Minili so časi "hipijevskih" omrežij
K pisanju teh vrstic me je vzpodbudila kratka, vendar živahna izmenjava mnenj z odgovornim urednikom o omrežni varnosti in njeni smiselnosti. Moram reči, da povsem razumem oba pola, ki se v takih debatah ustvarita; tistega, ki trdi, da je povsem dovolj ohlapna varnost, ki naj zadrži najbolj očitna varnostna tveganja, kot tudi tistega, ki trdi, da varnostnih ukrepov ni nikoli preveč, saj je v programsko opremi vedno precej napak in vedno več ljudi, ki jih načrtno iščejo, da bi povzročali škodo oziroma pridobili finančne koristi.
Kot si ljudje nismo nikoli prav zares zelo podobni, tako si tudi poslovna okolja niso in zaradi tega je pristop k vprašanju rigoroznosti varnostnih ukrepov znotraj omrežja večno iskanje kompromisa med varnostjo omrežja in uporabnostjo storitev. Smo pripravljeni živeti s tveganjem npr. delujočega MSN messengerja ali Skypa v poslovnem omrežju ali ne?
Pa ne nazadnje tu ne gre le za poslovna omrežja. Domači računalnik je navadno še bolj ogrožen, saj smo doma radi svobodni in lahko se zgodi, da nas ta svoboda drago stane, ko je naš računalnik uporabljen kot zombi v napadu na kak strežnik ali ko ga uporabljajo za razširjanje nezaželene pošte.
Do velikega preboja interneta v vsako pisarno in dom pa je prišlo leta 1993, ko se je švicarski raziskovalni center CERN odločil, da za WWW, razvit v njegovih nedrjih, ne bo zahteval plačila in bo prosto dostopen vsem zainteresiranim. Ta odločitev je sprožila revolucijo, ki ji še danes ne vidimo konca. Dostop do interneta imajo tako praktično vsi in večina v strnjenih naseljih živečih si lahko za ne prav velike vsote privošči tudi širokopasovno povezavo. Široka pipa, povezana v svetovne informacijske vode, združena z neukimi uporabniki, malomarnimi sistemskimi inženirji in upravitelji, navidezno varnostjo domačih štirih sten ter obilico hekerjev, krekerjev, skriptnih otročajev in podobnih deviantnežev - to je kruta realnost. Morda je še bolj kruta zato, ker se precejšen delež udeležencev tega teksasa ne zaveda, da z nepremišljenimi potezami ogroža svojo varnost, imetje, ugled ...
Če rečemo, da so internet pred letom 1990 večinoma uporabljale le izobraževalne ustanove, potem si lahko seveda mislimo, da je bila tudi skrb za varnost postranska stvar, saj zunanji svet ni imel možnosti dostopa do teh omrežij. Protokol FTP, ki se danes še precej uporablja, je bil razvit v pionirskih časih interneta in še vedno prenaša podatke o uporabniku in njegovem geslu v običajni besedilni, nekriptirani obliki, ki jo je trivialno prestreči. Za današnje čase precej nedoumljivo.
Uporaba kakega boljšega osebnega požarnega zidu lahko razkrije, da je naš javni naslov IP (ki mu, mimogrede, v EU skušajo nadeti obleko osebnega podatka) več kot enkrat na uro "bombardiran" z raznimi poskusi vdorov. Zaznamo lahko čisto običajno skeniranje IP vrat, ob katerem išče vlomilec odprta vrata v naš sistem, pa tudi poskuse izvršbe kode prek katere izmed množice nepokrpanih varnostnih razpok v računalnikih. Lahko si mislim, da povprečen uporabnik ne bo vedel, kaj storiti, da bi se izognil najbolj očitnim nevarnostim.
Kako malo so se v bližnji preteklosti problema urejene varnosti v omrežju zavedali tisti, ki bi lahko kaj naredili, vidimo na primeru SIOLa. Še pred letom in pol je bilo njihovo javno omrežje tako konfigurirano, da se je z orodjem, kot je npr. GFI LANguard Network Security Scanner, ki ga je moč "obrniti" tudi navzven v internet, lahko "poskeniralo" celoten SIOLov IP naslovni prostor. Program je nato izdelal lepo urejen seznam "odprtih" računalnikov, ki so v internet priključeni brez usmerjevalnikov ADSL in so bili zato povsem nezaščiteni, po možnosti še z deljenim (share) diskom. Po imenih računalnikov sodeč, se je na njem znašlo tudi kar precej podjetij in samostojnih podjetnikov. Kako je danes s to rečjo, v SIOLu nisem preverjal, lahko pa, da se stanje ni bistveno spremenilo, saj imajo veliki ponudniki (tudi po svetu) toliko drugega dela, da se s tako postranskimi stvarmi, kot je varnost, ne ukvarjajo ali pa to povsem prevalijo na pleča uporabnika.
Je potem še čudno, da se dogajajo osebne tragedije, ko se iz takega računalnika preneseni osebni podatki znajdejo v javnosti? Je krivda le na strani SIOLa ali pa to kaže, da je precejšen delež uporabnikov interneta še nedorasel novim tehnologijam? Izkušnje me učijo, da slednje. Na drugi strani pa imamo tudi vedno več strokovnjakov s področja računalništva, ki imajo radi, da jih ponudniki čim manj omejujejo v povezljivosti s svetom.
In kje smo v vsej tej zgodbi "profiji" - informatiki? Smo nekakšen "center za preventivo v omrežnem prometu", ki skušamo vsak po svoje igrati policaje, saj le tako lahko zagotovimo razmeroma normalno delovanje omrežja. In po pravici povedano, mi taka vloga že malce preseda. Ko gre kaj narobe, smo seveda krivi zaposleni v IT oddelkih.
Za napake uporabnika, ki se ne obnaša samovarovalno, res ne more odgovarjati IT v podjetju. Če uporabim analogijo: mar lahko okrivim farmacevta, ki mi je prodal kondom, pa sem se kljub temu okužil z virusom HIV? Imel sem ga pri sebi, a je ostal v hlačnem žepu in ne na mestu, na katero sodi.
Tako se lahko IT oddelek še tako trudi zagotavljati tehnične ovire, vedno se najde zaposleni, ki bo ogrozil celotno firmo. Zaradi radovednosti, nevednosti ali preprosto zato, ker lahko.
Primeri dobrih praks in predavatelji informacijske varnosti nam ubijajo v glavo, da je omrežje le toliko varno, kot je varen njegov najšibkejši člen. In če je ta najšibkejši člen neuk ali preradoveden uporabnik, ki ima za povrh še krajevne upraviteljske pravice, če lahko prosto brska po vseh kotičkih interneta in ne uporablja proxy strežnika, če lahko njegov Outlook Express nekontrolirano pošilja pošto, ker sta "porta" 25 in 110 odprta navzven, namesto da bi ju lahko uporabljal le poštni strežnik, če je po omrežju dovoljen promet P2P, potem imamo velik varnostni problem. Naredili smo si nekakšno hipijevsko omrežje, v katerem so načeloma vsi zadovoljni in je vse polno rožic in cveti svobodna ljubezen. Streznitev pa lahko pride kmalu, ko naši osebni ali poslovni podatki zakrožijo po drugih omrežjih ali ko nam na vrata potrka policija s predstavnikom BSA ali z nalogom za zaplembo strežnikov zaradi suma razširjanja otroške pornografije. Saj ne, da smo res kaj razpečevali, samo drugi so si naše po hipijevsko razumljene komunikacije lahko nemoteno sposojali. Fino, ali ne?