Călcâiul lui Ahile Securitatea în Contextul Serviciilor Web și IoT

Călcâiul lui Ahile Securitatea în Contextul Serviciilor Web și IoT

420

Mecanismul prin care omul înţelege lucrurile noi, cu multe necunoscute, se bazează pe presupuneri derivate din experienţe anterioare ce implică lucruri sau fenomene asemănătoare, cu completări și substituiri ce în final au menirea de a forma o imagine nu neapărat perfectă dar satisfăcător de completă. Când un astfel the proces nu rezultă într-o eroare ce ar declanșa un mecanism de corectare, aceste presupuneri devin convingeri și ulterior vor fi privite ca adevăruri incontestabile. Deși natural, acest fenomen este unul relativ periculos, deoarece atunci când presupunerile noastre ajung a fi greșite, putem cădea în capcana de a lua decizii greșite nu pentru că logica ne înșeală ci deoarece ea se bazează pe elemente fundamentale false.

iot

Când vine vorba de internet și securitate cibernetică aceste concepte sunt atât de complexe, cu așa de multe ramificaţii, încât deseori și specialiștii sunt nevoiţi să opereze cu presupusul. Marketingul modern este în special dăunător, deoarece se folosește de această junglă de informaţii pentru a crea un cadru propice în care mărfurile și serviciile sunt ușor de plasat. Un cadru plin de emoţii, teamă, informaţii parţiale, în care limitările tehnologiei sunt ascunse și elementele forte aduse în prim plan. Este important însă ca din când în când să ne oprim și să analizăm condiţiile în care operăm pentru că fiecare sistem este diferit, și numai dacă înţelegem toate laturile acestora putem cu adevărat aplica mecanisme eficiente pentru apărarea lor, și în final, a propriei noastre persoane.

Securitatea, în general

Înainte însă să intrăm în detaliile securităţii sistemului informatic modern, și când spun modern mă refer nu la ultimii zeci de ani ci la ultimii câţiva ani, de când lumea informaţiei a luat o cale extrem de distribuită, să încercăm să analizăm conceptul de securitate, în sensul acestuia cel mai personal, și  anume referitor la propria persoană sau grup de persoane, fie ea o familie sau o companie.

De exemplu, insulina este un supliment esenţial unei persoane suferinde de diabet, lipsa ei putând avea consecinţe grave asupra sănătăţii persoanei în cauză, deci dacă privim „siguranţa insulinei”, din acest punct de vedere, este important ca ea să nu se piardă, să nu fie furată, să nu se deterioreze, adică să fie la dispoziţia persoanei atunci când este nevoie de ea. Dacă însă analizăm o pompă de insulină, lucrurile se complică. Aceasta este un dispozitiv ce analizează în mod dinamic nivelul de glicemie și injectează doza necesară în mod automat. Dacă analizăm „siguranţa pompei” din punct de vedere al persoanei, observăm că nu mai este de ajuns să ne asigurăm că acesta este la dispoziţia persoanei la nevoie, dar trebuie de asemenea să ne asigurăm că nimeni nu are acces la elementul de configurare al dispozitivului, deoarece poate provoca rău persoanei prin relaţia sa intimă cu corpul acestuia.

internet

Trebuie să gândim în mod similar și atunci când este vorba de un grup, doar că și în acest caz, vom avea elemente adiţionale. Astfel, în cazul unui grup, fie o familie sau o firmă, nu este suficient dacă este asigurată siguranţa fiecărui individ membru al grupului, trebuie de asemenea să ne asigurăm că grupul, ca și unitate, este în siguranţă. De exemplu în cazul unei firme, angajaţii pot fi în siguranţă din punct de vedere al persoanei, însă firma poate da faliment din cauza unui eveniment care afectează funcţionarea acesteia, nu neapărat sănătatea angajaţilor.

Mecanisme de apărare în formă consolidată și distribuită

Cel mai simplu și mai bine înţeles model de securitate este cea consolidată, adică acela în jurul căruia putem plasa un perimetru de securitate. În viaţa reală, acesta este cel mai popular mecanism de securitate, începând din antichitate, cetăţi medievale, clădiri de maximă siguranţă, casele  noastre, nenumărate exemple construite pe acest model ceea ce nu este întâmplător, ci datorită faptului că este cel mai ușor de apărat. Este suficient să avem un perimetru relativ impenetrabil, și un număr limitat de accese, și indiferent cât de vulnerabile sunt elementele din interior, siguranţa acestora este asigurată de perimetru. Mecanismele de apărare sunt de asemena bine înţelese și la  îndemâna oricui. Pereţii de beton asigură un grad ridicat de impenetrabilitate, avem posibilitatea să punem la uși paznici, o secretară este un filtru biometric excepţional, ce poate identifica străinii sau pe cei care fac ceva suspect în incinta clădirii, un câine este de asemena un excelent filtru biometric și nu este deloc complicat să obţinem unul pentru a îmbunătăţi siguranţa locuinţei sau a curţii.

Aceeași situaţie este valabilă și în cazul securităţii cibernetice în regim consolidat, unde avem o multitudine de mecanisme, relativ sigure, pentru a implementa securitatea pe acest model care a funcţionat multă vreme, practic de la începuturile reţelelor. Problema este că acest model nu mai poate fi aplicat structurilor informaţionale moderne, deoarece lucrurile s-au schimbat radical și perioada când bunurile informaţionale ale unei organizaţii  puteau fi plasate în astfel de incinte a apus. Nu mai avem programul contabil, baza de date, ERP-ul, etc. în reţeaua locală, le avem la furnizorul de servicii online, adică ele urmează un model de securitate distribuit în jurul căruia nu mai poate fi trasat un perimetru și deci avem nevoie de alte mecanisme de apărare.

Această formă de securitate distribuită este fundamental diferită de cea consolidată și din păcate deseori greșit înţeleasă chiar și de cei ce profesează în domeniu. În principal modul de gândire în cazul acestor mecanisme se reduce la modelul consolidat și deseori este privit simplistic: nu este un cadru consolidat, sunt mai multe cadre consolidate, apărate fiecare de perimetre separate, și de aici pornesc o serie de neînţelegeri din care se nasc nenumărate vulnerabilităţi pe plan informaţional.

Un exemplu similar din lumea fizică, pe care îl putem înţelegem ușor, este sistemul bancar. Este un sistem care se practică de multă vreme și în care bunurile nu sunt ţinute exclusiv în perimetrul casei, ci o parte rămâne în casă, banii se duc în cont, iar unele bunuri de valoare sunt în caseta de bunuri în seiful băncii. Reacţia naturală a oricui va fi probabil că de fapt acest model este chiar mai sigur decât cel clasic, cu toate bunurile în perimetrul casei, deoarece perimetrul de securitate al băncii este mai bun decât cel al casei. Este normal să privim lucrurile astfel, iar marketingul in domeniul cibernetic se și folosește de această slăbiciune a noastră de a vedea jumătatea plină a paharului și de a pierde detalii „puţin aparente” dar care în anumite situaţii pot deveni călcâiul lui Ahile al întregului sistem.

Revenind la exemplul cu banca, este într-adevăr incontestabil că o bancă are un perimetru de securitate mai bun decât orice casă, și atât timp cât bunul se află în caseta de depozit, sentimentul de siguranţă este justificat. Dar dacă bunul respectiv este un obiect de care avem nevoie zilnic și dimineaţa trebuie transportat la sediul firmei și seara înapoi în bancă perioada de tranziţie în care bunul nu se află nici în perimetrul de siguranţă al băncii și nici în perimetrul de siguranţă al firmei devine semnificativă, și erodează aura de siguranţă a sistemului complex: bancă + firmă. Dacă bancherii se plictisesc să ne ducă de două ori pe zi în seif și decid să  scoată ușa casetei de valori pe geam ca noi să avem acces la conţinutul ei oricând dorim, toată această aură dispare complet. În acest scenariu, caseta nu mai beneficiază de perimetrul de securitate al băncii absolut deloc. Indiferent că dosul casetei se află în bancă, ușa ei este în afara băncii și tot ceea ce separă bunul din casetă de un răufăcător este ușa casetei în sine. Deci sistemului cu două perimetre de securitate i-au fost introduse o serie de elemente de vulnerabilitate: perioada de tranziţie, încuietoarea casetei, tăria casetei, pers oanacare deţine cheia, elementele de siguranţă ale cheii, elementele de securitate în care cheia este ţinută, etc.

Dacă această situaţie paradoxală pare familiară este pentru că descrie în mod fidel condiţiile de securitate ale cadrului distribuit din domeniul informaţional.

iot-securiti-privacy

Căsuţele poștale, pozele noastre, conturile bancare online, și toate celelalte conturi în care noi depozităm bunuri informaţionale și nu numai suferă de aceste găuri de siguranţă profund neînţelese pe care le desconsiderăm cu sintagma falsă că securitatea unui furnizor de platformă informaţională este mai avansată decât cea a PC-ului nostru.

De fapt, dacă e să asigurăm securitatea unui bun informaţional în acest cadru, trebuie să ne asigurăm că toate etapele de existenţă ale acestuia sunt securizate. Elementele de siguranţă nu sunt cumulative, ci au o sinergie inversă: cu cât mai multe elemente cu atât devine sistemul mai nesigur. Când un alpinist urcă pe munte, acesta depinde de multiple elemente de siguranţă: coarda, roca, ancora, carabinele, secundul, și așa mai departe. Dacă cedează oricare din aceste elemente, rezultatul poate fi fatal, și cu cât introducem mai multe elemente, cu atât creștem posibilitatea ca unul din ele să cedeze.

Revenind la sistemul informaţional, nu este deci suficient să ne bazăm pe siguranţa perimetrului și nu ne putem permite să plasăm un obiect nesigur în acest cadru, trebuie să ne asigurăm că obiectele în sine sunt sigure în toate etapele acestora de folosire. De exemplu, în situaţia în care nu putem fi siguri că un sistem de schimb de fișiere este securizat, însă suntem nevoiţi să-l folosim, putem foarte simplu cripta datele din fișier și transmite cheia beneficiarului pe o altă cale. Soluţii există însă ele nu sunt întotdeauna evidente.

Paradigmele de securitate în online

În modelul de securitate distribuit există două paradigme fundamentale de care trebuie ţinut cont: izolarea, în sensul de a avea siguranţa că nimeni nu interceptează sau alterează tranzacţiile și certitudinea identităţii, adică siguranţa că partenerul cu care tranzacţionăm este cel corect. Iar dacă în viaţa de zi cu zi acestea sunt triviale, în domeniul cibernetic unde elementele de identificare sunt incomparabil mai slabe, și tranzacţiile se efectuează în teren ostil lucrurile sunt mult mai complicate si cele două elemente trebuie respectate cu stricteţe și concomitent, altfel nu putem vorbi deloc de securitate. De exemplu, dacă avem izolare dar nu avem certitudinea identităţii putem cădea în capcana de a tranzacţiona, în siguranţă, cu o entitate malefică, iar dacă avem certitudinea identităţii și nu avem izolare, putem fi monitorizaţi, sau tranzacţia poate fi interceptată și alterată fără cunoștinţa noastră.

În 1995 Netscape a introdus pentru prima dată conceptul de SSL (secured socket layer), un mecanism extrem de eficient capabil să asigure ambele principii, dar numai în forma ei iniţială denumită MASSL (mutually  authenticated SSL) care din păcate în ciuda faptului că există de atâta vreme, nu s-a răspândit din motive practice. Ceea ce cunoaște majoritatea internauţilor ca SSL este o formă simplificată în care numai serverul posedă certificat de autenticitate, clientul nu, și deci  certitudinea identităţii nu poate fi asigurată pe latura clientului. De aceea se recurge la forme mai nesigure de autentificare cu care suntem obișnuiţi dar care rămân vulnerabile la diferite forme de atac: prin forţare, furt de identitate, interpunere, etc. Este important să fim informaţi cu privire la aceste neajunsuri și atunci când alegem furnizorul de serviciu sau metoda prin care stocăm/manipulăm un anume bun informaţional să decidem în cunoștinţă de cauză pe criterii de importanţă, sensibilitate, și așa mai departe.

Un alt fenomen deosebit de periculos este introducerea unui nou tip de SSL denumit DV (domain validated) SSL, care de fapt este un SSL care nu poartă certitudinea identităţii sitului, ci doar faptul că a fost emis pentru situl în cauză, ceea ce are valoare zero. Orice răufăcător poate cumpăra un domeniu ieftin și să ruleze un sit de furt de date cu  DV-SSL care va părea 100% legitim, pentru că browserele nu emit nici o alertă, și chiar dacă acest tip de SSL poate garanta izolarea, internautul nebănuitor poate tasta parola într-un pagină ce fură date, deoarece nu avem certitudinea identităţii.

Securitatea în acest cadru modern bazat pe servicii (SaaS) nu este deloc simplu de înţeles și cu atât mai greu de asigurat, deoarece din nefericire există un profund handicap tehnologic ce provine din faptul că este imposibil să asigurăm ambele paradigme în orice situaţie, și deci există o inerentă slăbiciune a sistemului care nu poate fi eliminată tehnologic, și trebuie analizată și redusă metodologic.

Securitatea în spațiul IoT

Spaţiul IoT (Internet of Things) este la rândul său un spaţiu online, dar din păcate cu un grad și mai mare de nesiguranţă ce provine din mai multe motive. Dacă în cazul aplicaţiei tipice de tip serviciu, contul se află, precum caseta de valori, la furnizorul de servicii și acesta asigură o anume mentenanţă ce include corectarea vulnerabilităţilor, siguranţa perimetrului din spatele casetei impune anumite reguli de acces și așa mai departe, în cazul dispozitivelor IoT, majoritatea sunt plasate în domiciliu sau alte locuri nesigure, care nu beneficiază de reguli stricte, de profesionalism, de mentenanţă, de corectarea vulnerabilităţilor și este practic imposibil de determinat dacă au fost accesate fraudulos. Aceste obiecte sunt oarecum ale nimănui pentru că responsabilitatea siguranţei lor nu este asumată de nimeni. De exemplu, zilele acestea a avut loc un atac masiv asupra coastei de est a Statelor Unite ce a fost executat de către camere IP și alte dispozitive din casele cetăţenilor nebănuitori.

Ceea ce este și mai grav este că, de multe ori, aceste dispozitive au o relaţie intimă cu posesorii lor, precum pompa de insulină în cazul bolnavului de diabet. Acesta poate dăuna posesorului nu numai prin pierderea de informaţii, care este în sine grav, dar și prin faptul că dispozitivul poate executa funcţii pe care posesorul se bazează, de exemplu poate fi o ușă inteligentă, un sistem de alarmă inteligent, și așa mai departe, care dacă nu-și execută funcţia  corect poate produce pagube serioase.

Deci și în cazul IoT, ca și în cel al serviciilor online, trebuie să căutăm și să analizăm punctele de dependenţă (coarda, roca, ancora, carabina, etc.) ale sistemului și trebuie să ne asigurăm că toate aceste puncte sunt solide,  deoarece fiecare introduce slăbiciuni prin care întregul sistem poate ceda. Poate fi util să ne formulăm o listă de întrebări care să ne ajute să înţelegem aceste puncte de slăbiciune și cum ne afectează ele. Nu este ușor, deoarece responsabilitatea este profund diluată în cazul IoT și aproape fiecare dispozitiv este condiţionat diferit atât din punct de vedere tehnic cât și din punct de vedere al relaţiei cu persoana, familia, firma în care este plasat. Orice astfel de listă de întrebări trebuie să conţină însă cel puţin anumite întrebări elementare la care noi, beneficiarii dispozitivului, trebuie să putem să răspundem cu un grad ridicat de certitudine, ca semn că înţelegem problema, riscurile asociate și avem un plan pentru cazul în care lucrurile deraiază. De exemplu:

  •  ce fel de informaţie colectează dispozitivul
  •  unde este stocată această informaţie
  •  poate informaţia colectată să fie interceptată în tranzit
  •  poate informaţia să fie furată în timpul stocării
  •  a cui proprietate este informaţia colectată
  •  cine controlează dispozitivul
  •  cine corectează vulnerabilităţile când acestea sunt descoperite
  •  cum știu dacă dispozitivul este sub controlul unui factor maliţios
  •  cum opresc dispozitivul în cazul în care a fost deturnat
  •  în ce fel pot fi afectat eu sau cei pentru care sunt răspunzători în cazul în care oricare din aceste  întrebări eșuează.

Va fi foarte greu sau chiar imposibil să dau răspuns tuturor acestor întrebări de aceea ultima întrebare din listă este în special importantă. Aceasta e întrebarea pe baza căreia pot decide dacă voi face un compromis sau voi prefera să nu risc. Evident, răspunsul va fi diferit în funcţie de dispozitiv. Pentru un bec inteligent, poate cel mai grav va fi că voi pierde obiectul deci riscul e redus, dar în cazul unor dispozitive mai complicate,

iot-and-business

situaţia poate fi mult mai gravă. Pe 4 Decembrie 2011, o dronă militară americană a fost deturnată de iranieni și capturată pentru că nimeni nu și-a pus penultima întrebare din lista anterioară. Nu e cazul să analizăm în detaliu incidentul, dar putem să ne imaginăm cât de gravă este situaţia pe toate planurile: politic, tehnologic, informaţional, financiar, fără să mai vorbim de încrederea populară.

Această mult așteptată și prematur preaslăvită lume a IoT este încă un copil nenăscut care are mult potenţial pozitiv dar care, dacă nu suntem atenţi, poate genera și o catastrofă mondială. În ultimul rând, fiecare din noi este responsabil să înţeleagă seriozitatea acestei situaţii și să ia atitudine ca atare ori de câte ori puterea decizională este la noi. Atunci când cumpărăm astfel de produse sau atunci când autorităţile ne consultă cu privire la legile care guvernează aceste dispozitive.

Securitatea informatică este un concept foarte complex și greu de definit în sine, și cu cât un sistem este mai complicat, cu atât este mai greu să-l analizăm și să-l înţelegem. Și cu toate că este greu să găsim o formulă generală care să ne acopere din toate unghiurile, este  relativ ușor să înţelegem fiecare situaţie în parte prin prisma securităţii personale, pentru că acest lucru dincolo de anumite generalităţi este un subiect profund personal și cei mai capabili de a găsi întrebări și de a răspunde la ele vor fi cei în cauză. Nu este nevoie decât de logică elementară, un pic de timp alocat și un exerciţiu mint al prin care să luăm toate elementele afectate de un astfel de sistem, componentele cu care interacţionează, felul în care interacţionează, importanţa lor, căile de acces, și modul în care toate acestea afectează persoana, familia, firma, etc., beneficiile finale ale acestora și riscurile la care ne expunem. Și chiar dacă nu vom găsi toate întrebările, și în consecinţă toate răspunsurile, vom fi mai în siguranţă pentru că vom putea elimina cea mai mare majoritate a riscurilor, pentru că în final este responsabilitatea fiecăruia să se asigure că lucrurile din jurul său nu îi pun persoana în pericol.

Autor: Ștefan Hărșan Fárr

Material publicat în Cybersecurity Trends, nr. 3/2016

Ștefan Hărșan Fárr
Antreprenor, Consultant independent

Ștefan Hărșan Fárr este un profesionist software și antreprenor cu peste 18 ani de experiență în inginerie software, design și analiză. El are o vastă experiență în domeniile dezvoltării de aplicații, design-ului de apli cații, securității, comunicațiilor, prelucrărilor analitice și a aplicat expertiza sa în proiecte dezvoltate pentru clienți importanți din zona bancară, farmaceutică, turism etc. Cea mai mare pasiune a sa o reprezintă Inteligența Artificială, comunicarea între calculatoare, interacțiunea om calculator, limbajele naturale, semantica și proiectarea limbajelor calculatoarelor, domenii în care a efectuat cercetări extinse în decursul anilor. El este pasionat și de fizică, teoria sistemelor, științele sociale și evoluție. El nu înțelege conceptul de timp liber, deoarece își ocupă tot timpul cu proiecte pe care le tratează la modul cel mai serios, fie că sunt plătite sau personale.