih je veliki deo uzet bez dozvole korisnika. To je urađeno tako što je više stotina hiljada korisnika dobilo između dva i pet dolara kako bi učestvovali u testu ličnosti i pristali da se njihovi podaci prikupe u akademske svrhe preko Koganove aplikacije “thisisyourdigitallife”. Međutim, aplikacija je prikupljala i podatke o njihovim Fejsbuk prijateljima koji nisu pristali da učestvuju u istraživanju. Kogan je nakon toga podatke podelio sa “Kembridž analitkom“.

Ova ogromna količina podataka je dovela do stvaranja algoritma koji je određivao crte ličnosti koje su povezane s glasačkim preferencijama, pa je dobijena mogućnost identifikacije neodlučnih i kreiranje poruka na koje bi oni mogli da reaguju na određeni način.

Gardijan” navodi da je Fejsbuk tek krajem 2015. saznao za prikupljanje podataka, ali da nisu obavestili korisnike, već su samo zahtevali da se aplikacija ukloni, a prikupljeni podaci unište. “Gardijan“ takođe piše da su oni uticali na kampanje tri republikanska kandidata za nominaciju na predsedničkim izborima, među kojima je i Tramp.

“Kembridž analitika“ je analizirala milione podataka kako bi indentifikovali birače na koje se najlakše može uticati i da su im slali poruke kako bi ih motivisali da izađu i glasaju. Osim toga, “Gardijan“ piše i da je jedan od Trampovih ljudi i finansijera Robert Mercer dao 15 miliona dolara za finansiranje kompanije “Kembridž analitika“.

Kako je Kembridž analitika optužena za korišćenje nezakonitih metoda?


Britanski Kanal 4 poslao je reportera na tajni zadatak. Reporter je se pretvarao da je biznismen iz Šri Lanke, koji želi da utiče na lokalne izbore.

Direktor Kembridž analitike Aleksandar Niks je navodno snimljen u davanju primera kako njegova kompanija može da diskredituje političke rivale organizacijom negativnih kampanja, ali i susreta s prostitutkama i simuliranjem situacija u kojima navodno podmićivanje može biti zabeleženo kamerom.

Šta kaže kompanija Kembridž analitika?


Kompanija je negirala da radi bilo šta ilegalno, istakli su i da nisu prikupljali Fejsbuk podatke, kao i da ništa od toga nije korišćeno u predsedničkim izborima u SAD 2016. godine. Takođe navode da je sve bilo potpuno u skladu sa svim uslovima koje Fejsbuk ima za korišćenje privatnih podataka korisnika. Kembridž analitika je koristila ProtonMail koji je u vlasništvu švajcarske kompanije koja pruža usluge šifrovane email komunikacije koja nije dostupna nikom drugom osim učesnicima u komunikaciji.

Tehnološki gigant Fejsbuk i kompanija za analizu podataka Kembridž analitika poriču da su prekršile zakon. Međutim Britanski istražitelji su u petak 23.03.2018. kasno uveče pretresli londonske kancelarije kompanije za obradu podataka Kembridž Analitika, koja je u centru kontroverze oko navodne zloupotrebe podataka miliona korisnika društvene mreže Fejsbuk. 


Šta možete da uradite kako biste zaštitili svoje podatke?

Postoji nekoliko stvari koje možete uraditi ako želite da ograničite ko ima pristup vašim podacima.
  • Obratite pažnju na aplikacije, pogotovu one koje zahtevaju korišćenje vašeg Fejsbuk naloga za logovanje.
  • Koristite bloker reklama.
  • Proučite odredbe o bezbednosti na Fejsbuku i saznajte gde ste sve dozvolili pristup. 
  • Proverite postavke pojedinačnih aplikacija da utvrdite da li ste dozvolili aplikaciji da ima pristup vašim prijateljima, kao i vašim ličnim podacima.
  • Možete da preuzmete kopiju vaših podataka koje Fejsbuk poseduje, iako oni neće biti potpuni. Postoji opcija za preuzimanje na dnu stranice s Opštim postavkama naloga (General Account Settings).
Možete naravno prosto napustiti Fejsbuk i obrisati svoj profil što je uradilo nekoliko poznatih ličnosti a među njima i Ilon Mask koji je obrisao stranice Tesla i SpaceX. Međutim postavlja se pitanje da li je ovo dovoljno jer je ovo samo jedan od događaja koji je pokazao koliko je zapravo opasno davati svoje podatke različitim online kompanijama, društvene mreže su se pokazale kao posebno opasne.

Ono što može biti zaključak jeste da su korisnici sami delom odgovorni za ovo što se dogodilo, ali ne želim da se stekne utisak da to nešto umanjuje odgovornost kompanije Facebook koja nije preduzela dodatne mere iako je znala za incident, zatim samog istraživača koji je svoje podatke ustupio firmi Kembridž analitika koja je na kraju te podatke možda iskoristila na određeni način.

понедељак, 19. март 2018.

Radni tekst: 10 pitanja o hakovanju objavljen u Politici


1.     Шта је то хаковање? Шта је ново у информационој безбедности и која су нова искуства? Шта је то етичко хаковање?
Хаковање је процес напада на рачунарски систем са циљем да се утиче на његово нормално функционисање. Особе које се баве хаковањем познате су као хакери и у јавности су у великом броју случајева представљени као криминалци. Изузетно је битно истаћи да нису сви хакери криминалци. Постоје хакери који припадају групи "Црни шешири" који јесу криминалци али постоје и они који припадају групи "Бели шешири" или како их још другачије зову и "етички хакери" који нису криминалци већ спроводе тестирање система са циљем да пронађу слабости и пропусте и да о извештај о томе што су пронашли доставе особама које су тражиле такво тестирање што је углавном менаџмент компаније. Битно је истаћи да сви хакери користе исте алате али да се њихов циљ потпуно разликује као и то да ли су имали дозволу да покушају да хакују одређени систем или су то урадили на своју руку.

2.     Који је први корак нападнуте особе или система фирме, компаније?
Ако сумњате да сте мета напада хакера прва ствар јесте да не паничите претерано већ да инцидент што пре пријавите надлежним органима. У Србији постоји посебно одељење МУП-а за високотехнолошки криминал где појединци могу пријавити своје случајеве. Уколико је у питању фирма процес пријављивања инцидента се разликује у односу на то чиме се фирма бави. За већину фирми прва тачка коме сте по закону дужни да пријавите овакав инциденте јесте Министарство за телекомуникације, трговину и туризам -  МТТТ. Ово не важи само у случају да радите новчане трансакције у свом пословању јер онда у том случају прва тачка пријаве јесте Народна банка Србије - НБС. Без обзира на све прво што би требало урадити и пре пријаве инцидента јесте рачунар искључити са мреже како би се евентуално онемогућио наставак напада. На жалост у Србији још увек не постоји Центар за интервентно деловање као што је случај у другим земљама у окружењу познат као ЦЕРТ чији је основни задатак да реагује у оваквим ситуацијама 24/7/365. Додуше агенција РАТЕЛ је формирала овакав центар што је законски регулисано законом о информационој безбедности али његова оперативност још увек није на неком завидном нивоу.

3.     Ко су нападачи?
У последње време показало се да прича о томе да су надачи углавном малолетна лица која хакују из неких гаража са циљем да се докажу је потпуно нетачна. Данас хакери су професионалци који су солидно образовани, раде у "хакерским" фирмама пуно радно време, које их добро плаћају за то што раде. Овакве фирме осим добре плате нуде својим запосленим и низ других погодности о којима ти исти људи не би могли ни замислити на неком другом месту. Осим овога и одређене земље као што су на пример Кина али и неке друге имају своје сајбер армије које служе за ратовање и шпијунске операције. Задатак оваквих специјалних војних јединица је да онемогуће рад неког система или да дођу до поверљивих информација битних за државну безбедност и војно деловање. Јавно је познато да Кина има преко 200.000 сајбер ратника и то је званична информација док за неке друге земље можемо само нагађати.

4.     Има ли спаса од напада и хакера?
Одговор на ово питање је изузетно тешко дати. Моје лично мишљење је да ако смо довољно битни не постоји начин да се 100% заштитимо. За просечног човека ако се придржава неких смерница доброг понашања које су познате као "сајбер хигијена" и не наседају на различите покушаје преваре можемо рећи да су релативно добро заштићени. Међутим уколико причамо о неком ко је по нечему специфичан и још ако је област којом се бави занимљива сајбер нападачима ситуација се из корена мења. Желим да истакнем да чак и компаније које имају најсавременије и најскупље системе заштите нису 100% сигурне јер за правог нападача увек постоји начин.

5.     Због чега хакери нападају системе и које?
Циљеви напада могу бити различити. Од тога да се привремено онемогући рад неког система, до тога да се дође до поверљивих информација који се налазе на рачунару. Одавно смо прешли из индустријског у информационо доба када највећу вредност на тржишту више немају машина и опрема већ "њено величанство" информација. Каже се као има информације тај има и моћ што се показало као изузетно тачно ако погледате како данас изгледа светски поредак.

6.     Зашто нападају компјутере појединаца?
Хакери генерално скоро никада немају као крајњи циљ напад на рачунар појединца већ компаније. Ово не важи једино ако је та особа из неког разлога изузетно важна због свог реномеа или информација које поседује. Међутим хакери никада када креирају одређени вирус не могу да знају где ће он завршити када се инфекција прошири. Наравно они би волели да то буду рачунари корпорација али се на жалост често дешава да то буду и наши кућни рачунари. Уколико заразе рачунар појединца и на неки начин закључају податке што је познато као "рансомваре" напад онда ће цена бити знатно нижа рецимо око 300$ за разлику од тога ако је у питању фирма где цена може бити неколико десетина или стотина пута већа. Углавном хакери слабо могу да зараде на рачунарима појединаца али им такви рачунару добро послуже за даље ширење вируса на друге рачунаре.

7.     Примере најбоље праксе и одличне препоруке за ефикасну заштиту
Што се тиче примера најбоље праксе и неких препорука које би могли дати читаоцима ово су рецимо ствари које никако не би требало радити јер могу угрозити безбедност рачунара:
  • коришћење лоших односно слабих лозинки (свака лозинка би требало да буде најмање 8 карактера дуга и треба да садржи комбинацију малих слова, великих слова, специјалних симбола и бројева)
  • отварање прилога имејл порука од особа које не познајемо
  • убацивање у рачунар УСБ диска који смо негде нашли или нам је неко дао
  • нередовно ажурирање оперативног система рачунара али и осталих инсталираних програма као и програма за заштиту "Антивирус"
  • посета сајтова са сумњивим садржајем
Ово су само неке ствари које никако не би требало да радите а осим овога има још доста тога што превазилази обим овог текста.

8.     Како сагледати свој систем безбедности из угла нападача?
Да би компанија могла да сагледа тренутно стање свог система безбедности потребно је ангажовати компанију која се бави услугом познатом као пенетрационо тестирање. Овакво тестирање врше етички хакери који имају дозволу од стране управе компаније која ће на крају добити детаљан извештај о томе какво је стварно стање безбедности њихових система. Ово је изузетно битно јер ако не знате које су вам слабе тачке нисте у могућности ни да се адекватно штитите.

9.     Шта хакери користе, како размишљају, који је њихов циљ и како стижу до нас?
Хакери су углавном изузетно интелигенте особе које користе озбиљне алате за које је потребно доста времена и труда да се савладају како би се могли употребљавати. Осим познавања алата потребно је доста добро познавати и људску психу како би се неопрезан корисник натерао на неку акцију. Показало се да преко 85% напада је изазвао управо човек својом непажњом јер је насео на неки трик који су хакери припремили за њега. Постоје тако прецизно усмерени напади где се игра са човековом психом какве обичном човеку никада не би ни на памет пале. Оно сто свакако у великом броју случајева игра улогу јесте лажно представљање које може да створи неку привидну сигурност код особе која треба да изврши одређену акцију на рачунару.

10.Како да знамо да је наш компјутер или систем сигуран?
На ово питање се не може одговорити. Чак и ако имамо инсталиран најновији оперативни систем, плаћен антивирус програм и на рачунару радимо веома пажљиво и пратимо упутства стручњака и даље не мора да значи да смо сигурни. Дешава се да постоје одређени проблеми о којима чак ни произвођачи софтвера и хардвера нису свесни и који су познати као "0 деј" или "зеро деј" и који се могу веома скупо продати у мрачном делу интрнета познатом као "дарк нет". Такође било је примера и да су произвођачи уградили у саме уређаје као што су лаптоп рачунари или мобилни телефони чипове који служе за шпијунажу односно омогућавају да се без знања корисника информације шаљу са рачунара на одређену локацију. Ово је изузетно опасно јер овакве акције пошто се не врше на нивоу програма нису видљиве за антивирус програме и није их могуће спречити или открити.

Објављено у Политици 18.03.2018.
Новинар: Бранка Јакшић

уторак, 27. фебруар 2018.

Blogpost broj 50 - malo retrospektive i lista top 5 najcitanijih postova


Malo po malo I stigosmo do pedesetog posta. Prvi post je objavljen  pre nešto manje od godinu dana ili precizno 18.03.2017. Kroz ovih godinu dana bilo je postova na razne teme vezane za informacionu bezbednost. U nastavku možete vidite 5 najčitanijih postova:

  1. Bezbedna kancelarija u oblaku
  2. Letovanje i društvene mreže 
  3. Ko su etički hakeri ili beli šeširi 
  4. Kako hakeri mogu zloupotrebiti vas racunar za rudarenje kriptovaluta 
  5. Kako nas špijuniraju kroz različite aplikacije i uređaje 

Želim da Vam zahvalim na tome što me redovno pratite i čitate sadržaje koje kreiram. Nadam se da sam što se tiče tema bio interesantan i da ćete nastaviti da čitate blog i da ćemo se još dugo družiti na ovim stranicama kroz različite teme vezane za oblast informacione bezbednosti. Takođe ukoliko ima neka tema koja Vas posebno zanima a do sada nije bila obrađena napišite mi to u komentaru i ja ću pokušati u narednom periodu da je objavim.

понедељак, 19. фебруар 2018.

Problemi sa malverom Olympic Destroyer na otvaranju Olimpijade


Ovo nije prvi put da sajber nadači koriste momenat otvaranje nekog događaja kako bi izazvali probleme. Za vreme ceremonije otvaranja Olimpijskih igara u Pjongčangu je jedan destruktivni malver napravio probleme sa internetom i televizijskim sistemima zbog koga su novinari koji su izveštavali sa ceremonije otvaranja bili u problemu a o čemu se radi pročitajte dalje u postu. Organizatori su priznali da tehnički problemi nisu bili slučajnost i da se njihova mreža našla na udaru sajber napadača.


Istraživači kompanije Cisco su objavili izveštaj o malveru koji je korišćen u ovom napadu. Prema tvrdnjama istraživača malver koji je nazvan Olympic Destroyer ima jednu jedinu svrhu a to je uništenje podataka.  Izvlačenja podataka sa sitema organizatora izgleda da nije bilo po rečima istraživača. Istraživači još kažu da je ovo nešto što smo već videli sa BadRabbit i NotPetya malverima i da je priroda ovog malvera takva da ima za cilj da računar učini neupotrebljivim brišući shadow volume kopije, evidenciju događaja i da koristeći PsExec i WMI pokušava da se kreće dalje kroz okruženje.

Olympic Destroyer na sistemu postavlja dva fajla - jedan koji krade lozinke iz browsera i jedan koji krade lozinke sistema a zatim koristi cmd.exe i WBAdmin.exe da bi krišom obrisao backup operativnog sistema, i cmd.exe i BCEdit.exe da bi onemogućio pre-boot Windows recovery konzolu. Na kraju malver briše System i Security Windows logove da bi sakrio svoje tragove a onda isključuje sve Windows servise na računaru i isključuje računar posle čega ga je nemoguće pokrenuti. Ono što je zanimljivo jeste da malver ne briše nijedan fajl napadnutog računara. Podaci ostaju netaknuti ali sistem će se suočiti sa greškama pri pokušaju sledećeg pokretanja zbog toga što su mnogi ključni Windows servisi isključeni.


Kako je došlo do infekcije za sada nije poznato. Ko stoji iza ovog malvera i napada je nejasno ali se sumnja na dva moguća krivca a to su Severna Koreja i Rusija. Olympic Destroyer je po svemu sudeći rafinisanija verzija BadRabbita pa to upućuje na to da je možda u pitanju Rusija ali neki istraživači kažu da je ovaj malver sličniji alatima koje su ranije koristili kineski hakeri tako da preciznog odgovora još uvek nema.