krog
Deljena mnenja o načinu razkrivanja varnostnih ranljivosti
Ljubljana, 7. aprila - Razprava na okrogli mizi o etičnem hekanju oziroma odgovornem razkrivanju varnostnih ranljivosti v informacijskih sistemih je razkrila različnost pogledov na to, kaj sploh je odgovorno razkrivanje. To kaže na potrebo po oblikovanju nekaj osnovnih pravil na tem področju, je menil moderator okrogle mize in obenem vodja centra SI-CERT Gorazd Božič.
Ljubljana.
Tehnologija, hekerstvo, računalnik, internet, programiranje, server, strežnik, heker, računalništvo, računalniška varnost.
Foto: Tamino Petelinšek/STA
Arhiv STA
Razlika med etičnim in neetičnim hekerjem je samo v tem, da ima etični heker dovoljenje oziroma dogovor za odkrivanje varnostnih ranljivosti v izbranem informacijskem sistemu, je menil profesionalni etični heker Andrej Rakar iz instituta SIQ.
Profesionalni etični hekerji po njegovih pojasnilih podpišejo pogodbo z lastnikom oziroma upravljalcem informacijskega sistema, tak heker oziroma njegovo podjetje pa je tudi zavarovano za primer morebitne škode, do katere bi morda nenamerno prišlo zaradi preverjanja varnosti informacijskega sistema.
Pri hekerjih, ki se odkrivanja varnostnih ranljivosti odločajo na lastno pest, se medtem postavlja vprašanje odgovornosti za morebitni vdor oziroma nenamerno škodo, ki bi nastala zaradi njihovih dejanj pri razkrivanju varnostnih ranljivosti.
Revizor informacijskih sistemov iz podjetja Cepris Boštjan Kežmah je dodal, da je pri etičnem hekanju na koncu odgovornost poslovodstva organizacije, ki je naročilo preverjanje varnosti, kako in v kolikšnem času se odzvati na morebitne ugotovljene ranljivosti.
Pri odpravljanju ranljivosti je sicer potrebno upoštevati, da so informacijski sistemi vse bolj kompleksni, kar posledično zahteva tudi več časa za popravljanje. Če se pri tem preveč hiti, se lahko nehote sproži nove težave, je poudaril Tadej Vodopivec iz informacijsko tehnološkega podjetja Comtrade.
Pomemben vidik, ki ga je treba upoštevati pri odpravljanju ranljivosti, je po besedah Vodopivca tudi razpoložljivost informacijskega sistema - motnje oziroma nerazpoložljivost namreč neposredno vplivajo na širok krog uporabnikov.
Damijan Marinšek z ministrstva za javno upravo je opozoril tudi na nujnost razločevanja med etičnimi hekerji in neodvisnimi raziskovalci. Tudi slednji bi sicer v primeru odkritja ranljivosti morali najprej obvestiti upravljalca in mu pustiti dovolj časa za odpravo ranljivosti.
Strokovnjak za informacijsko varnost z Instituta Jožef Stefan Matej Kovačič se je ob tem spraševal o tanki meji med odgovornim razkritjem in neodgovornim nerazkritjem - kakšno je denimo pravilno ravnanje v primeru, ko lastnik informacijskega sistema kljub opozorilom ne odpravi ranljivosti.
Primeri iz prakse kažejo, da je javno razkritje v takšnih situacijah močno orodje, ki neposredno ali posredno pritisne na upravljalca, da se loti odpravljanja ranljivosti.
Kežmah vidi težavo tudi v tem, da se prepogosto odkrije le ranljivost, ne pa tudi vzroka zanjo. Če se ne odpravi vzroka, se namreč v prihodnosti ranljivosti ponovijo.
Marinšek v luči povečevanja kompleksnosti sistemov in preprečevanja nastajanja ranljivosti rešitev vidi tudi v tem, da se varnostno problematiko upošteva že od zasnove sistema naprej. K temu si prizadevajo tudi na ministrstvu.
Nacionalni odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij SI-CERT je sicer ob letošnjem razkritju več resnih varnostnih ranljivosti na spletišču Agencije RS za javnopravne evidence in storitve (Ajpes) objavil obvestilo o odgovornem razkrivanju ranljivosti.
Odgovorno razkrivanje predvideva, da oseba, ki odkrije ranljivost, to sporoči proizvajalcu, skrbniku sistema ali razvijalcu programske opreme, lahko neposredno ali pa prek neodvisne tretje osebe oziroma koordinatorja. V Sloveniji lahko vlogo koordinatorja opravi tudi SI-CERT.
Prijavitelj pri tem uskladi predajo informacij in časovne okvire za izdelavo popravkov in nadgradenj. Hkrati se obe strani uskladita tudi glede časovnega roka objav ranljivosti. Obstoječi dokumenti o tem navajajo roke 30, 45 ali celo 60 dni za odpravo napak. Vse stranke v postopku se tudi dogovorijo za načine objave ranljivosti.
Tovrstno odgovorno razkrivanje po navedbah SI-CERT ščiti tudi prijavitelja samega in mu omogoča anonimnost. To, da se priznava koristnost postopkov odgovornega razkrivanja, namreč ne pomeni, da lahko kdorkoli brez posledic poskuša vdreti v katerikoli sistem na omrežju, izrablja najdene ranljivosti in objavlja neupravičeno pridobljene podatke.
Raziskovalci ranljivosti lahko ob neustrezni predhodni pripravi namreč prestopijo mejo, ko skrbnik sistema ne bo mogel prepoznati, da ne gre za zlonameren vdor in bo zahteval ustrezno ukrepanje organov pregona. Prijavitelj mora tudi vzeti v obzir posledice poskušanj izrabe ranljivosti, med katerimi je lahko tudi nesorazmerna obremenitev sistema in izpad delovanja aplikacij, še opozarjajo v SI-CERT.
Okrogla miza o pravilih odgovornega razkrivanja je bila sklepni del dvodnevne konference o etičnem hekingu HEK.SI, ki jo je v Ljubljani organiziralo podjetje Palsit.