Vodafone, ασφάλεια και εξωγήινες απαγωγές.
Διάβασα το άρθρο του Διομήδη Σπινέλλη για τη σχεδίαση των τηλεφωνικών κέντρων της Vodafone και μπήκα σε σκέψεις. Όπως φαίνεται, τα φοβερά τηλεφωνικά κέντρα δεν είναι παρά μηχανήματα server που τρέχουν Solaris και κάποιες εφαρμογές. Παρότι θα περίμενε κανείς τα μηχανήματα αυτά να έχουν ειδικές προδιαγραφές ασφαλείας, αποδεικνύεται ότι είναι απλά συστήματα, με τις συνηθισμένες δυνατότητες ασφαλείας. Ακόμα και αυτές οι δυνατότητες να είχαν χρησιμοποιηθεί όμως, κάποιο ίχνος του δράστη θα είχε μείνει!
Ακόμα και ένα μηχανάκι Windows NT, κι ένα bare-bones Linux, έχει κάποια στάνταρ πράγματα. Έχει user και permissions, έχει logs, έχει policies. Σε περιβάλλον δικτύου, και με ένα στοιχειώδες administration, τα events των μηχανημάτων στέλνονται σε ένα κεντρικό log, ενώ αν γίνει λίγο καλύτερη δουλειά ελέγχεται και το τί εγκαθίσταται στα μηχανήματα. Σε σοβαρά εταιρικά δίκτυα υπάρχουν και εφαρμογές Intrusion Detection οι οποίες αναλύουν συνέχεια τα logs και ειδοποιούν όταν εντοπίζεται ύποπτη συμπεριφορά. Σε ένα server τηλεφωνικού κέντρου τώρα, θεωρείται δεδομένο ότι γίνεται συνεχής έλεγχος των κλήσεων και η κεντρική καταχώρηση τους. Αν δεν γινόταν αυτό, θα ήταν αδύνατη η χρέωση των τηλεφωνημάτων. Οπότε? Χάθηκε να ελέγχουν και τα security logs?
Αφήστε το άλλο. Και τα NT και τα απλούστερα UNIX ρυθμίζονται άνετα για να εμποδίσουν οποιονδήποτε παρείσακτο να κάνει login και να κάνει πράγματα για τα οποία δεν είχε δικαίωμα. Είναι οι δυνατότητες που παλαιότερα ονομάζονταν C2 και σήμερα Common Criteria. Δεν μιλάμε για hacking μέσω δικτυακής σύνδεσης, αλλά να πάει κάποιος στο μηχάνημα και να προσπαθήσει να μπει χωρίς άδεια. Δεν γίνεται. Εκτός δηλαδή και το κλείσει και πάρει τον σκληρό και τον βάλει σε άλλο μηχάνημα. Αλλά αυτό θα γινόταν ελαφρώς αντιληπτό νομίζω.
Οπότε? Τί μπορεί να συνέβει, έτσι ώστε να μην υπάρξει κανένα audit event, ώστε να τροποποιηθούν αρχεία και κανείς να μην καταλάβει τίποτα? Αν αυτό συνέβαινε σε κάποιο γραφείο, θα έλεγα ότι κάποιοι είχαν τα ίδια root/administrator password για όλα τα μηχανήματα, δεν χρησιμοποιούσαν security policies, δεν είχαν ή δεν κοίταζαν τα security logs. Θα υπέθετα ότι και ένας φοιτητής ακόμα θα μπορούσε να πειράξει ένα τέτοιο σύστημα και να τη γλυτώσει. Όχι "ξένες δυνάμεις"! Για τα τηλεφωνικά κέντρα, τί να υποθέσω?
Για τις όλες τις εφαρμογές που αναπτύσσουμε παρακάμπτοντας οποιαδήποτε απαίτηση ασφάλειας, τί να υποθέσω? (Έλα μωρέ, ποιός χρειάζεται ασφάλεια?) Δύο-τρία πράγματα να κάνει κάποιος και μπορεί να προστατεύσει τις εφαρμογές του από τις πιο συχνές μορφές επίθεσης. Δεν απαιτώ η εφαρμογή μου να τρέχει ως admin. Δεν συνδέομαι στη βάση ως dba. Δεν δίνω στο connection που θα χρησιμοποιήσω περιττά permissions. Κρατάω κι εγώ ένα audit log.
Και μετά γκρινιάζουμε για το security των Windows …