Bezpečnostné štandardy

V pos­led­nom ča­se sa čas­to stre­tá­va­me s rôz­ny­mi prie­nik­mi do in­for­mač­ných sys­té­mov. Tie­to prie­ni­ky pou­ka­zu­jú pre­dov­šet­kým na pod­ce­ne­né za­bez­pe­če­nie mno­hých slo­ven­ských webov. To­to sa tý­ka nás všet­kých a je dob­ré, že v pos­led­nom ča­se je drob­ný tlak na zlep­še­nie za­bez­pe­če­nia. S pos­tup­nou auto­ma­ti­zá­ciou bez­peč­nos­tných úto­kov sa dos­tá­va­me do sta­vu, keď väč­ši­nu fa­tál­nych chýb, ako nap­rík­lad SQL In­jec­tions, do­ká­že­me hľa­dať auto­ma­ti­zo­va­ne.

To má dva efek­ty:
• Ce­na za ich náj­de­nie sa ra­di­kál­ne zni­žu­je. Exis­tu­jú auto­ma­ti­zo­va­né nás­tro­je, kto­ré do­ká­žu náj­sť množ­stvo chýb úpl­ne auto­ma­tic­ky, a te­da za níz­ku ce­nu. Bez­peč­nosť nie je čier­no­bie­la. Aj v prí­pa­de, že úpl­ný bez­peč­nost­ný audit ap­li­ká­cie nie je mož­ný (pre­to­že sa jed­no­du­cho ne­voj­de do bu­si­ness ca­se ma­lej webo­vej služ­by, kto­rej rek­la­ma pok­ry­je led­va nák­la­dy na vý­voj a rek­la­mu, aj to s náv­rat­nos­ťou nie­koľ­ko ro­kov), pou­ží­va­nie auto­ma­ti­zo­va­ných nás­tro­jov v rám­ci vý­vo­jo­vé­ho cyk­lu zní­ži ri­zi­ko tým, že sa ne­bu­dú vy­sky­to­vať na webe naj­ba­nál­nej­šie a naj­ľah­šie ob­ja­vi­teľ­né chy­by.

• Zní­že­nie ce­ny a ná­roč­nos­ti hľa­da­nia chýb pri­ná­ša auto­ma­ti­zá­ciu. Tre­ba sa prip­ra­viť na to, že chy­by, kto­ré sa da­jú náj­sť auto­ma­ti­zo­va­ný­mi nás­troj­mi, bu­dú hľa­dať ti­sí­ce po­čí­ta­čov, kto­ré sa sta­li obe­ťa­mi škod­li­vé­ho kó­du a sta­li sa sú­čas­ťou bot­ne­tu. Ak exis­tu­je auto­ma­tic­ký spô­sob, kto­rý hru­bou si­lou hľa­dá zra­ni­teľ­nos­ti a na ich zá­kla­de do­ká­že nap­rík­lad zís­kať ce­lú da­ta­bá­zu, má­lok­to si uve­do­mu­je, že je to len krok od to­ho, aby nie­ko­ho na­pad­lo tú­to da­ta­bá­zu spe­ňa­žiť. Ne­bu­de to už in­fan­til­ný ha­cker, kto­rý sa svo­jou lá­ma­nou an­glič­ti­nou sna­ží za­kryť fakt, že je zo Slo­ven­ska, ne­bu­de to niek­to, ko­ho mô­že­te sto­po­vať na zá­kla­de IP adries, pre­to­že nez­vlá­dol mas­ko­va­nie. Bu­dú to ti­síc­ky nain­fi­ko­va­ných po­čí­ta­čov po ce­lom sve­te, kto­ré po vy­dum­po­va­ní da­ta­bá­zy ju auto­ma­tic­ky so sta­no­ve­nou ce­nou (nap­rík­lad pod­ľa ran­kin­gu náv­štev­nos­ti) vy­sta­via na jed­no z mno­hých miest na inter­ne­te, kde sa pre­vádz­ku­je čier­ny ob­chod s in­for­má­cia­mi. Rov­na­ko, ako si mô­že­te te­raz kú­piť stov­ky fun­gu­jú­cich čí­sel kre­dit­ných ka­riet, kto­ré bo­li po­mo­cou škod­li­vé­ho kó­du nič ne­tu­šia­cim pou­ží­va­te­ľom uk­rad­nu­té, mô­že­te si kú­piť aj ba­líč­ky s da­ta­bá­zo­vý­mi dum­pa­mi tak­to auto­ma­tic­ky zís­ka­ný­mi. Ne­bu­de­te bo­jo­vať s ne­ja­kým slo­ven­ským hac­ke­rom, kto­ré­ho mô­že­te od­sú­diť. Ako len náj­de­te, nie­to eš­te ob­ža­lu­je­te a od­sú­di­te ban­du čín­skych a ru­ských hac­ke­rov?

Je tu však aj dru­hý prob­lém, a to mo­rál­ny. Nie som člo­vek, kto­rý rád pí­še o mo­rál­ke, ale tre­ba si uve­do­miť, že spô­sob „náj­dem chy­bu, vy­ca­pím ju na web, keď si niek­to ot­vo­rí ús­ta, tak tam dám aj dum­py da­ta­báz a vy­crac­ko­va­né hes­lá“ by mal byť spo­loč­nos­ťou rov­na­ko od­mie­ta­ný ako pod­vod ale­bo krá­dež. Svo­jím spô­so­bom to pod­vod aj krá­dež je. Má­lok­to roz­mýš­ľa o krá­de­ži čís­la kre­dit­nej kar­ty ako o hr­din­skom či­ne, kto­rý zvy­šu­je vzde­la­nie v ob­las­ti bez­peč­nos­ti me­dzi pos­po­li­tým ľu­dom.

Prá­ve tak je dob­ré jas­ne po­ve­dať, že exis­tu­jú mo­rál­ne spô­so­by, v za­hra­ni­čí jas­ne de­fi­no­va­né a pou­ží­va­né, ako sa zve­rej­ňu­jú bez­peč­nos­tné zra­ni­teľ­nos­ti. Oso­by ako Ras­tis­lav Tu­rek (Syn­op­si), kto­rí bez všet­ké­ho na svoj Twit­ter vy­ca­pia dump da­ta­bá­zy jed­né­ho nav­šte­vo­va­né­ho slo­ven­ské­ho webu, pre­dov­šet­kým pre­to, aby vy­stra­še­ním ľu­dí zvý­ši­li ob­rat svo­jich bez­peč­nos­tných slu­žieb, by ne­ma­li byť spo­loč­nos­ťou os­la­vo­va­ní ako hr­di­no­via. Zvlášť pre­to, že exis­tu­jú iné fir­my (ak nech­cem ho­vo­riť iba o nás, tak nap­rík­lad v nie­čom aj na­ša kon­ku­ren­cia: Net­hem­ba ale­bo Gor­dias), kto­ré by si ta­ké­to nie­čo nik­dy ne­do­vo­li­li.

Má­lok­to však vie, že exis­tu­je spo­lo­čen­sky ak­cep­to­va­ný (za­se naj­mä v za­hra­ni­čí) a etic­ký spô­sob, ako upo­zor­ňo­vať na chy­by. V pr­vom ra­de väč­ši­na webov v za­hra­ni­čí má nie­čo ako po­li­ti­ku na nah­la­so­va­nie bez­peč­nos­tných zra­ni­teľ­nos­tí. Ta­ká­to po­li­ti­ka by ma­la prí­pad­ných ná­lez­cov bez­peč­nos­tných chýb in­for­mo­vať o tom, ako tie­to chy­by zve­rej­niť tak, aby bo­li všet­ky stra­ny spo­koj­né.

Väč­ši­na ta­kých­to po­li­tík ho­vo­rí, že v prí­pa­de, že náj­de­te bez­peč­nos­tnú chy­bu, tre­ba ju nah­lá­siť pre­vádz­ko­va­te­ľo­vi strán­ky a dať mu čas op­ra­viť ju. Po jej op­ra­ve­ní mô­že ná­lez­ca chy­by tú­to chy­bu zve­rej­niť – to pre­to, aby sa IT ko­mu­ni­ta pou­či­la, on zís­kal svo­ju chvíľ­ku slá­vy a ta­kis­to pre­to, aby vzni­ka­la mo­ti­vá­cia pre pre­vádz­ko­va­te­ľov, aby chy­bám pred­chá­dza­li – aj ta­ká­to pub­li­ci­ta je ne­ga­tív­na. Ta­ká­to po­li­ti­ka však mys­lí naj­mä na pou­ží­va­te­ľov – ne­do­chá­dza k úni­ku osob­ných úda­jov (po náj­de­ní chy­by si, sa­moz­rej­me, ná­lez­ca ne­mô­že sko­pí­ro­vať da­ta­bá­zu), pou­ží­va­te­lia sú cez mé­diá in­for­mo­va­ní, kto­ré weby ob­sa­ho­va­li bez­peč­nos­tné sla­bi­ny. Niek­to­ré veľ­ké weby (nap­rík­lad Goog­le) zve­rej­ňu­jú aj po­ďa­ko­va­nie všet­kým, čo bez­peč­nos­tnú zra­ni­teľ­nosť naš­li.

Ta­ký­to spô­sob fun­gu­je aj u nás, osob­ne som ho spra­vil nie­koľ­kok­rát, rov­na­ko ako ko­le­go­via z iných fi­riem, kto­ré sa ve­nu­jú IT bez­peč­nos­ti. O tom­to prís­tu­pe však ne­vie šir­šia spo­loč­nosť, a pre­to ľu­dia, kto­rí ne­reš­pek­tu­jú zá­klad­né best prac­ti­ces v da­nej ob­las­ti, sú mé­dia­mi vy­zdvi­ho­va­ní ako hr­di­no­via. O tých, kto­rí to ro­bia tak, ako sa to má, sa pí­še v od­bor­nej­ších ča­so­pi­soch a v ko­mu­ni­te.