Artykuły dotyczące tematu: zabezpieczenia

dodany: 22.01.2013 | tagi: , ,

Jaki antywirus jest najlepszy?

1
Jaki antywirus jest najlepszy?

Zastanawiając się nad sensem instalowania zabezpieczeń w systemie operacyjnym w jednym z poprzednich artykułów, wspomniałem jedynie ogólnie o programach antywirusowych. Po komentarzach Czytelników do tego wpisu pomyślałem, że może warto nieco rozszerzyć temat i może podsunąć materiał, który pokrótce streści najbardziej popularne aplikacje i może dzięki niemu Czytelnicy będą mogli wybrać coś dla siebie.

(więcej…)

dodany: 15.01.2013 | tagi: , , , ,

Niektórzy myślą, że zhakowali cały CERN – wywiad z Sebastianem Łopieńskim

19

Pewnie każdy, kto choć trochę interesuję się aktualnościami ze świata, słyszał o Wielkim Zderzaczu Hadronów (na YouTubie można w wersji rapowej poznać, w jaki sposób działa to zagadkowe urządzenie), neutrinach przekraczających  prędkość światła i „boskich” bozonach Higgsa. Za ten rozgłos odpowiedzialna jest Europejska Organizacja Badań Jądrowych CERN (z fr. Organisation Européenne pour la Recherche Nucléaire). Nie każdy może wiedzieć, że CERN jest kolebką WWW. Nawet swoją nazwę system WorldWideWeb zawdzięcza ośrodkowi badań jądrowych. To w CERN-ie powstała pierwsza strona internetowa info.cern.ch, pierwszy serwer i pierwsza przeglądarka internetowa. Ośrodek do tej pory prowadzi badania nad bezpieczeństwem, a jego wewnętrzny system ochrony można brać jako przykład rozwiązań np. dla firm.

Sebastian ŁopieńskiO sprawach dawnych i bieżących rozmawiamy z Sebastianem Łopieńskim, Polakiem pracującym w CERN-ie od 12 lat, obecnie Zastępcą Inspektora ds. Bezpieczeństwa Komputerowego (Deputy Computer Security Officer). Sebastian Łopieński jest absolwentem Uniwersytetu Warszawskiego (informatyka) oraz Institute d’Administration des Enterprises w Aix-en-Provence (dyplom MBA).

 

Red.: Jak restrykcyjna jest polityka bezpieczeństwa w CERN – miejscu, które choć prowadzi badania z myślą o społeczeństwie i rozwoju cywilizacji, to narażone jest na próby przechwycenia wyników tych badań przez osoby i organizacje mające niezbyt czyste intencje?

Sebastian Łopieński: CERN to ośrodek badań naukowych z bardzo silną kulturą akademicką, z 2 500 pracownikami oraz około 11 000 użytkowników odwiedzającymi CERN mniej lub bardziej regularnie lub wręcz pracującymi tu na stałe. W tak różnorodnym środowisku nie jest łatwo uzasadnić, wprowadzić i utrzymać bardzo restrykcyjne zasady korzystania z infrastruktury komputerowej – bez ograniczania kreatywności i produktywności tych wszystkich ludzi.

Oczywiście, jak każda organizacja, trzymamy w naszych systemach komputerowych dane personalne, finansowe, nawet medyczne. Mamy do dyspozycji znaczną moc obliczeniową  oraz przechowujemy bardzo dużo danych fizycznych. Ponadto, cała infrastruktura techniczna, w tym akcelerator LHC oraz detektory/eksperymenty są sterowanie przy użyciu oprogramowania poprzez sieć IP. Ale CERN, szczęśliwie, nie jest bankiem ani tajnym ośrodkiem militarnym. Wyniki badań są udostępniane publicznie – jest to jedna z podstawowych zasad CERN-u. Biorąc to wszystko pod uwagę, w naszym podejściu do bezpieczeństwa komputerowego skupiamy się nie na zabranianiu i blokowaniu, tylko raczej na ułatwianiu i edukowaniu.

 

Co to za ułatwienia?

Przez „ułatwianie” rozumiem udostępnianie użytkownikom bezpiecznych serwisów komputerowych (desktop computing, rozproszone systemy plików, web hosting itp.), ale bez zmuszania do korzystania z nich. Przykładowo, jeśli użytkownik nie chce zajmować się uaktualnianiem i backupowaniem swojego komputera, to instaluje CERN-owy Windows lub Scientific Linux CERN. Ale jeśli potrzebuje innego systemu operacyjnego lub nawet Windows, ale z prawami administracyjnymi, to takie rozwiązanie też jest akceptowane – tylko że wtedy sam użytkownik jest odpowiedzialny za bezpieczeństwo swojego komputera i danych.

W CERNie duży nacisk kładziemy też na edukację, szkolenia, uświadamianie (awareness raising). Powód jest prosty i oczywisty: nawet najmocniejsze zabezpieczenie można obejść „atakując” jego użytkownika (social engineering) lub po prostu licząc na jego pomyłkę lub zaniedbanie. Naszym długofalowym celem jest wprowadzenie czegoś, co nazywam „kulturą bezpieczeństwa”. Chodzi o to, żeby każdy użytkownik systemów komputerowych – dotyczy to zarówno osób nietechnicznych, jak i bardzo technicznych – zachowywał się i działał bezpiecznie, nawet o tym nie myśląc. Tak jak przechodząc przez ulicę, odruchowo patrzymy na prawo i na lewo, tak np. zapisując gdzieś nowy dokument powinniśmy odruchowo sprawdzić czy jego prawa dostępu są odpowiednie.

 

 

CERN prowadzi otwarte laboratoria dla studentów.Źródło: cds.cern.ch

CERN prowadzi otwarte laboratoria dla studentów.
Źródło: cds.cern.ch

Dziś wiemy, że nawet silne hasła chronią coraz słabiej. Jakie sposoby uwierzytelniania stosuje się w CERN-ie – miejscu, gdzie przetwarzane i przechowywane są dane niezwykłej wagi?  

To prawda, że hasła jako jedyna metoda uwierzytelniania są słabym zabezpieczeniem. Odpowiedzią na ten problem, oprócz oczywiście edukowania użytkowników oraz dbania o bezpieczeństwo komputerów i kont użytkowników, jest używanie dodatkowych mechanizmów uwierzytelniania (multi-factor authentication), najlepiej opartych na czymś co się „ma”, a nie tylko „wie” (jak hasło). W CERN-ie używamy w tym celu kodów jednorazowych wysyłanych SMS-em na „firmowe” telefony komórkowe, smart-cardów (chipy wbudowane w kartę dostępu fizycznego do CERN-u) oraz haseł jednorazowych generowanych przy użyciu Yubikeys, a także przez Google Authenticator. Ważne jest, żeby udostępnić różne rodzaje uwierzytelniania, tak aby nie ograniczać użytkowników ograniczonym wyborem. Przykładowo, pracownik który nie ma „firmowego” telefonu komórkowego oraz nie ma przy sobie czytnika smart-cardów ani nawet portu USB do podłączenia Yubikey (bo np. łączy się z iPada), może skorzystać z Google Authenticator.

 

Czy pracownicy mogą pracować na danych pochodzących z CERN-u na swoich prywatnych komputerach i poza obrębem ośrodka? Czy polityka bezpieczeństwa wymusza szyfrowanie?

Model BYOD (bring your own device) mamy i akceptujemy w CERN-ie od zawsze. Nie mamy innego wyboru, biorąc pod uwagę ilość ludzi pracujących w CERN-ie, ich rotację, i to że większość nie jest tutaj zatrudniona lecz przyjeżdża na krótsze lub dłuższe okresy. Dodatkowo, w dzisiejszych czasach coraz trudniej oddzielić życie zawodowe od prywatnego – szczególnie w przypadku fizyków, dla których praca jest też bardzo często ich pasją i hobby.

Oczywiście, mamy specjalną politykę bezpieczeństwa danych (Data Protection Policy), która określa różne stopnie poufności danych i opisuje wymagane poziomy zabezpieczeń (w tym szyfrowanie – choć bez określania konkretnego algorytmu). Ale znowu, cel jakim jest bezpieczeństwo danych, osiągany jest nie tylko poprzez zakazy i restrykcje techniczne, ale także dzięki edukacji oraz odpowiednim procedurom bezpieczeństwa. Ogólnie rzecz biorąc, staramy się pomagać użytkownikom, choćby wspólnie szukając i wdrażając rozwiązania, które są bezpieczne i jednocześnie funkcjonalne, zamiast po prostu im coś narzucać. Wydaje mi się, że takie podejście, przynajmniej w środowisku naukowym, jest dużo bardziej efektywne, szczególnie na dłuższą metę.

 

Czy systemy informatyczne zaprojektowane są do obrony przed konkretnymi atakującymi? W CERN myśli się np. o cyberterroryźmie?

Staramy się zabezpieczać CERN-owe systemy komputerowe przed różnego rodzaju zagrożeniami. W pewnym sensie żadna różnica czy jakieś dane z wynikami eksperymentów fizycznych zostają skasowane w wyniku zbyt otwartych praw dostępu oraz błędu użytkownika, czy też w wyniku ataku – a może kombinacji obu tych czynników. Oczywiście każde z tych zagrożeń wymaga innego rodzaju mechanizmów zabezpieczania. Z drugiej strony, w obu przypadkach potrzeba np. bezpiecznych i działających kopii zapasowych oraz mechanizmu wykrywania sytuacji niepożądanych (jakiekolwiek by były ich przyczyny).

Jednym z obszarów naszych zainteresowań jest bezpieczeństwo systemów typu SCADA [system nadzorujący przebieg procesu technologicznego lub produkcyjnego – przyp. red.]. CERN współpracuje z najważniejszymi producentami urządzeń PLC [komputery o ograniczonej funkcjonalności, używane najczęściej do sterowania maszynami np. w fabryce – przyp. red.], między innymi wykrywając ewentualnie słabości tych urządzeń i domagając się ich poprawienia. Biorąc pod uwagę, że te same urządzenia są używane na całym świecie do kontroli systemów technicznych (elektrownie, wodociągi itp.) czy produkcyjnych, mam nadzieję, że przyczyniamy się do ich ulepszania, co zmniejsza ryzyko między innymi ataków cyberterrorystycznych na infrastrukturę techniczną.

 

hcpss.web.cern.ch

Prace nad elementem akceleratora cząstek.
Źródło: hcpss.web.cern.ch

 

 

Czy CERN ma za sobą atak, który można opisać krótkim studium przypadku?

W dzisiejszych czasach, każdy desktop czy serwer (szczególnie Web oraz SSH) podłączony do Internetu jest atakowany i CERN-owe komputery nie są tu wyjątkiem. Chodzi o to, żeby nie dopuszczać do ataków udanych – oraz żeby te pojedyncze udane szybko wykrywać i odpowiednio reagować.

Oczywiście atak atakowi nierówny – mniej mnie martwi zainfekowany pojedynczy komputer z Windowsem (co się czasem zdarza), niż by mnie zmartwił przypadek przejęcia kontroli nad klastrem serwerów do obliczeń fizycznych (co się nie zdarzyło i mam nadzieję nie wydarzy).

Nie licząc standardowych ataków przeciw użytkownikom komputerów biurowych, takich jak drive-by download czy phishing, najczęstsze próby ataków obserwujemy właśnie na serwery WWW (są to ataki zarówno automatyczne przy użyciu narzędzi, jak i manualne) oraz SSH (głównie ataki typu brute-force). Miewamy przypadki osób, które specjalnie szukają dziur i po znalezieniu potencjalnej, nawet niepotwierdzonej podatności (vulnerability), oferują nam płatne usługi typu penetration testing (za które grzecznie dziękujemy), chwalą się tym na własnym blogu lub wręcz kontaktują się z mediami mówiąc, że „zhakowali cały CERN”. Zdarzyło się też kilka razy, że osoby przeglądające z ciekawości strony webowe CERN-u natknęły się np. na dokumenty, które wydały im się poufne i poinformowały nas o tym (zwykle okazywało się, że dokumenty te są jawne i upublicznione).

Oczywiście lepiej atakom zapobiegać zanim się wydarzą. Dlatego bardzo dużo energii kierujemy na zabezpieczanie naszej infrastruktury na bardzo różnych poziomach (dane, software, systemy operacyjne, urządzenia sieciowe, serwery, sieć, konta użytkowników itp.).

 

CERN to kolebka WWW, ale system ten powstał z potrzeby komunikacji pomiędzy pracownikami. Pracujecie Państwo nadal nad udoskonalaniem/zwiększeniem bezpieczeństwa WorldWideWeb? 

Web żyje od lat własnym życiem, pod przewodnictwem WWW Consortium (W3C), choć oczywiście CERN jest dumny z bycia miejscem narodzin WWW. Swoją drogą, w gablocie przy naszym centrum komputerowym stoi komputer NeXT, który był pierwszym na świecie serwerem WWW; a biuro w którym pracował niegdyś Tim Berners-Lee (twórca WWW) zajmuje teraz mój kolega, Polak.

Infrastruktura Web jest w CERN-ie duża, różnorodna i szeroko używana, więc naturalnie sporo czasu spędzamy też nad jej zabezpieczaniem. Korzystamy przy tym z narzędzi własnych, jak i ogólnodostępnych, które czasem przystosowujemy do naszych potrzeb. Jeśli takie poprawki mogą się też przydać poza CERN-em, to proponujemy je oryginalnym twórcom tych narzędzi – przykładowo Yubikey, Wappalyzer czy skipfish.

 

info.cern.ch – to adres pierwszej strony internetowej (i serwera), postawionej w 1990 roku na komputerze nieistniejącego dziś NeXT (został wykupiony przez Apple). Niestety nie zachował się żaden screenshot z tamtego okresu. Najwcześniejsze kopie witryny pochodzą z wersji z roku 1992. Na stronie można było (i nadal można) przeczytać: co to jest hipertekst, jak stworzyć własną witrynę czy dowiedzieć się, jak przeszukiwać sieć.

info.cern.ch – to adres pierwszej strony internetowej (i serwera), postawionej w 1990 roku na komputerze nieistniejącego dziś NeXT (został wykupiony przez Apple). Niestety nie zachował się żaden screenshot z tamtego okresu. Najwcześniejsze kopie witryny pochodzą z wersji z roku 1992. Na stronie można było (i nadal można) przeczytać: co to jest hipertekst, jak stworzyć własną witrynę czy dowiedzieć się, jak przeszukiwać sieć.
Źródło: w3.org

 

A co sądzi Pan o Xanadu (alternatywa dla WWW)? Co nie pozwoliło się rozwinąć temu projektowi?

Za mało wiem o Xanadu, żeby móc ten projekt porównać do WWW, ale WWW jest standardem wszechobecnym i królującym. Z pewnością nieoptymalnym pod wieloma względami, choć – szczęśliwie – ewoluującym i stale rozwijanym (warto docenić tutaj rolę W3C). Prywatnie uważam, że w takiej sytuacji warto pracować nad poprawianiem lub rozszerzaniem funkcjonalności i bezpieczeństwa WWW, zamiast inwestować w projekty równoległe.

 

Co sądzi Pan o nowym algorytmie SHA?

Cieszę się, że jest alternatywa dla SHA-2, które nie jest już najmłodsze i ufam, że NIST wybierając Keccaka dokonało najlepszego wyboru. Swoja drogą, myślę, że kluczowe jest w tym wszystkim słowo „ufam” – w dzisiejszych czasach, przy takiej ilości różnych rozwiązań technicznych, tempie ich rozwoju oraz stopniu ich skomplikowania, nawet osoby techniczne nie mają możliwości (czasu ani tym bardziej wysoko specjalistycznej wiedzy), żeby samemu wszystko sprawdzić.

 

Internet Archive to dobry pomysł? Nie ma obaw, że kiedyś „pęknie w szwach”?

Może pęknie, może dobry :-)

A tak na serio: uważam, że istnienie takich serwisów jak Internet Archive (i serwisów do odnajdywania informacji o danej osobie) powinno być przypomnieniem, że wszystko co publikujemy (blogi, komentarze na forach, prywatne filmy, zdjęcia z imprez itp.) będzie gdzieś zapisane na wieki i „może być użyte przeciwko nam”. Przypomnieniem szczególnie dla tzw. digital natives, najmłodszych użytkowników Internetu.

 

Pracował Pan nad cernowskim Scientific Linux? Skąd potrzeba stworzenia takiego systemu? Jak go Pan ocenia? Czy Scientific Linux spotkał się z pozytywnym odbiorem? Pracują Państwo nad jakimiś innowacjami dla tego systemu, albo planują stworzyć inny, nowy system operacyjny?

Ja osobiście nie pracuję nad Scientific Linux CERN (SLC), ale korzystam z niego codziennie w pracy i czasem zajmuję się jego zabezpieczaniem. Celem tego systemu, opartego o Scientific Linux (tworzonego głównie przez laboratorium Fermilab, znajdujące się w USA oraz CERN na podstawie Red Hat Enterprise Linux), jest udostepnienie jednolitej i sprawdzonej platformy do obliczeń naukowych. SLC jest szeroko używany na różnorakich serwerach (jego podstawowe zastosowanie), ale też na desktopach.

Warto przy okazji wspomnieć, że szefem zespołu technicznego zajmującego się SLC jest Polak.

 

Wielki Zderzacz Hadronów - tutaj przeprowadza się badania nad "Boskimi" bozonami Higgsa. Źródło grafiki: extremetech.com

Wielki Zderzacz Hadronów – tutaj przeprowadza się badania nad „boskimi” bozonami Higgsa.
Źródło: extremetech.com

 

Może Pan zdradzić nad czym obecnie pracuje CERN? Czy zwykły użytkownik może spodziewać się jakichś rewolucyjnych zmian czy udogodnień podczas korzystania z Internetu?

Skala całego przedsięwzięcia CERN-u stawia wiele wyzwań przed inżynierami z bardzo różnych dziedzin: od kriogeniki, materiałoznawstwa, budownictwa, elektryki itp. do elektroniki i informatyki. Przykładowo, informatycy muszą dostarczyć systemy komputerowe będące w stanie przekazywać, przetwarzać i zapisywać wielkie ilości danych pochodzących z detektorów (eksperymentów) – aktualnie rzędu 5-10 GB na sekundę, co daje około 25 PB rocznie. (A my, ekipa bezpieczeństwa komputerowego, musimy te systemy zabezpieczyć).

Siłą rzeczy, inżynierowie różnej maści rozwiązują w CERN-ie ciekawe problemy i część rozwiązań prędzej czy później trafia poza CERN (zresztą, istnieje w CERN-ie specjalna grupa Knowledge and Technology Transfer, która bardzo mocno promuje wykorzystanie poza CERN-em technologii i wiedzy tu powstałej). Już teraz fizycy cząsteczkowi, ale też inni naukowcy potrzebujący dużej mocy obliczeniowej, korzystają z systemów typu Grid (rozproszone przetwarzanie i przechowywanie danych, np. EGI (z ang. European Grid Infrastructure)), pochodzących od lub powiązanych z projektami rozwijanymi w CERN-ie, jak np. LCG (z ang. LHC Computing Grid). Natomiast, jeśli chodzi o domowe wykorzystanie Internetu, nie oczekiwałbym jakichś rewolucyjnych zmian będących bezpośrednim efektem naszej pracy.

 

A jak odnajduje Pan wybór Polki, prof. Agnieszki Zalewskiej, na przewodniczącą Rady Europejskiej Organizacji Badań Jądrowych (CERN). 

Jako Polak bardzo się z tego wyboru cieszę!

dodany: 31.12.2012 | tagi: , , , ,

Czy warto używać dodatkowych zabezpieczeń dla systemów?

7
Czy warto używać dodatkowych zabezpieczeń dla systemów?

Korzystając z internetu i poruszając się po rozmaitych stronach skupiamy się na tym, żeby otrzymać to czego szukamy, znaleźć informacje, które są nam akurat potrzebne i obejrzeć różne materiały. Najczęściej znajdujemy rezultaty w dowolnej wyszukiwarce i przechodzimy do stron, które są nam wyświetlane na liście pierwszych od góry pozycji. Po pobieżnym rzucie oka na proponowany link odwiedzamy strony, które wydają się nam odpowiednie, ale już nie myślimy, czy są one bezpieczne i czy nie ma tam zagrożenia. Samo odwiedzanie witryn to tylko fragment działania, które może się skończyć kłopotami – może to być używanie klientów P2P, ściąganie nieznanych plików uruchamialnych, albo nawet wystawienie swojego komputera w świat na publicznym numerze IP bez żadnych firewalli czy filtrów. “Jest wiele możliwości, bardzo wiele” cytując jeden ze starych i bardzo znanych polskich filmów :-)

(więcej…)

dodany: 28.12.2012 | tagi: , ,

SSO – ułatwienie czy przekleństwo?

4

Współczesne systemy operacyjne umożliwiają konfigurację wielu kont – profili użytkowników. Komputer przeciętnego śmiertelnika ma jednak skonfigurowane w systemie operacyjnym tylko jedno takie konto. Często włączone jest automatyczne logowanie na to konto po uruchomieniu systemu i nie myślimy o tym, że trzeba wpisać login i hasło. Wszystko po to, żeby można było rozpocząć używanie jak najszybciej i nie musieć pamiętać zbędnych danych (w końcu skoro sami korzystamy z komputera, to po co nam logowanie? :-))

Po uruchomieniu/wznowieniu systemu uruchamiamy aplikacje, otwieramy przeróżne strony internetowe i najczęściej pozwalamy przeglądarce zapamiętać dane logowania, żeby było szybciej, prościej i wygodniej. Całe szczęście większość usług czy aplikacji umożliwia zapamiętanie loginu i hasła albo nawet ich nie wymaga (z reguły dotyczy to programów instalowanych w systemie operacyjnym komputera). Zasada ta dotyczy komputerów prywatnych. Jak to wygląda w sprzęcie wykorzystywanym w pracy? Wielu z Was, pracujących w niedużych firmach, pewnie stwierdzi – „oczywiście wygląda tak samo, z tą różnicą że używam innych programów”. A jak ta sytuacja zmienia się w dużych firmach i korporacjach? Czy nadal jest to tak bezproblemowe?

Nie ma jednej odpowiedzi – wszystko zależy od infrastruktury IT w danej firmie, od wykorzystywanych aplikacji, systemów, polityki bezpieczeństwa i innych uwarunkowań. Może być tak, że korzysta się głównie z lokalnych programów, a systemy intranetowe są rzadko wykorzystywane. Może być odwrotnie – lokalne aplikacje są w mniejszości, a użytkownicy masowo muszą korzystać ze współdzielonych systemów lub portali intranetowych wymagających złożonych mechanizmów uwierzytelnienia i autoryzacji. Pierwszy wariant rzeczywiście mało różni się od użytku prywatnego. Drugi już wymaga dużo więcej zarówno od użytkowników, jak i działu IT w firmie.

Im więcej przeróżnych aplikacji i systemów dostępnych dla użytkowników, tym więcej może być odmiennych sposobów uzyskania uprawnionego dostępu do ich zasobów. Z reguły duże firmy i korporacje nie wykorzystują jednorodnych rozwiązań, a są one tworzone i dostarczane przez wielu dostawców na bazie rożnych technologii, a także mogą spełniać zupełnie rozbieżne oczekiwania poszczególnych działów organizacji. To powoduje, że nie jest łatwe (lub jest niemożliwe) opracowanie jednakowego sposobu logowania do wszystkich dostępnych systemów. Oczywiście, im więcej różnych systemów z odmiennymi metodami logowania, dopuszczalną składnią haseł, czy też częstotliwością wymuszenia zmiany hasła na nowe (co 30 dni, co 90 dni, a nawet wcale), tym więcej danych dostępowych do zapamiętania i tym większe ryzyko nieumyślnego ich ujawnienia, utraty, zapomnienia itd. Niektórzy użytkownicy w takiej sytuacji próbują sobie radzić z mnogością parametrów zapisywaniem wszystkich loginów i haseł na przysłowiowych żółtych karteczkach i dla ułatwienia trzymają je w pobliżu komputera. Jest to niewłaściwe zachowanie, ale jest wymuszone skomplikowaniem sposobów dostępu do aplikacji.

 

SSO jako kombajn do logowania

Jak poradzić sobie z takim zagmatwaniem dostępów i wdrożyć podejście ułatwiające życie użytkownikom? Nie zawsze można (i jest to bezpieczne) zrezygnować z wprowadzania danych dostępowych, a czasem spowodowałoby to jeszcze bardziej utrudnione korzystanie z systemów i aplikacji. Pomijając inne sposoby zmniejszania rygoru bezpieczeństwa, chciałbym szerzej wspomnieć o podejściu, które rozwiązuje wiele problemów opisanych powyżej, ale wymaga kompleksowej zmiany architektury i nie zawsze jest wykonalne w 100%. Rozwiązanie to zostało nazwane SSO – Single Sign-On („pojedyncze logowanie” lub też „jednokrotna rejestracja”) – czyli metoda uzyskiwania przez użytkowników dostępu do zasobów – aplikacji, systemów, które są odrębne i najczęściej mają różne mechanizmy logowania. Jest kilka rodzajów tego podejścia, ale chciałbym się skupić na jednym z nich wykorzystującym tickety do logowania. Jeżeli jesteście zainteresowani pozostałymi, zapraszam do Wikipedii, gdzie znajdziecie start do dalszych poszukiwań.

Rozwiązanie to polega na uruchomieniu centralnej usługi uwierzytelniającej (niektórzy zwą to „autentykacją” przenosząc zwrot wprost z języka angielskiego), która zostaje zintegrowana z najlepiej wszystkimi systemami, które są wykorzystywane. Użytkownik raz podaje login oraz hasło i dostaje się do każdej aplikacji zintegrowanej z SSO. Dzięki temu nie trzeba każdorazowo podawać najczęściej różnych loginów i haseł ani też pamiętać wielu kombinacji danych. W praktyce wygląda to tak, że po wejściu do aplikacji korzystającej z SSO użytkownik zostaje przekierowany do usługi uwierzytelniającej. Tam się loguje, a następnie zostaje mu przydzielony unikatowy identyfikator sesji (ticket), który następnie jest przekazywany do aplikacji. Na tej podstawie aplikacja jest w stanie stwierdzić, że osoba uzyskująca dostęp jest tym, za kogo się podaje, a także, że jej sesja nie wygasła i może być dopuszczona do zasobów systemu.

Powyższa ścieżka dostępu z wykorzystaniem tego podejścia może się wydawać prosta, jednak aby zadziałała, musi być przeprowadzona czasem trudna (lub nawet niemożliwa z różnych względów) integracja danego systemu czy aplikacji z usługą SSO. Usługa musi być świadoma istnienia systemu, do którego ma wpuszczać użytkowników, a dana aplikacja musi wiedzieć, że każde logowanie ma być uzgadniane z SSO. Trudność tu polega na tym, że w firmach często stosuje się naprawdę różnorakie rozwiązania i konieczność spięcia każdego z nich z osobna z centralną usługą może generować wysokie koszty i musi być mocno uzasadniona ekonomicznie. Pomimo oczywistej wygody rozwiązania może się okazać, że nakłady finansowe potrzebne na kompleksowe wdrożenie takiego rozwiązania są tak wysokie, że zarząd firmy lub dyrekcja działu IT nie podejmie się zmiany architektury. Dużo łatwiejsza jest integracja nowych planowanych i powstających aplikacji, które mogą już w założeniach przewidywać konieczność spięcia z SSO.

 

Zalety i wady stosowania w firmie

Pisząc o wygodzie użytkowników nie można zapomnieć o działach IT i wsparcia (Help Desk) – te grupy pracowników także dość mocno skorzystają z takiego rozwiązania. Nakład pracy konieczny na utrzymanie mechanizmów logowania jest dużo mniejszy, drastycznie spada liczba zgłoszeń użytkowników z prośbą o reset hasła, wygenerowanie nowego, pomoc przy dostępie do aplikacji itp. Obsługa interfejsów pomiędzy aplikacjami i usługą SSO można zautomatyzować, co nie wymaga wiele pracy już w trakcie utrzymania tych rozwiązań.

Trzeba pamiętać, że istnieje także zdecydowana wada takiego rozwiązania – jeden punkt dostępu do wszystkich możliwych (zintegrowanych) systemów i aplikacji – oznacza to, że potencjalny włamywacz musi pokonać tylko to jedyne zabezpieczenie, po czym ma dostęp do innych usług. Zadaniem poważnej usługi SSO jest oczywiście zapewnienie odpowiedniego poziomu bezpieczeństwa, ale jest to już większe wyzwanie i wymaga większej dbałości i monitoringu.

Nie chciałbym w tym artykule się odnosić do konkretnego rozwiązania SSO – istnieją zarówno komercyjne, jak i darmowe. Myślę, że najlepszym źródłem, z którego możecie zaczerpnąć sporo wiedzy na temat dostępnych opcji jest załączona tabela na Wikipedii – pomimo braku szczegółowych opisów z łatwością dotrzecie do szczegółów mając ten świetny zbiorczy materiał porównawczy.

To, czy wykorzystane może być rozwiązanie SSO płatne lub darmowe, zależy nie tylko od możliwości finansowych firmy – trzeba wziąć pod uwagę możliwości integracyjne, ograniczenia i współpracę z istniejącymi systemami i usługami. Może się okazać, że produkt komercyjny, kosztujący określoną kwotę, jest finalnie tańszy, niż pozornie darmowe rozwiązanie open source. Duży wpływ ma dostępna pula gotowych konektorów do rozwiązań, dzięki czemu nie ma konieczności ich tworzenia od podstaw. Wdrożenie SSO musi być poprzedzone analizą wszystkich rozwiązań, które mają być spięte, a dodatkowo testami. W zależności od firmy może się też okazać, że są kluczowe systemy, które są tak niesamowicie drogie w integracji z centralną usługą uwierzytelniającą, że nie będzie w ogóle fizycznej możliwości wdrożenia procesu logowania opisanego wcześniej.

W takiej sytuacji pomocne mogą być rozwiązania stosowane w dużych firmach i korporacjach, działające w nieco inny sposób niż powyższy. Nie wymagają integracji z systemami zastanymi, aplikacjami czy usługami, nie jest konieczne ich modyfikowanie i ponoszenie kosztów na dostosowanie do usługi SSO. Dla użytkownika są one dużo bardziej transparentne niż usługa wykorzystująca tickety i sprawiają wrażenie po wdrożeniu, jakby się prawie nic nie zmieniło – nadal używamy formularzy danej aplikacji czy usługi, nie ma osobnego i nowego ekranu logowania. W skrócie proces logowania działa następująco: użytkownik otwiera dany system czy aplikację, widzi formularz wprowadzania danych logowania, a w tym momencie rozwiązanie przechwytuje formularz i automatycznie wprowadza dane użytkownika, do którego należy jedynie zatwierdzenie ich i wejście do aplikacji. Rozwiązania takie wymagają utworzenia odpowiednich konfiguracji szablonów i definicji dla poszczególnych rozwiązań określających obsługę pól wprowadzania danych logowania. Oprócz automatycznego wprowadzania danych możliwa jest zmiana hasła po wygaśnięciu starego i wiele innych funkcji wymaganych przez procedury bezpieczeństwa w firmie.

W tym podejściu nie jest, co prawda, konieczna implementacja integracji z poszczególnymi systemami, ale trzeba skonfigurować samo rozwiązanie, aby wiedziało jak obsługiwać rozmaite formularze logowania w każdej usłudze i sposób działania może się wielu z Was wydawać nienaturalny – w końcu przechwytywanie wprowadzania danych przez użytkowników kojarzy się z keyloggerami i może sprawiać wrażenie rozwiązania „siłowego” a nie prawdziwej integracji. Takie systemy są jednak popularne z uwagi na właśnie brak ingerencji w istniejące usługi, które czasem zwyczajnie nie mogą być zmodyfikowane z uwagi na koszty lub fakt, że są mocno przestarzałe, ale nadal ważne i w użyciu.

Nie powinno raczej być problemu, aby zastosować łączone podejście – część systemów zintegrować z użyciem centralnej usługi uwierzytelnienia, część z wykorzystaniem innych sposobów zapewnienia jednokrotnego logowania. Wszystko zależy od aktualnej sytuacji i zastanych systemów – dlatego wspominałem o koniecznej analizie i testach – w ich trakcie można zidentyfikować najbardziej optymalne podejście. Z marszu można podjąć taką decyzję tylko w prostych sytuacjach i w małych firmach, gdzie jest niewiele systemów i z reguły od razu wiadomo, z czego warto skorzystać. Zachęcam jednak do poszukiwania nowych sposobów – jak wszystko w informatyce – także ta dziedzina zmienia się i trzeba być na bieżąco.

dodany: 13.12.2012 | tagi: , , ,

Przechowywanie danych w urządzeniach mobilnych

7

Zdecydowana większość z nas (o ile nie wszyscy czytelnicy tu zamieszczanych artykułów) posiada telefon komórkowy, który nie jest już zwykle urządzeniem służącym tylko do dzwonienia i przesyłania wiadomości. Smartfony stają się coraz powszechniejsze, a wybierając nowy telefon w salonie operatora z reguły jesteśmy na nie skazani i ciężko znaleźć model bez ekranu dotykowego, wszechstronnego systemu operacyjnego i możliwości instalowania setek aplikacji. Dość mocno rośnie także liczba użytkowników tabletów, które znalazły sobie miejsce pomiędzy telefonami, a laptopami.

Używając tych małych komputerów i nosząc je na co dzień w kieszeni nie myślimy o tym, że w takim niewielkim urządzeniu mogą być przechowywane rozmaite ważne czy cenne dane lub informacje o nas samych. Szczególnie w urządzeniach wyposażonych w systemy operacyjne Android, iOS czy Windows mamy możliwość konfiguracji i zapisu danych wielu kont pocztowych, loginów, haseł, namiarów na konta bankowe, a ponadto każda z aplikacji też zapisuje swoje dane podręczne.

Dbamy o to, żeby niepowołane osoby nie miały wglądu w nasz profil w systemie operacyjnym laptopa czy komputera stacjonarnego, a czasem dodatkowo zabezpieczamy i szyfrujemy nasze dane i ukrywamy hasła do systemów i kont. Traktujemy komputer jako urządzenie, w którym są nasze ważne i cenne informacje. Niewiele jednak osób myśli o tabletach i smartfonach jako równoważnych skarbnicach danych. Zastanówcie się przez chwilę – czy oprócz numeru PIN do swojej karty SIM skonfigurowaliście jakiekolwiek dodatkowe zabezpieczenie w telefonie? Czy ustawiliście chociaż blokadę wymagającą odpowiedniego kodu po odblokowaniu wyświetlacza? Jestem prawie pewien że odpowiedź w zdecydowanej większości przypadków będzie brzmiała „NIE”.

Wyobraźcie sobie teraz sytuację, że tracicie swój telefon czy tablet – może się zdarzyć wszystko – kradzież, zalanie wodą,  zniszczenie urządzenia, zgubienie itd. O ile ostatnie sytuacje nie są zagrożeniem dla bezpieczeństwa Waszych danych, a co najwyżej istnieje ryzyko ich całkowitej utraty (na to są odpowiednie sposoby – kopie zapasowe, synchronizacja danych z komputerem czy dyskiem/kontem sieciowym), to pierwsze zdarzenie może naprawdę narobić Wam kłopotu. Jeżeli nie blokujecie dostępu do systemu operacyjnego w żaden sposób – czy to kodem czy inną metodą (tak jak gesty w Androidzie), to po przechwyceniu telefonu, niepowołana osoba ma dostęp do wszystkich Waszych informacji – kontakty, wiadomości sms, e-maile, dokumenty, zdjęcia – wszystkiego co zapisujecie w telefonie i nim przesyłacie. Jakie mogą być skutki – łatwo sobie wyobrazić.

Problem utraty danych jest o tyle ważny, że często w telefonie mamy nie tylko prywatne informacje, ale przechowujemy biznesowe dane, które mogą być niezwykle cenne i niebezpieczne dla firmy, w której pracujecie. Dotyczy to szczególnie telefonów BlackBerry, dzięki którym uzyskujecie bezpośredni dostęp do korporacyjnej poczty, książki adresowej, kalendarza itp. i jeżeli nie zablokujecie telefonu, złodziej widzi wszystkie te dane. To może narazić firmę na ogromne straty, a Was na nieprzyjemności. Nawet jeśli nie macie takiego telefonu, to firma może używać innych rozwiązań poczty elektronicznej, chociażby kont w dedykowanej domenie na Google – działa to wtedy tak samo jak dla prywatnych kont e-mail.

Oczywiście nie ma zabezpieczeń nie do złamania i wszystko można obejść, ale każde, nawet najdrobniejsze utrudnienie może zniechęcić lub wydłużyć czas do uzyskania dostępu – analogicznie jak z samochodami – im więcej drobnych, a najlepiej nietypowych blokad, tym lepiej. Szczególnie że ustawienie kodu lub gestu jest naprawdę banalne i dostępne w preferencjach chyba każdego popularnego systemu operacyjnego. Złodziej może użyć brutalnych metod, aby włamać się do systemu po bezpośrednim połączeniu z telefonem, ale to już wymaga pewnego wysiłku i może być tak, że zniechęcimy osoby niepowołane na tyle, że jedyne co zrobią to wyczyszczenie urządzenia przed sprzedażą dalej.

Co jednak, jeżeli stracicie swój telefon czy tablet, który może i był zabezpieczony różnymi mechanizmami ale mimo wszystko boicie się o jego zawartość? Wtedy z pomocą przychodzą wbudowane funkcje mobilnych systemów operacyjnych umożliwiające zdalne wykasowanie danych zapisanych w urządzeniu lub odnalezienie lokalizacji urządzenia na mapie (jeśli nie pamiętacie gdzie on jest i macie dylemat czy został w domu czy w samochodzie, z pewną dokładnością możecie się tego dowiedzieć). Wymagają one wcześniejszej konfiguracji (może jednak dzięki lekturze tego artykułu zrobicie to zanim ktoś wejdzie w posiadanie Waszego telefonu czy tabletu :-), ale po kradzieży możecie wysłać z odpowiedniej strony internetowej wysłać żądanie wyczyszczenia prywatnych danych. Ta funkcja jest zarówno w systemie Android, jak też iOS i Windows Phone. Wada tego rozwiązania to fakt, że producent systemu operacyjnego zna Waszą lokalizację – co dla niektórych może być istotną przeszkodą (ale czego się nie robi dla spokoju sumienia).

Oprócz systemowych mechanizmów na pewno warto używać dodatkowego oprogramowania zabezpieczającego dane. Może to być aplikacja do przechowywania haseł w postaci zaszyfrowanej (podobna do instalowanych na komputerach, jak we wcześniejszym moim artykule), klient e-mailowy z opcją zabezpieczenia dostępu hasłem, czy nawet specjalne programy mające za zadanie zablokowanie dostępu do poszczególnych aplikacji w telefonie. Niektóre rozwiązania od razu mają wbudowane mechanizmy – tak jak klient e-mailowy do usługi BlackBerry instalowany w Androidzie czy iOS – wymusza wprowadzanie hasła za każdym razem jak otwieracie pocztę po dłuższej chwili nieużywania aplikacji.

Sposobów na uchronienie się przed kradzieżą danych jest wiele, ale niestety każdy z nich w mniejszym lub większym stopniu utrudnia korzystanie z urządzeń, a wymuszanie wpisywania hasła przy każdym odblokowaniu wyświetlacza czy wejściu do aplikacji może doprowadzić do rozstroju nerwowego. Od Was zależy, czy świadomie zrezygnujecie z dostępnych możliwości, czy też uznacie, że nawet w przypadku utraty telefonu lub tabletu nie ma się czego bać. Warto, żebyście chociaż nad tym się zastanowili, zwłaszcza że stale wzrasta ilość prywatnych i firmowych danych przechowywanych w tego typu sprzęcie i staje się on coraz powszechniejszy.

dodany: 23.11.2012 | tagi: , ,

Udostępnianie systemów na zewnątrz firmowej sieci LAN

7

W dzisiejszych czasach nie ma praktycznie firmy czy instytucji, która nie posiadałaby swojej strony internetowej i publicznie dostępnych informacji – czy to o dostępnej ofercie, czy też poradników o procedurach stosowanych w danym urzędzie. Jest to niezbędne, a użytkownicy internetu oczekują jak największej ilości danych dostępnych w ten sposób. Dotyczy to także systemów typu self-care, czyli samodzielnej obsługi przez Klientów.

(więcej…)

dodany: 14.11.2012 | tagi: , ,

Zabezpieczanie haseł w systemach online

14

Tematyka bezpieczeństwa danych użytkowników stron internetowych jest w ostatnim czasie dosyć często poruszana, a wszelkie potknięcia administratorów czy wycieki danych są szeroko upubliczniane. Właściciele serwisów starają się monitorować wszelkie przypadki naruszenia zasad, jednak zdarzają się usługi, w których celowo wyłączono lub pominięto zabezpieczenia czy funkcjonalności blokujące potencjalnych włamywaczy. Oba podejścia mają swoje zalety i wady i nie ma złotego środka.

(więcej…)

dodany: 17.10.2012 | tagi: , ,

Oracle planuje wielką aktualizację

0

Oracle planuje ogromną aktualizację zabezpieczeń z poprawkami dotyczącymi ponad 100 luk wpływających na wszystkie produkty spółki. Patche zostaną wypuszczone we wtorek.

W sumie znaleziono dokładnie 109  błędów zabezpieczeń, które zostaną naprawione. Dwadzieścia sześć z nich są lukami Oracle Fusion Middleware. 13 z nich jest wykorzystywanych zdalnie, bez uwierzytelniania. Wśród komponentów Fusion Middelware dotknięte są Oracle Application Server Sign-On, Oracle BI Publisher oraz Oracle JRockit. Najwyższy wynik bazowy CVSS luk wpływających na Oracle Fusion Middleware wyniósł 10.0. Ocena podstawowa CVSS dla pięciu poprawek zabezpieczeń dla Oracle Database Server wyniosła również 10, co jest najwyższą możliwą oceną.

Oracle w poradniku podaje, że jedna z tych luk, może być wykorzystana bez uwierzytelniania, czyli może być wykorzystana przez sieć bez konieczności korzystania z nazwy użytkownika i hasła  i dodaje, że dwie z tych poprawek  mają zastosowanie tylko do instalacji dla klienta , czyli instalacji, które nie mają zainstalowanego serwera bazy danych Oracle.

Kolejną po Fusion Middleware Suite największą partią luk ustalonych w aktualizacji  jest zestaw Oracle Sun Products Suite, gdzie w sumie naprawionych zostało 18 błędów. Trzy z luk są zdalnie eksploatowane bez nazwy użytkownika czy hasła. Najwyższy wynik bazowy CVSS Oracle Sun Products Suite wyniósł 7,8.

Wszystkie dotknięte komponenty mają jeden lub więcej usterek, które mogą być wykorzystywane zdalnie bez uwierzytelniania 

– napisał na blogu Amol Sarwate, dyrektor laborartokiów błędów dla Qualys.

Ogólnie rzecz biorąc, jest to duża publikacja, która będzie zajmować administratorów systemów na wszystkich frontach

– dodał Sarwate.

Pozostałe produkty, których dotyczy publikacja: dziewięć poprawek zabezpieczeń dla Oracle E-Business Suite, dziewięć dla Oracle Supply Chain Products Suite, kolejne dziewięć dla produktów Oracle PeopleSoft, 14 dla Oracle MySQL, dwie dla Oracle Siebel CRM, dwie dla Oracle Industry Applications, 13 dla Oracle Financial Services Industry Software i dwie dla Oracle Virtualization Software.

Ze względu na zagrożenie stwarzane przez udany atak, Oracle „zaleca” klientom zastosowanie aktualizacji krytycznych poprawek jak najszybciej.