Cover Story - PC Magazine Romania, Aprilie  2002

Securitatea ca mod de viaţă

Piaţa securităţii TI: prezent şi perspective
Soluţii de securitate
Sunteţi în siguranţă? Cum puteţi afla?
Panaceum universal sau soluţii de securitate personalizate?
Siguranţa afacerilor online
Asigurarea confidenţialităţii mesajelor
Symantec & Cypherix
Familia de produse BitDefender

O pledoarie pentru necesitatea realizării unei foarte bune securităţi a reţelelor de calculatoare şi a calculatoarelor independente este astăzi inutilă. Dacă există manageri care nu sunt convinşi de acest lucru este numai vina administratorilor de reţea din organizaţiile respective. Orice argument de genul "nouă nu ni se poate întâmpla" reprezintă o manifestare inconştientă ce s-ar putea să fie scump plătită. Bugetul alocat securizării trebuie să fie pe măsura importanţei datelor. Există destui care consideră că informaţiile pe care le au nu sunt importante sau că accesând internetul doar folosind metoda de dial-up (apelarea unui ISP prin intermediul unei linii telefonice obişnuite) nu sunt vulnerabili. O analiză atentă va arăta însă contrariul. De exemplu, pentru nici o firmă nu este acceptabilă pierderea datelor legate de contabilitate.

Atacurile hackerilor se pot îndrepta unitar asupra unui obiectiv, care poate fi un simplu calculator legat la internet prin dial-up sau o reţea a armatei, a guvernului, a unei organizaţii strategice. Dacă PC-ul atacat este al unei persoane cu grad mare de acces la resursele reţelei firmei în care lucrează, compromiterea acestui calculator poate conduce la compromiterea întregii reţele. Cine va suporta pierderile şi implicaţiile penale? În cazul în care reţeaua firmei dumneavoastră este folosită pentru a ataca altă reţea, spre cine vor arăta cu degetul cei agresaţi? Cine va suporta pagubele şi implicaţiile penale? Hackerii sunt maeştrii ai camuflării, folosindu-se adesea de identitatea altora. Şi chiar dacă sunt depistaţi, măsurile care se pot lua împotriva lor sunt foarte limitate datorită dificultăţilor de probare a vinovăţiei lor. Dacă hackerul se află în altă ţară, puteţi chiar să constataţi că ISP-ul prin care s-a conectat el la internet nu vă va susţine în încercarea de a depista identitatea atacatorului. Oare ISP-urile din România sunt capabile să furnizeze date despre astfel de persoane dacă sunt depistate? Ar fi neplăcut ca o instituţie de stat să fie atacată, iar împotriva atacatorului să nu se poată face nimic. Când vor apărea legi care să ne protejeze?

O ÎNCERCARE DE DEFINIŢIE
Securitatea, raportată la reţelele de calculatoare şi la calculatoarele independente, înseamnă:

• o bună funcţionare a echipamentelor TI
  
• protecţia datelor aflate în echipamentele TI împotriva: stricării în mod voit, ştergerii, modificării, expunerii lor unor persoane neautorizate
  
• prevenirea întâmplărilor neplăcute
  
• detectarea scanării propriei reţele de către persoane din afară pentru a descoperi punctele ei vulnerabile
  
• instruirea utilizatorilor despre metodele de obţinere de către persoane neautorizate a informaţiilor confidenţiale folosind inginerie socială
  
• metode de protecţie împotriva atacurilor DOS (asigurarea continuării funcţionării serviciilor)
  
• prevenirea folosirii serviciilor proprii de către persoane neautorizate
  
• prevenirea instalării de căi de acces la sisteme pentru persoane neautorizate.
  

Pe scurt, prevenirea tuturor acţiunilor care pot produce prejudicii morale sau băneşti.

Atacurile nu apar numai de la persoane aflate în afara reţelei. Ele pot apărea şi de la angajaţi care nu folosesc corespunzător echipamentele şi aplicaţiile software, sau sunt nemulţumiţi, sau persoane care s-au angajat în cadrul organizaţiei special pentru a avea acces la datele acesteia (pentru a le fura, altera sau distruge) sau pentru a crea porţi de acces neautorizat pentru ei sau pentru alte persoane.

MODELUL DE SECURITATE AL UNEI ORGANIZAŢII
Modelul de securitate al unei organizaţii trebuie ales de conducerea acesteia împreună cu administratorul reţelei, ţinând cont de următoarele criterii:

• fluxul documentelor electronice şi structura organizatorică pe departamente (eventual sucursale)
  
• servicii care vor fi oferite publicului
  
• servicii care vor fi oferite angajaţilor
  
• nivele de acces la date şi resurse ale fiecărui angajat (inclusiv acces în afara reţelei organizaţiei)
  
• categoriile de date care vor circula şi vor fi stocate în reţea
  
• bugetul alocat pentru realizarea securităţii.

Fluxul documentelor electronice şi structura organizatorică pe departamente (eventual sucursale). Plecând de la fluxul documentelor electronice şi structura organizatorică pe departamente (eventual sucursale) trebuie gândită structura fizică a reţelei (împreună cu tot ce ţine de aceasta: structura de transmitere a datelor, echipamente, sisteme de operare, aplicaţii software) şi implementarea securităţii. Este posibil ca reţeaua să fie în final una de tip eterogen, de aceea trebuie gândită foarte bine colaborarea între facilităţile de securitate puse la dispoziţie de diferitele echipamente, sisteme de operare şi aplicaţii folosite, iar în cazul unui VPN (Virtual Private Network - reţea privată folosind transmisii securizate prin intermediul internetului) de facilităţile de securitate puse la dispoziţie de ISP-urile implicate în susţinerea VPN-ului.

Este indicat ca fiecare unitate logică să fie transpusă şi la nivel de reţea prin implementarea de subreţele, urmând ca traficul dintre aceste subreţele să fie urmărit permanent în căutarea de probleme. Conectarea unităţilor logice se va face prin gateway-uri pe care vor rula aplicaţii de securitate. Rolul acestor aplicaţii este să detecteze orice anomalie (de exemplu: un flux mare de mesaje electronice cu acelaşi subiect, care indică o posibilă virusare, sau scanare a datelor pentru detectarea de viruşi sau alte aplicaţii "toxice", detecţia de scanări ale reţelei pentru aflarea de puncte vulnerabile, aplicarea de filtre pentru implementarea politicilor de acces la date şi resurse ale angajaţilor etc.). Deşi aceste aplicaţii vor introduce o anumită întârziere în transferul de date, ea nu va fi semnificativă, poate nici măcar sesizabilă, în schimb va permite eliminarea rapidă a problemelor sau măcar detecţia în scurt timp a unor posibile probleme. Astfel, dacă o unitate logică a fost coruptă, detecţia şi oprirea (sau încetarea) coruperii celorlalte unităţi logice se poate face mult mai uşor decât în lipsa unui astfel de model de securitate. Implementarea acestui model de securitate presupune costuri adiacente pentru achiziţionarea şi utilizarea gateway-urilor şi este o soluţie intranet (în sensul că se ocupă doar cu securitatea datelor care circulă în cadrul reţelei interne, mai bine spus între subreţelele interne).

Trebuie ţinut cont că, de multe ori, datele care circulă în cadrul unui departament nu trebuie să fie disponibile altor departamente. De aceea, folosirea unui model de securitate bazat pe intragateways permite un control mai strict al modelului de securitate definit pentru firmă. De asemenea, trebuie securizate şi transferurile de date din cadrul organizaţiei (cum ar fi de exemplu mesajele transmise prin intermediul mesageriei electronice care trebuie protejate prin folosirea de chei publice sau alt sistem de protecţie a datelor).

Servicii care vor fi oferite publicului. A devenit astăzi o necesitate pentru firme să dispună de cel puţin un sit web propriu. Situl destinat accesului public, împreună cu celelalte servicii oferite în mod public, trebuie să fie găzduite pe servere dedicate. Întotdeauna, transferul de date va fi dinspre intranet (reţeaua internă a firmei) spre extranet (partea de reţea a firmei în care sunt găzduite severele dedicate serviciilor oferite în mod public). Cu siguranţă că există şi excepţii, dar acestea trebuie tratate cu foarte mare atenţie.

Servicii care vor fi oferite angajaţilor. Studiile făcute au arătat că existenţa unor situri de web şi ftp în cadrul organizaţiilor, la care să aibă acces angajaţii, conduce la mărirea productivităţii lor. De asemenea, existenţa acestor situri măreşte gradul de securitate al reţelei dacă singurele persoane care pot pune date pe aceste situri sunt persoane de încredere ce respectă politicile de securitate ale firmei.

Este de multe ori de neacceptat ca angajaţii să aibă acces la servicii de genul IRC sau ICQ, deoarece astfel hackerii pot pătrunde în reţea fără a putea fi depistaţi de către administratorii reţelei sau pot transmite informaţii secrete unor persoane din afară, deşi politica de securitate a firmei interzice aceasta. Deoarece astfel de aplicaţii software permit rularea de scripturi, sunt un pericol mare de compromitere a securităţii reţelei.

Trebuie luat în considerare şi faptul că anumite persoane din cadrul firmei îşi pot continua munca acasă sau în alte locuri decât sediile companiei şi există şi posibilitatea necesităţii accesului de la distanţă la unele resurse ale reţelei a acestor persoane. Compromiterea calculatorului folosit pentru lucru în afara organizaţiei poate conduce în final la compromiterea unei părţi sau chiar a întregii reţele a organizaţiei la care lucrează persoana respectivă. De aceea, trebuie avută foarte multă grijă la realizarea modelului de securitate, cine şi cum va putea introduce date generate extern în reţeaua respectivă.

Nivele de acces la date şi resurse ale fiecărui angajat (inclusiv accese în afara reţelei organizaţiei). Nu orice informaţie din cadrul reţelei trebuie să fie disponibilă oricui, după cum bine s-a văzut atunci când am discutat despre fluxul documentelor între departamente. Trebuie limitat accesul angajaţilor la servicii externe. O politică de securitate care interzice angajaţilor accesul din cadrul reţelei proprii la anumite servicii externe reţelei pe durata programului, dar nu şi în afara lui, creează o breşă de securitate.

De multe ori, conducătorii unei firme vor să aibă acces la servicii externe reţelei proprii, servicii interzise celorlalţi angajaţi. Şi probabil că de fiecare dată când se întâmplă aşa, administratorii de reţea sunt puşi într-o situaţie dificilă. Nu trebuie uitat că hackerii nu fac nici o diferenţiere, şi nici nu au cum să o facă, între calculatorul care aparţine unui manager şi cel al unui simplu angajat, iar dacă PC-ul vulnerabil este cel al directorului, să-l lase în pace.

Ei atacă acolo unde, cum şi când pot. De aceea, este bine ca pentru persoanele care "trebuie" să aibă astfel de facilităţi să se creeze o subreţea specială, iar măsurile de securitate să fie deosebite pentru a preîntimpina activ orice încercare voită sau nu de compromitere a reţelei organizaţiei.

Categoriile de date care vor circula şi vor fi stocate în reţea. Din modelul de securitate face parte şi definirea categoriilor de date care sunt admise să circule şi să fie stocate în cadrul reţelei. Fiecărei categorii de date i se va atribui şi un grad de securitate care practic va defini cine şi în ce condiţii are acces la ele şi ce operaţii poate efectua cu ele (doar citire, modificare).

În funcţie de categoriile de date se vor alege şi politicile de salvare pe suporturi externe (backup) a datelor în vederea unei recuperări cât mai complete a lor, dacă apar defecţiuni ale sistemelor sau au loc atacuri reuşite care au condus la compromiterea datelor (au fost şterse sau alterate).

Bugetul alocat pentru realizarea securităţii. De asemenea, trebuie făcută o analiză a pierderilor suferite în cazul compromiterii unui segment de reţea, precum şi planul de acţiune în cazurile unor atacuri reuşite sau nu (cum trebuie acţionat, cine trebuie informat, prin ce metode).

Este posibil ca datorită unui buget sub necesarul real, buget destinat realizării securităţii datelor aflate în reţea, să trebuiască redefinit întreg modelul de securitate, urmând ca după aceea să fie "corectat" când sunt bani. Dar această variantă nu este deloc acceptabilă din punctul de vedere al implementării unui model de securitate eficient. Trebuie ţinut cont că în domeniul securităţii, a face ceva mâine poate însemna a fi prea târziu.

PUNCTUL DE VEDERE AL UNUI ADMINISTRATOR
Criteriile prezentate anterior, care trebuie luate în calcul la realizarea modelului de securitate a reţelei unei firme, nu trebuie luate ad-literam. Ele reprezintă viziunea mea personală, bazată pe experienţa acumulată ca administrator de reţele, despre cum trebuie gândit şi implementat un model de securitate sănătos.

Securitatea este doar atât de bună pe cât utilizatorii sunt dispuşi să urmeze regulile de securitate. Utilizatorii vor doar să-şi vadă treaba făcută. Administratorii vor să ţină problemele în afara sistemelor lor. Managerii organizaţiilor vor să ţină secrete datele acestora.

Cele mai mari probleme de securitate le produc utilizatorii care îşi scriu parolele sau le furnizează altora, folosesc aplicaţii software prost scrise sau scrise în scopuri negative.

Pentru administrator, singurul sfat care poate fi dat este acesta: utilizatorii vor urma doar regulile pe care tu le stabileşti. Este treaba administratorului să treacă dincolo de obligaţiile de serviciu şi să îmbunătăţească securitatea sistemelor, iar în acelaşi timp să lupte împotriva "dragonilor" care încearcă să pătrundă în sistem pe uşa din dos.

Trebuie spus că firmele pot apela şi la companii specializate în realizarea de modele de securizare a datelor sau chiar experţi specializaţi în acest domeniu. Dar astfel apare o problemă. Vor fi capabili administratorii reţelei să pună în aplicare şi să menţină funcţional 100% planul astfel elaborat? Cum se vor descurca în faţa unei situaţii care nu a fost luată în calcul în momentul realizării modelului de securitate? De aici se poate trage o singură concluzie: organizaţiile trebuie să investească bani în pregătirea propriilor administratori de reţea pentru a putea preîntâmpina un dezastru, ce le poate fi fatal. - Iulian Radu