Nemojte se uplašiti naslova članka! Namjena je samo upozoriti na povećan broj sigurnosnih incidenata ove godine (ili se bar više o njima piše nego prije) u odnosu na prijašnje, što nije samo praksa kod nas nego i u cijelom svijetu.

Svijet je bio obilježen prvenstveno slučajevima gubitka ili krađe podataka velikih razmjera (10 najvećih incidenata pogledajte ovdje) koji kod nas nisu bili zabilježeni (ključna riječ!), ali ćemo 2007. u Hrvatskoj pamtiti po prijevarama na bankomatima koje je osjetio nemali broj građana, ali i naših velikih banaka.

Zato je i Odluka HNB-a o primjerenom upravljanju informacijskim sustavom (NN br. 80/07) došla u pravi čas kako bi se poslovodstvo banaka trgnulo iz sna o sigurnosti njihovog poslovanja. Osim "Odluke" donesen je i Zakon o informacijskoj sigurnosti (NN br. 79/07), početni korak ka boljoj implementaciji (s obzirom na mnoštvo podzakonskih akata koji će rastegnuti cijelu priču) informacijske sigurnosti u tijelima državne uprave.

U svakom slučaju, mi Vam želimo što manje problema vezanih uz informacijsku sigurnost u 2008. godini (op.a. iskreno!), a ukoliko želite preventivno djelovati, čitajte vjesnik i obratite nam se!

Osobni i poslovni uspjeh u 2008. želi Vam ZIK!

Prema SANS-ovom godišnjem izvještaju o sigurnosti danas su najveće prijetnje za korisnike web aplikacije i sigurnosni propusti u uredskom paketu Microsoft Office. Sigurnosni stručnjaci iz SANS-a tvrde da mnogi programeri ne koriste tehnike za sigurno kodiranje aplikacija za web, čime napadačima omogućuju upad u baze podataka s povjerljivim informacijama korisnika. Izvještaj je ujedinio informacije o sigurnosnim prijetnjama iz vladinih organizacija, sigurnosnih tvrtki i akademskih ustanova. Izvještaj također naglašava da je broj ranjivosti u uredskom paketu Microsoft Office porastao 3 puta u odnosu na 2006. godinu, većinom zbog novih propusta u Excelu. Napadači maliciozne dokumente stavljaju u privitak e-mail porukama i tehnikama socijalnog inženjeringa pokušavaju nagovoriti korisnike da ih otvore nakon čega mogu kompromitirati njihove sustave. Zabilježen je i porast web sjedišta sa spyware softverom za 187% u odnosu na prethodnu godinu.

Više informacija možete pronaći ovdje: PC World

Izvor: CERT

Porastom broja prijenosnih računala u organizacijama rastu i opasnosti povezane s istim. One se kreću od veće mogućnosti krađe opreme (dok su korisnici na putu, u hotelskim sobama ili prezentacijskim dvoranama, kod kuće, ...) do opasnosti po sigurnost informacija koje uglavnom nastaju zbog nemara, nepažnje ili čak i namjernog djelovanja samih korisnika pri radu sa osjetljivim podacima.

To je dovelo do povećane potrebe za kriptiranjem podataka na diskovima prijenosnih računala i ostale mobilne opreme (pda, usb, ...).

Kad se govori o kriptiranju podataka na diskovima, uglavnom se barata sa dvije kategorije kriptiranja:

• kriptiranje na nivou datoteka - koriste se posebni programi za kriptiranje datoteka i mapa na disku, uglavnom su jednostavni za konfiguraciju i održavanje, a degradacija performansi je zanemariva. Kriptiraju se samo osjetljivi podaci te je moguće koristiti više lozinki za različite datoteke ili mape. Korisnici mogu takve podatke prebaciti na drugo računalo te ih tamo sa istim programom dekriptirati. Najveći nedostatak ovakvog načina kriptiranja su privremene datoteke koje se u formi otvorenog teksta nalaze po privremenim mapama operativnog sustava ili onih koje kreira sam program (temp, recent, recycle-bin), u programskom kešu ili na izmjenjivim medijima (arhiva). Također valja uzeti u obzir i to da se prilikom brisanja datoteke ažuriraju samo metapodaci, dok se pravi podaci sa diska ne brišu.
• kriptiranje na nivou upravljačkog programa - cijeli disk (ili odabrane mape) se kriptiraju, a zatim poseban upravljački program upravlja rutinama za kriptiranje i omogućuje virtualizaciju na način kao da radite sa nekriptiranim podacima. Glavna prednost ovakvog načina je kriptiranje i privremenih datoteka, a sam rad se odvija nesmetano za korisnika, kojem se čini kao da radi sa običnim sustavom datoteka. Nedostatak se očituje u nešto smanjenim performansama te u mogućoj koliziji upravljačkog programa za kriptiranje s ostalim programima operativnog sustava.

Bilo što odabrali, preporuča se voditi slijedećim načelima:

• Korištenje kriptiranog sustava ne smije ugroziti funkcionalnost ostalih dijelova sustava.
• Performanse čitanja i pisanja kriptiranih podataka ne smiju pasti na razinu ispod normalnog rada korisnika na računalu.
• Pristup podacim treba biti transparentan. Kriptirane datoteke se ne bi smjele razlikovati od onih koje nisu kriptirane.
• Ukoliko se podaci kriptiraju ključevima, upravljanje ključevima mora biti što jednostavnije. Uglavnom se ključ unosi jednom te se koristi za sva čitanja i pisanja tijekom jedne sesije.
• Osim samih podataka, potrebno je voditi računa i o kriptiranju metapodataka.

Od alata koji se nude na području kriptiranja podataka na diskovima valja izdvojiti PGP, AxCrypt, GnuPG za kriptiranje na nivou datoteka te PGP, TrueCrypt, CFS, EncFS za kriptiranje na nivou upravljačkog programa. Mora se reći da pored ovih alata postoji i mnoštvo drugih s istom namjenom te Vam u svakom slučaju preporučamo pretraživanje web-a u potrazi za što boljim alatom za zadovoljenje potreba kriptiranja podataka. Sistem rada za prvu vrstu alata najčešće se svodi na to da kliknete na datoteku ili mapu desnom tipkom miša te odaberete "encrypt" (većina alata integrira dodatne stavke menija u konteksni meni).

Druga vrsta alata radi na nešto drugačijem principu, ali se u praksi sve svodi na kreiranje volumena u datoteci koji će biti zaštićen lozinkom ili ključem (uglavnom neka datoteka). Nakon toga volumenu pristupate kao lokalnom disku.

Više podataka na Internetu možete naći i preko linkova koji su dostupni u rbrici s lijeve strane.

Budući je stanje sigurnosti informacija u prošloj godini tema ovog broja vjesnika, navodimo još jedno zanimljivo istraživanje. Posvećujete li dovoljno pažnje kontroli spyware-a?

Prema istraživanju Computer Technology Industry Association spyware je bila najveća sigurnosna prijetnja u 2007. godini. CompTIA je anketirala preko 1000 informatičkih stručnjaka od kojih je 55% izjavilo da im je najveće probleme stvarao spyware. Također su naveli da je porastao broj zaraza spywareom u posljednjih 12 mjeseci. Predsjednik CompTIA-e John Venator je izjavio da prije nekoliko godina spyware gotovo nitko nije ni spominjao kao sigurnosnu prijetnju. Osim spywarea, ispitanici su kao ostale probleme naveli manjak svijesti korisnika o računalnoj sigurnosti, viruse i crve te prekoračenja ovlasti legitimnih korisnika sustava. 41% anketiranih izjavilo je da veliki problem predstavljaju napadi preko web preglednika. Istraživanje je pokazalo da organizacije nisu zabrinute zbog prijetnji phishinga i socijalnog inženjeringa. Polovica ispitanika tvrdi da njihove organizacije namjeravaju povećati budžet za sigurnosnu tehnologiju i edukaciju administratora i korisnika.

Izvor: CERT, 30.11.2007.

Mala pomoć za veliki sigurnosni problem vezan uz prijenosne medije stiže u obliku USB-a sa čitačem otiska prsta.

Tajvanski proizvođač A-Data ponudio je USB flash drive oznake MyFlash FP1. Radi se o USB memoriji koja ima ugrađen čitač otiska prsta tako da nije potrebno pamtiti lozinku. Pri prvom korištenju dovoljno je unijeti svoj otisak prsta kojeg uređaj pamti tako da se podacima kasnije pristupa povlačenjem prsta preko čitača otiska.

Uređaj je dimenzija 66 x 24 x 9 mm, a dostupan je u kapacitetima od 512 MB, 1 GB i 2 GB po cijenama od, redom, 25, 30 i 40 dolara na američkom tržištu.

Izvor: BUG On Line, 05.11.2007.