krog
Na konferenci HEK.SI o odgovornem razkrivanju ranljivosti
Ljubljana, 6. aprila - V Ljubljani se je danes začela dvodnevna konferenca etičnega hekinga HEK.SI, katere glavna tema je odgovorno razkrivanje varnostnih ranljivosti v informacijskih sistemih. Slednje lahko prispeva k izboljšanju informacijske varnosti podjetij in organizacij, je poudaril Aleksander Šinigoj iz podjetja Palsit.
Ljubljana, Gospodarsko razstavišče.
Konferenca etičnega hekinga - HEK.SI 2017.
Foto: Aljoša Rehar/STA
Ljubljana, Gospodarsko razstavišče.
Konferenca etičnega hekinga - HEK.SI 2017.
Jan Bervar iz podjetja Nil.
Foto: Aljoša Rehar/STA
Ljubljana, Gospodarsko razstavišče.
Konferenca etičnega hekinga - HEK.SI 2017.
Jan Bervar iz podjetja Nil.
Foto: Aljoša Rehar/STA
Ljubljana, Gospodarsko razstavišče.
Konferenca etičnega hekinga - HEK.SI 2017.
Foto: Aljoša Rehar/STA
Ljubljana, Gospodarsko razstavišče.
Konferenca etičnega hekinga - HEK.SI 2017.
Aleksander Šinigoj iz podjetja Palsit.
Foto: Aljoša Rehar/STA
Ljubljana, Gospodarsko razstavišče.
Konferenca etičnega hekinga - HEK.SI 2017.
Foto: Aljoša Rehar/STA
Kibernetski oziroma hekerski napadi se sicer s tehničnega vidika ne spreminjajo, je uvodoma pojasnil informacijsko tehnološki strokovnjak iz podjetja Nil Jan Bervar.
"Napadi se s tehničnega vidika sploh ne spreminjajo. Že 20, 30 let vidimo enake napade v drugačnih preoblekah. Čeprav mislimo, da so ti napadi strašno sofisticirani in drugačni, temu ni tako. Tehnično gledano se napadi minimalno spreminjajo iz leta v leto," je povedal.
Pač pa se po njegovih besedah spreminjajo poslovni modeli napadalcev, torej razlogi, zakaj to počnejo. Spreminjajo se tudi naprave, ki jih napadajo, ko se pojavi nova tehnologija - leta 2005 je bila na primer to IP-telefonija, danes je to internet stvari.
Osnovni problem varnosti je v tem, da morajo branilci poskrbeti za čisto vse varnostne luknje, napadalec pa mora najti samo eno luknjo, ki jo lahko izkoristi, še dodaja Bervar.
"Problem ni v tem, da bi bilo napadov vedno več ali pa da bi bili vedno bolj sofisticirani, problem je v tem, da je naših lukenj vedno več, ker so sistemi vedno bolj kompleksni. Varnost je problem kompleksnosti - kako naše sisteme, ki so vedno bolj zapleteni, ustrezno zaščititi pred napadi, ki niso vedno bolj zapleteni, ampak še vedno delujejo."
Poleg kompleksnosti je po njegovih navedbah problem tudi standardizacija. "En napad deluje na ogromno število uporabnikov. Če smo standardizirani, se bo napad, ki vpliva na eno komponento v sistemu, zelo verjetno hitro razlezel na vse komponente. Napadi torej postajajo taki, da imajo zelo širok horizont, na katerem delujejo."
"Zajezite kompleksnost svojega sistema in razmislite o vseh dobrotah in pasteh standardizacije. Razmišljajte o arhitekturi in pravih kontrolah, ne pa da vsako jutro berete, kaj so najnovejši heki, saj so ti isti že 30 let. Če vas še vedno zadevajo ti 30 let stari problemi, potem narobe razmišljate," je še dejal.
Glavna tema letošnje konference HEK.SI je sicer odgovorno razkrivanje varnostnih ranljivosti v informacijskih sistemih. Na to temo bo v petek potekala tudi okrogla miza.
Bervar je v zvezi s tem spomnil, da prav letos beležimo 10-letnico svetovno odmevnega tekmovanja Pwn2Own v okviru vsakoletne varnostne konference CanSecWest v Kanadi, na katerem etični hekerji odkrivajo varnostne ranljivosti v informacijskih sistemih. Zmagovalci so nagrajeni.
Konferenca HEK.SI, ki jo organizira podjetje za organizacijo izobraževanj s področja informacijske tehnologije Palsit, letos beleži že peto izvedbo. Namenjena je informacijsko tehnološkim in računalniškim strokovnjakom, informatikom in vsem, ki jih zanima področje etičnega hekinga.