SAP Global
SAP MAG 21, o�ujak 2005.
Kontaktirajte SAP online ili
nazovite +(01)-4820-400
 
     
 

naslovnica | pošalji članak | ispis

Za borbu protiv spama potrebno je više od zakona

Vlade trebaju pojačati svoje napore, pojedinačno i skupno, u vođenju istraga i kaznenome progonu računalnog kriminala tvrdi vrhunski stručnjak za informatičku sigurnost i etiku Dr. Eugene Spafford

Izvor: SAP INFO

Dr. Eugene Spafford je profesor računalstva, elektrotehnike i računalne tehnike na Svečilištu Purdue, gdje predaje od 1987. Sudjelovao je u niz savjetodavnih odbora i uredništava, međunarodno je priznati autor, istraživač i predavač o pitanjima sigurnosti i etike. Spaffordovi aktualni istraživački interesi odnose se u prvome redu na područjima informatičke sigurnosti, vođenja istraga o računalnom kriminalu i informatičkoj etici. Spaf – kako ga zovu njegovi prijatelji, kolege i studenti – izvršni je direktor Centra sveučilišta Purdue za obrazovanje i istraživanja o informatičkom osiguranju i sigurnosti (CERIAS). Također sudjeluje u niz profesionalnih društava i aktivnosti izvan Purduea, uključujući službu u upravi udruge Computing Research Association, te kao supredsjednik udruge Association of Computer Machinery's US Public Policy Committee. Član je savjetodavnoga odbora za informatičku tehnologiju predsjednika SAD (President's Information Technology Advisory Committee - PITAC) te djeluje kao savjetnik za više od desetak državnih tijela i većih korporacija.

  • Što su po vašemu mišljenju najveće prijetnje za sigurnost poduzeća?

Spafford: Ako prijetnje definiramo kao čimbenike koji mogu iskoristiti slabe točke za prisvajanje dobara, onda najveće prijetnje vjerojatno dolaze od nepoštenog osoblja iznutra i kriminalnih udruga izvana. Osoblje iznutra može biti zainteresirano za prijevaru i/ili krađu usluga, dok kriminalci izvana imaju niz motiva zasnovanih na dostupnim resursima – krađa identitetskih podataka, iznuđivanje i krađa usluga tri su najčešća - no i jednostavni nasumični vandalski postupci, primjerice virusi, također su prijetnja.

  • Što je po vašemu mišljenju prva stvar koju moraju učiniti direktor i njegovo osoblje da počnu osiguravati svoja poduzeća?

Spafford: Razumjeti narav i opseg svoje informatičke imovine. Oni ne mogu uspostaviti obranu ako ne znaju cjelovit opseg i raspored te imovine. Te spoznaje trebaju voditi računa o kritičnosti i vrijednosti  imovine i njezinoj ugroženosti.

  • Brine li vas što se vlade širom svijeta ne uzimaju dovoljno ozbiljno računalnu sigurnost i računalni kriminal?

Spafford: Da, brine me. Vlade trebaju pojačati svoje napore, pojedinačno i skupno, u vođenju istraga i kaznenome progonu računalnog kriminala. ----Treba jače podupirati istraživanje i  primjenu na tom području. Recimo, proračunski zahtjev Ministarstva domovinske sigurnosti za godinu 2005. iznosio je 1.069 milijardi dolara. Međutim, samo 1,67 posto toga iznosa predviđen je za računalnu sigurnost. To je jedna od očitih mjera po kojoj se vidi da vlada ne uzima problem ozbiljno!

Treba pružiti veću potporu aktualnoj istrazi i progonu računalnoga kriminala. Imajte na umu da unatoč više od 100.000 virusa i crvi puštenih u optjecaj u zadnjih 20 godina, te unatoč svim napadima i pričinjenoj šteti, samo nekih 10 autora do sada je bilo identificirano i kazneno gonjeno. To je dijelom tako zbog pomanjkanja sredstava, obuke i državne potpore.

Vlade bi trebale iskoristiti svoju ulogu velikih kupaca – kao i svoje dužnosti čuvara javnih podataka – za davanje dobroga primjera, zahtijevajući kvalitetne proizvode visoke razine sigurnosti, te preferiranjem kupovine takvih proizvoda umjesto najjeftinijih slabih sustava. Vlade trebaju uspostaviti formalne kategorije poslova stručnjaka za računalnu sigurnost u raznim državnim tijelima, te donijeti neke minimalne standarde za te položaje i realno ih nagraditi.

Također trebaju bolje obvezati ponuđače opreme i usluga na neke razumne standarde funkcioniranja radi zaštite javnoga dobra. Na primjer, ponuđači internetskih usluga trebaju filtrirati ili isključiti klijente koji se koriste za spam ili napade uskraćivanjem usluga, ili na drugi način biti učinjeni odgovornima. Primjeri za ponuđače internetskih usluga bili bi:

  • Blokiranje izlaznog prometa s lažnim adresama IP izvora
  • Isključenje klijenata za koje se pokaže da šalju spam
  • Isključenje klijenata koji pogone strojeve s poznatim slabostima

Ponuđači bi možda trebali biti donekle odgovorni za ponudu softvera koji se isporučuje bez automatski uključenih sigurnosnih kontrola, ili koja uključuje slabosti koje spadaju u kategorije nedostataka za koje se zna već desetljećima, primjerice za prelijevanje međuspremnika (buffer overflow). Mnoštvo tih problema dolazi sa "zombie" strojeva – kućnih korisnika i malih poduzeća gdje se strojevi instaliraju i koriste bez ikakvoga znanja o sigurnosti i bez primjene zakrpa.

Najbolje rješenje je isporučivati te strojeve bez nedostataka. Drugo najbolje rješenje je zahtijevati od ponuđača opreme i usluga da osiguraju pregled i krpanje tih strojeva da se smanji rizik za ostali dio zajednice. Kad ponuđači opreme i pružatelji internetskih usluga svaljuju krivicu na krajnje korisnike, to je kao da krivite vozače što im ne valjaju kočnice na autu, ili što im lopovi opljačkaju auto na odmorištima na autoputu.

  • Neki stručnjaci, uključujući i Billa Gatesa, vjeruju da se spam može iskorijeniti za nekoliko godina. Što vi mislite?

Spafford: Mislim da ga se uz određeni napor može smanjiti, ali ne vidim kako ga se može eliminirati bez istodobne eliminacije e-maila ili bez radikalne promjene u načinu rada Interneta. Spam je, djelomice, subjektivan – ono što je jednome spam može biti odlična ideja drugome. Uvijek će postojati neki ljudi koji će ga htjeti u određenoj mjeri!

Trenutno je najveći problem sa spamom taj što oni koji ga proizvode odbijaju poštivati makar neki postupak koji bi dopuštao korisnicima da odluče o tome da ga ne primaju. Varka kojom se koriste kod slanja spama – kako lažni naslovi tako i nedopušteno korištenje tuđih strojeva – samo pojačava problem. Ako uspijemo smanjiti prijevarno korištenje poslužitelja i nametnuti doista čvrstu autentikaciju reklama koje preostaju, onda bismo možda mogli kontrolirati spam... no, upitno je možemo li ga sasvim ukloniti za samo nekoliko godina.

Taj je problem tako velik i složen da je nazvan jednim od velikih izazova CRA.

Ta četiri izazova jesu:

  • Eliminirati epidemijske napade – crvi, virusi, spam, phishing i napadi uskratom usluga.
  • Otkriti kako projektirati i izraditi velike distribuirane računalne sustave koji moraju biti vrlo pouzdani čak i pod vrlo vjerojatnim napadom. Primjeri uključuju medicinske evidencije, policijske baze podataka te financijsko računalstvo.
  • Razviti kvantitativne tehnike za mjerenje računalnih rizika do razine  barem jednake aktualnim tehnikama za mjerenje financijskog rizika. To će nam omogućiti uspoređivanje sigurnosnih rješenja, pravilno mjerenje rizika i ulaganje pravih iznosa u zaštitu naše računalne imovine.
  • Razviti mehanizme koji dopuštaju računalnim korisnicima da postavljaju vlastite razine zaštite podataka i privatnosti na razumljiv, ponovljiv i pouzdan način. Želimo da svaka osoba bude u stanju interaktivno djelovati spram sustava na način koji joj omogućava da izabere koliko informacija želi povjeriti sustavima i na kojoj ih razini želi zaštititi. Ta sučelja trebala bi biti razumljiva i jednostavna za korištenje.
  • Smatrate li da se spam može ukloniti zakonskom inicijativom i imate li kakvih predodžbi na koji način bi se to postiglo?

Spafford: Ne, sami zakoni nisu dostatni. Međutim, oni bi pomogli, ako bi se provodili. Prvo, morala bi postojati kazna za spamere koja bi se aktivno primjenjivala. To bi značilo aktivnu istragu radi pronalaženja spamera i njihova kaznenoga progona. Drugo, trebala bi postojati znatna kazna za one koji pomažu spamerima – trgovce čija se roba reklamira u spamu te koji plaćaju, izravno ili neizravno, proizvođačima spama. Treće, trebalo bi imati i neku vrstu kazne za korisnike i ISP-ove čiji se strojevi koriste za slanje spama.

  • Trebaju li softverske kuće više nastojati oko sigurnosti njihovih proizvoda?

Spafford: Da. One su u najboljemu položaju za izradu sigurnijega softvera koji se lako konfigurira i kontrolira. Na primjer, automobilska industrija ne oslanja se na postprodajne ponuđače za ugradnju zračnih jastuka i roll barova. Mnogi ljudi misle da pomanjkanje svrhovitih tužbi protiv ponuđača pogoršava taj problem – uz neznatnu konkurenciju glede kvalitete proizvoda, neki se ponuđači ne osjećaju potaknutima da rade na sigurnosti svoji proizvoda.

  • Vi ste izjavili da kad je riječ, primjerice o crvima, ništa nismo naučili iz prošlosti. Što ste time mislili?

Spafford: Naučili smo prije 15, 20, 30 godina da trebamo paziti kako programiramo, da trebamo ograničiti mrežne usluge, te da trebamo diversificirati naše okruženje. Iste pogreške u programiranju i projektiranju čine se i danas, sustavi se isporučuju s previše uključenih usluga, te smo još više razvili ranjivu monokulturu nego li ranije. To znači da nismo učili iz prošlosti. Ja sam na tu temu napisao naručeni rad za Konferenciju ACSAC 2003. U osnovi, taj rad ističe da je  – u trenutku pisanja – prošlo 15 godina od kad je napisan prvi poznati crv za Internet … a od tada se malo toga naučilo. Sustavi se postavljaju s neoprostivim propustima, mreže se konfiguriraju s krivo usmjerenim povjerenjem, a reakcija na incidente neusklađena je i s minimalnim učinkom.

  • Kao član predsjedničkog savjetodavnog odbora za informatičku tehnologiju možete li reći kako se u tome odboru razmišlja o računalnoj sigurnosti?

Spafford: Ja vam u ovome trenutku ne mogu govoriti službeno u ime odbora. Međutim, preliminarnu verziju našega izvješća možete naći na Internetu: idite na http://www.itrd.gov/pitac  i pogledajte materijale 19. sjednice iz studenoga. Naši preliminarni nalazi ukazuju na to da vlada treba odigrati važnu ulogu u računalnoj sigurnosti te da je u tome u velikoj mjeri zakazala.

  • Vi ste vanjski savjetnik Nacionalne znanstvene fondacije o računalnoj sigurnosti i programima. Što to obuhvaća?

Spafford: To sam bio. Proveo sam godinu dana od listopada 2003. do listopada 2004. Pomagao sam savjetovati ljude koji tamo planiraju programe za istraživanje sigurnosti, među kojima i program Cyber Trust, glede opsega tematike. Neko sam vrijeme proveo razgovarajući s raznim programskim menadžerima o potrebama edukacije o računalnoj sigurnosti te o interdisciplinarnoj naravi edukativnih i istraživačkih pitanja. Radio sam na nekim posebnim projektima za pomoćnika direktora CISE svezi sa sigurnošću. Bio sam interni savjetnik za CIO. Puno sam vremena proveo kao posrednik s osobljem drugih državnih tijela i vanjskih skupina, objašnjavajući pokušaje i brige NSF-a, te tražeći njihov doprinos i suradnju s NSF-om.

Jednom se je skupina računalnih korisnika i stručnjaka iz cijeloga svijeta okupila na tri dana da raspravi probleme računalne sigurnosti i privatnosti. Kao skupina, pokušali smo sastaviti kratak popis glavnih problema koje je doista važno riješiti, koji neće imati jednoobrazno rješenje, te čije će rješavanje nesumnjivo iziskivati znatan napor.

Nadalje, odabrali smo probleme koji nisu čisto u domeni računalnih znanstvenika i inženjera, te za koje nismo sigurni mogu li se potpuno riješiti za deset godina – ako se uopće i mogu riješiti. Međutim, odabrani problemi dovoljno su važni da bi čak i mali napredak i djelomična rješenja mogla imati dalekosežan učinak na društvo i tehnologiju.

 

 
 

Copyright/Trademark  |  Privacy  |  Impressum