uživatel eliminován | 29. 01. 2008, 16:23:39 |

Současný svět je příliš složitý

Rozumná bezpečnost

Součástí bezpečnosti jsou kompromisy

* neznámému nebezpečí se nedá efektivně bránit
* bezpečnost = prevence nepříznivých následků úmyslných a nedovolených aktivit
* kdyby lidi byli čestní není potřeba bezpečnost
o nejsou, proto existuje bezpečnost
o špatní jedinci tvoří jenom zlomek populace - neměli by se příliš omezovat ti slušní kvůli pár zlým
o přílišné omezovaní je v důsledku horší než samotná nekalost
* nedovolená aktivita nemusí být nutně nelegální
* analýza bezpečnostních systémů
1. Jaké cíle se snažíme bránit?
2. Jaké nebezpečí hrozí bráněným cílům? Tj. co se brání, co se může stát v případě úspěšného útoku, kdo má zájem na útoku, jak a proč chce útočit.
3. Jak si navržené bezpečnostní řešení umí poradit s tímto nebezpečím? Tj. jaké vazby s okolím má navržené řešení, vyhodnocení funkčnosti a chyb systému.
4. Jaké další nebezpečí způsobí navržené bezpečnostní řešení? Bezpečnostní řešení mají řetězový efekt - zpravidla způsobí nové bezpečnostní problémy - tj. navrhované řešení by mělo způsobovat méně problémů než dosavadní praktiky
5. Jaké náklady a kompromisy si bezpečnostní řešení vyžádá? Tj. peníze, užitek, pohodlí, soukromí, ...

Kompromisy jsou subjektivní

* bezpečnost je vždy kompromisem
o každý ma jiný smysl pro bezpečnost
o více bezpečností nemusí být vždy lépe!
o totálně bezpečné řešení = prakticky nepoužitelné
* hrozba vs. nebezpečí
o hrozba = definice určitého nebezpečí
o nebezpečí = reálná hrozba ohrožující bezpečnost
* vnímané a reálné nebezpečí se obvykle liší
o běžné nebezpečí je podceňováno (např. uklouznutí v koupelně)
o vzácně se vyskytyjící nebezpečí přeceňováno (např. teroristi)
o důsledkem je špatné rozhodování
* současný svět je příliš složitý
o technický pokrok je rychlejší než naše schopnosti vstřebat nové znalosti
o nikdo nerozumí všemu, proto neumí správně vyhodnotit rizika
* zpravodajství = v podstatě informace o anomáliích,
o přináší filtrované informace o hrozbách (ne o nebezpečí!)
o zkresluje tak skutečná nebezpečí
o ovlivňuje naše podvědomí o nebezpečí
* neznáme-li horízící nebezpečí, nelze přijmout vhodný kompromis!

Bezpečnostní kompromisy závisí na pozici (Power) a přístupu (Agenda)

* většina bezpečnostních rozhodnutí je komplikovaná
o zahrnuje více jedinců (hráčů),
o každý hráč má svůj vlastní subjektivní přístup k bezpečnosti, toleranci k rizikům, ochotu ke kompromisům
o vztahy mezi hráči a jejich vzájemné pozice ovlivňují výsledek
o výsledkem není globálně optimální kompromis, ale je výhodný pro určité(ho) hráče
* každý bezpečnostní problém je podmíněn existencí
1. útočníka (pokud nikdo neutočí, problém neexistuje)
2. napadeného (pokud není nikdo napadán, problém neexistuje)
3. napadený musí být útočníkem nějak poškozen (pokud mu "útok" nevadí, také nejde o problém)
* bezpečnostní systémy nejsou navrhovány neutrálně - vždy záleží na pozici jednotlivých hráčů
* čím více hráčů se v dané problematice pohybuje tím je situace složitější, protože
o každý by rád prosadil svůj pohled na věc
o jednotlivé pohledy a přístupy mohou být přímo v protikladu
* existence prostředníků
o svět je příliš komplikovaný, proto si většina lidí definuje prostředníka, který za ně jedná
o ideální prostředník, který by sloučil pouze zájmy jím zastupovaných lidi, neexistuje
o každý prostředník má svůj vlastní přístup, který do řešení promítá (např. vláda zastupuje lidi)
o přístup prostředníka může být v rozporu s naším přístupem (např. statik při koupi domu), střet zájmů
* přístup jednotlivých hráčů je ovlivněn i jinými faktory než pouze bezpečnost
o jiné faktory obvykle převládají nad těmi bezpečnostními
o povědomí o bezpečnosti by se mělo shodovat s realitou - obvykle tomu tak není
o zpravidla stačí "když se něco děje jako reakce na hrozby", lhostejno zda je to špatně či dobře -> 'bezpečnostní divadlo'
+ levnější než skutečné bezpečnostní řešení
+ odradí hloupoučké útočníky
* každý z hráčů hájí výhradně své zájmy
o bez porozumění zájmu jednotlivých hráčů nelze porozumět navrženému řešení
o výsledné řešení je určitým váženým kompromisem - lepší pozice = více vlastního přístupu
o prosazování svého řešení je více sociální problém než technický
o bezpečnost je nejvíce ovlivněna faktory, které nemají s bezpečností nic společného

Jak funguje bezpečnost
Systémy a jejich selhání

* bezpečnost je komplexní a složitý systém
o vzájemně reaguje s okolím a sám se sebou
o vztahy mezi jednotlivými subsystémy mohou být někdy překvapivé, mohou se ovlivňoat způsobem, který nikdo nečekal
o testování bezpečnosti není příliš možné - lze pouze zjistit když je něco špatně
o to, že se systém zatím neselhal, neznamená, že je bezpečný - třeba na něj ještě nikdo neútočil
o při jeho selhání je důležité vědět 'jakým způsobem' selhal (tj. následky selhání v kontextu bráněného cíle) - to je jediné měřítko bezpečnosti
* počet útočníků je výrazně menší než počet oprávněných uživatelů
o je důležitější řešit selhání systému pro oprávněné uživatele
* systémy jsou navrhovány pro určité podmínky
o počítají s bezpečným provozem pro běžné používání (návrháři se zabývají fungováním systému)
o nepočítají s cíleným útokem (bezpečnostní expert se zabývá tím jak mohou tyto systémy selhat)
* útočník se zaměří na určitou část systému
o obvykle nejde o čelní útok
o selhání jedné části může ovlivnit celý systém
o celkové selhání sestává z drobných selhání jednotlivých komponent
o nejslabšími místy bývá rozhraní mezi jednotlivými částmi
* způsoby selhání systému
o pasivní selhání - nepovede se zakročit proti útočníkovi
o aktivní selhání (neboli false alarm) - povede se zakročit proti legitimnímu uživateli
+ v některých systémech je i velmi malý počet nežádoucí
+ časté selhání vyvolá v lidech apatii
* systémy častou selžou v případě málo častých událostí, anomálií
o pokud závisí na lidech - nevědí co mají dělat
o pokud jsou čistě technické - nemusí s danou alternativou počítat
o je nutno uvažovat i nad možnostmi, které se jeví jako nereálné
* systém, který nikdy neselže, neexistuje

Seznámení se s útočníky

* znalosti o útočníkovi jsou důležité
o umožní vybrat vhodnou úroveň zabezpečení
* základní informace o útočníkovi
o jaká je jeho motivace?
o jak moc je kvalifikovaný?
o je za útok placený?
o jak je ochotný riskovat?
o jak moc je bezohledný, vytrvalý?
o jde o jednu osobu nebo skupinu?
* způsob útoku je limitován znalostmi a prostředky útočníka
* špatný odhad útočníka vede zpravidla ke špatnému návrhu ochrany
* problém s lidmi pracujícími se systémem
o mají přístup, znají slabá místa, je jim důvěřováno
o nebezpeční v případě, že budou chtít útočit
o nebezpečnější než útočníci zvenčí
* typizace útočníků dle motivace
o prospěchář - aneb příležitost dělá zloděje
o emocionální útočník - aneb děláme to pro zábavu
o existují i různé kombinace

Útočníci nemění cíle, pouze nástroje

* kromě různých druhů utočníků existují také různé druhy cílů
* ruzné druhy útočníků mohou útočit na různé druhy cílů
* druhy cílů jsou stále stejné, mění se jen forma
o ukrást lze nyní nejen peníze, ale také informace či identitu
o destruktivní útoky mohou být stále účinnější
* slučování dat není bez nebezpečí
o problém zneužitelnosti
o ze souvislostí lze zjistit slabá místa
* jak si útočník vybírá cíl
o konkrétní (např. určitá databáze)
o libovolný patřící do nějaké katerie (např. nějaká peněženka)
+ zabezpečení určitého cíle způsobí, že útočník si vybere jiný objekt stejné kategorie
* nejúčinnější útok je nečekaný, způsobem, který ještě nikdo nezkoušel
o zranitelné místo je zneužíváno, dokud není opraveno
o útoky se přizpůsobují bezpečnostním opatřením
o většina útočníků opakuje již "osvědčené" postupy
* analýza rizik
o přehled všech hrozeb a definice nebezpečí
o analyzuje rizika pro systém jako celek
1. Kdo utočí na systém?
2. Co chce?
3. Jak asi hodlá útočit?
4. Jak je pravděpodobný jeho útok?
o útok je veden proti některé z komponent systému, ale jenom systémové řešení dokáže zachytit celý problém
o ve většině případů není k dispozici dostatek dat

Technologie umožňuje bezpečnostní nevyváženost

* přístup k technologiím rozšiřuje možnosti jak útočníka tak bráněného
o technologický náskok znamená převahu
o účinnost technologie je zaplacena její složitostí a náročností
o složitější systémy jsou méně bezpečné
+ nesekvenčnost v systémech (zpětně vazby, ...) ztěžuje situaci
+ nové funkce přinášejí nové možnosti útoku
* návrh ochrany je složitější než návrh útoku
* pro práci se složitými systémy je potřeba prostředník (telefon, klávesnice, ...)
o tvoří dojem, že systém je jednoduchý
o systém je jednoduše ovládaný
o uživatel hůře vyhodnocuje bezpečností rizika (problém je skryt)
* technologický pokrok je doprovázen standardizací
o jeden způsob útoku lze použít na celou třídu systémů
o chyba je zneužívána dokud není odstraněna všude
o možnost automatizovaných útoků
o zveřejnění chyby umožní masivnější zneužívání
* možnost vzdáleného útoku
o větší množina potenciálních útočníků
o horší dohledání útočníka
* shromažďování dat
o sloučením dat z různých zdrojů lze získat zneužitelné údaje
o elektronicky dostupná data se snadnějí shromažďují
* každá technologie přináší pozitiva i negativa
o nutná analýza rizik

Bezpečnost je problém nejslabšího článku

* každý systém má nejslabší článek
* celková bezpečnost systému odpovídá jeho nejslabějí zabezpečené části
* útočníci hledají tyto slabé články
o nejslabší článek je subjektiví
o z jakého hlediska je nejslabší?
o ne každý najde skutečně nejslabší článek (třeba i útočník)
* Jak se vypořádat s nejslabším článkem
1. hloubková obrana
o je lepší vícevrstevná obrana
o jednotlivé prvky musejí být vzájemně nezávislé a vyžadující rozdílný způsob překonání
o útočník je musí zdolávat sekvenčně
o někdy lze tuto obranu dosáhnout předimnzováním
+ redundance - po vyřazení jednoho systému se aktivuje záložní
+ výrazné navýšení kapacity nad očekávané zatížení
2. rozčlenění obrany
o zabezpečení jednotlivých částí samostatně
o chyba v jednom zabezpečení nekompromituje celý systém, jenom část
3. vytvoření vstupních bodů
o útočník musí "projít" určitými body
o obrana se může lépe soustředit
o problém, pokud lze tyto body obejít (ještě hůř pokud se o této možnosti ani neuvažuje)
o možnost vyčerpání kapacity ("ucpání")
* je lěpší používat prověřené metody než nové, nepříliš vyzkoušené
o úspěšnost metody nelze dokázat - pouze neúspěšnost
* systémy se vyvíjejí
o nejslabší článek se s časem může měnit
o zesílením jednoho článku se mohou oslabit jiné (!)
o bezpečnostní prvek, který funguje v jednom systému nebo čase, nemusí fungovat v jiném
* nejslabší články je vhodné najít ještě dříve než jdou zneužity

Křehkost znamená špatnou bezpečnost

* každý systém dříve či později selže
o záleží na způsobu, jakým k tomu dojde
o křehké systémy selžou špatně
+ z malé chyby se stane velká
+ každý problém se projeví na celém systému
o dobré systémy jsou odolné
+ umí si určitým způsobem poradit s chybami
+ jedna chyba nezlikviduje celý systém, nezpůsobí kaskádovité šíření chyby
+ mohou selhat, ale pak se opět zotaví
* charakteristické vlastnosti křehkých systémů
o statický - neschopný adaptace na nové problémy
o homogenní - všechny části jsou náchylné ke stejným chybám
o jsou založeny na tajemství - pokud je tajemství prozrazeno a nelze jej změnit, je to velký problém (např. typické postupy)
o neselžou bezpečným způsobem - v případě vypnutí/přetížení/pádu systému se přejde do nezabezpečeného (někdy také nebezpečného) módu

Bezpečnost se točí kolem lidí

* lidé nestojí pouze na straně útočníka, ale také mohou být součástí zabezpečovaních systémů
* přínos lidí k zabezpečení
o pružnost
o kreativita
o intuice - největší výhoda proti automatům
o schopnost profilování (intuitivní zobecňování)
+ v demokracii to je označováno též jako diskriminace - i efektivní profilování může být společensky nepřijatelné
+ nutno počítat i s chybným zařazením
* problémy lidí
o bojící se lidé dělají špatné kompromisy
o možnost zneužití postavení
o stereotyp - vědomé přehlížení "nepravděpodobných" událostí
o nejsou stroje, mohou chybovat
* je nutné vytvořit systém, který
o maximálně využije lidské přednosti
o maximálně potlačí lidské nedostatky
* výběr důvěryhodných lidí
o každý systém je potřebuje (třeba i na vytvoření a údržbu systému)
o čím více takových lidí systém potřebuje, tím je křehčí
o jak si zabezpečit důvěryhodné lidi či stroje
1. prověření osob - čím důvěryhodnější pozice, tím tvrdší prověrka
2. rozdělení pravomocí - každý zná pouze to co potřebuje k práci
3. překrývající se pravomoci - vzájemný dohled
* sociální inženýrství
o psychologicky donutí lidi chovat jinak než bezpečně
* kvalitní lidé jsou nákladní, levným silám nelze věřit
* kvalitní bezpečnost je založená na technologii, ale klíčovou částí jsou lidé
o lidé musejí technice rozumět
o lidé musí řidit techniku, ne naopak

Detekce funguje i když prevence selže

* ideálem je preventivne zabránit útoku
* moderní systémy v sobě spojují
1. prevenci
o pasivní záležitost, funguje bez zásahu kohokoliv
o nejtěžší a nejnákladnější část bezpečnosti
o zpravidla křehké subsystémy, nutno vědět co se stane v případě selhání
o slabá prevence vyžaduje silnou detekci a reakci
o dobrá prevence je k nezaplacení
2. detekci
o zjištění útoku na preventivní bezpečnostní prvky
o retrospektivní detekce (audit)
+ možnost objevení a analýzy proběhlých útoků
+ má i preventivní dopad - útočník ví, že může být vystopován
o predikce
+ analýza možné budoucnosti
+ lze odhadovat vývoj podle dosud proběhlých událostí
+ v současnosti jde o problém analýzy dat (sběr dat je jednoduchý, analýza složitá)
o náhodná detekce - např. revizoři v MHD
o cílená detekce - např. alarm
o stroje umí dobře nalézt výjimky mezi běžnými daty
o lidé umí dobře nalézt souvislosti ve shluku dat
o slabina detekčních systémů - útočník může testovat funkčnosti
+ zejména pokud lze test provést bez ohrožení útočníka
3. odezvu na detekovaný problém

Detekce bez odezvy nemá smysl

* díky odezvě je detekce cenné bezpečnostní opatření
* existuje pět typů odezvy
1. reakce
o obvykle je aktivováno nějkteré další opatření
o důležitou roli hraje doba mezi detekcí (začátek útoku) a dosažení cíle útoku - reakce musí přijít do této doby
o automatická reakce se chová vždy stejně - je pak snadné ji obelstít
2. minimalizace ztrát
o zaměřeno hlavně na bráněné cíle, ne na útočníka
o někdy se může překrývat s reakcí
o snaha o snížení dopadu probíhajícího útoku
3. zotavení systému
o oprava systému po skončení útoku
o někdy je lepší zaměřit se na zotavení než na obranu (pokud je oprava snadnější než obrana)
o musí být připraveno před útokem
o obnovením se může také obnovit slabý článek, kvůli kterému útok uspěl
4. forenzní analýza
o sběr dat a jejich analýza
o zjištění co se stalo
o poučení pro příště (návrh opatření, aby se se útok nemohl znovu uspět)
o důvěryhodnost analýzy závisí na člověku, který ji provádí
o v přímém rozporu se zotavením systému (má být systém analyzován nebo obnoven?)
5. protiútok
o útok na útočníka
o tenká hranice mezi obranou a útokem
o dobře provedný protiútok ušetří mnoho zdrojů
o preventivní protiútok - musí mít politicko-sociální podporu
o každý protiútok musí být pečlivě zvážen
* odstrašování
o způsob jak preventivně bránit útoku
o nutnost vzdělání - "každý musí vědet co ho čeká, když ..."
o co funguje pro společnost nemusí fungovat pro jedince

Identifikace, Autentizace, Autorizace

* systémy nemají být chráněny před všemi - patřičné osoby smí projít obranou
o musí poznat, koho smí vpustit
o musí existovat způsob jak je vpustit
o vstupní body jsou zpravidla nejslabší články
* nerozlišování následujících pojmů vede k vážným bezpečnostním problémům

1. identifikace = kdo jsi?
* samotná identifikace automaticky neznamená autorizaci
* identifikační token (doklad)
o nemá smysl jej časově omezovat
2. autentizace = dokaž to
* způsoby autentizace
o co znáš
o co máš
o co jsi
* autentizační token (token)
o potvrzení o identitě
* málo známé autentizační prvky jsou snadno podvrhnutelné
* vše je potřeba autentizovat (tokeny, data, ...)
* důvěryhodnost autentizace závisí na autentizační autoritě
3. autorizace = tohle všechno smíš
* autorizační token (doklad)
o základní a jednoduchý bezpečnostní mechanismus
o nemusí vyžadovat identifikaci
o možnost časového omezení

Každé protiopatření má cenu, neexistuje však dokonalé protiopatření

* opatření a protiopatření se stále vyvíjejí, soupeří spolu
* žádné protiopatření není odolné ve všech podmínkách
* čím více protiopatření, tím lépe (hloubková obrana)
* protiopatření běžně používaná po staletí
o skrývání
o útěk
o kladení odporu, protiútok
o odvádění pozornosti
+ ideální v kombinaci se skrýváním
o oklamání (předstíraná skutečnost se liší od reality)
o bezpešnostní pečetě, plomby
+ pro potřeby auditu
o replikace
+ nechrání před zveřejněním, ale před ztrátou
o bezpečnostní upozornění
+ vývěsky, cedulky, falešné alarmy, ...
+ preventivně odrazují od útoku
o nevypadat jako lákavý cíl
+ útočník ztratí zájem
+ je potřeba vědět co útočník chce
* bezpečnostní protokoly
o popis průběhu běžných aktivit
* bezpečnostní procedury
o popis úkonů prováděných při anomáliích (incidentech)
* protokoly i procedury je potřeba pečlivě naplánovat
o čím lepší plán, tím lepší bezpečnost
o patřiční lidé musejí být s plány seznámeni a dostatečně trénovat
o tréning vede ke zdokonalování plánů
* testování
o testování bezpečnosti je nutné ... ale nemožné, kvůli složitosti systémů
o nelze otestovat všechny možnosti a podmínky
* implementace
o je třeba dodržet návrh

Boj s terorismem

* taková analýza současného stavu boje proti terorismu
* ne vše co je v médiích prezentováno jako terorismus je opravdu terorismus
* jaké cíle se snažíme bránit?
1. lidi
2. veřejné symboly
3. ekononimu
4. křehké cíle, které mohou způsobit další nebezpečí (např. chemičky, ...)
5. infrastrukturu
6. morálku
o je potřeba chránit všechny cíle
* Jaká rizika hrozí?
o cílem teroristů je šířit strach a paniku
o samotný útok způsobí relativně malé škody, následné jednání lidí je horší
o způsoby útoků
1. Fyzický - něco zničit
2. Ekonomický - způsobit škody ekonomice
3. Morální - ovlivnit myšlení lidí
* Jak navržené řešení snížilo rizika?
o záleží na konkrétním cíli, obecně:
o prevence je nemožná
o snížení rizika je důležité
o zpravodajská služba a protiútok jsou kritické
o nejefektivnější je odstranit původ terorismu
* Jaká rizika navržené řešení způsobuje?
o zvýšení běžné kriminality
o omezení svobod neznamené automaticky vyšší bezpečnost
* Jaké kompromisy navržené řešení vyžaduje?
o 40 miliard $ ročně
o dobrá morálka obyvatelstva
o ztráta soukromí
o účinnost bezpečnosti - skoro stejná
* občanské svobody a soukromí nemusí být v rozporu s bezpečností (!)
* nejlepší bezpečnost je plánována centrálně, ale implementována distribuovaně

Hra zvaná bezpečnost

Vyjednávání o bezpečnosti

* ne vždy se přímo účastníme rozhodování o bezpečnostních kompromisech
* změní-li se prostředí a podmínky, je tím ovlivněn (nepřímo) také kompromis
o zákon - přikáže či omezí určité prostředky
o síla trhu - poptávka změní podmínky
o technologie - umožní nová řešení
o společenské normy - morální působení na útočníka i obránce
* bezpečnost závisí na penězích
o dobré zabezpečení = bezpečnost je v souladu s finanční motivací zúčastněných
* definice odpovědnosti
o pokud je příliš vysoká -> zbytečně předimenzovaná opatření
* pojištění
o umožňuje "přenos odpovědnosti"
o proměnné náklady se změní na fixní
o vhodné pro málo častá rizika s vysokými dopady

Bezpečnost mýtů zbavená

* v ideálním světě není bezpečnost potřeba
o všichni by byli čestní a bezúhonní
* nežijeme v ideálním světě
o bezpečnost je skrytá všude
* bezpečnost se stále vyvíjí
o srovnání s hrou
+ dva hráči (útočník a obránce), vyvíjející se strategie
+ akce a protiakce
+ dynamická záležitost
+ "hraje" se o důležité věci (... až o životy)
+ narozdíl od hry se průběžně mohou měnit pravidla
+ nikdy nekončí
* dělení informací
o informace, které známe
o informace, které neznáme
o informace, o kterých nevíme, že je neznáme
* rozumná bezpečnost není založená na strachu
* bezpečnost není nikdy absolutní
* jedinec i společnost ovlivňuje úroveň bezpečnosti
* pro skutečnou bezpečnost je potřeba
o znát útočníka
o znát typy útoků
o znát druhy obran
o znát pravidla, postupy a systémy
o znát vliv jednotlivých účastníků
o správné vyhodnocení rizik a kompromisů
o racionální uvažování beze strachu
* bezpečnos může selhat
o nic není dokonalé
o některá rizika je nutné akceptovat
* bezpečnost se stále vyvíjí, nikdy nekončící proces
* bezpečnosti mohou rozumět všichni
o technologie není tak složitá, detaily nejsou důležité
o je v zájmu každého zajímat se o "svou" bezpečnost
* Schneieroviny
1. Scheierova demystifikace rizik
o důležitá jsou čísla (statistika)
o je nutné porozumět hrozbám, rizikům, efektivnosti protiopatření
o vybrat rozumný kompromis
2. Scheierova demystifikace utajení
o bezpečnost založená na utajení je křehká, přináší další rizika
o znemožňuje mít dostatek informací pro rozumný kompromis
o kvalitní bezpečnost je otevřený (známý) systém bez tajemství
3. Shchneierova demystifikace přístupů (agenda)
o jednotlivý účastníci ovlivňují bezpečnost - je kritické porozumět jejich přístupu
o nelze akceptovat slepé argumenty "To je pro bezpečnost" při obhajování protiopatření
o každý přístup je ovlivněn emocemi účastníků (!)
* strach je hranice mezi ignorancí a porozuměním
!941!!1024!!941!

reagovat