Од соца до церта

Да бисмо установили шта је то информациона безбедност, упознаћемо се прво са појмовима којима нас засипају експерти из ове области.

Ако сте мислили да талог од кафе (соц) има некакве везе са овом причом, варате се. Ми ћемо се бавити уводом у информациону безбедност, а СОЦ је само један од термина који су преузети из енглеског језика и употребљавају се у форми коју је још Вук прописао – пиши као што говориш.

СОЦ

Да бисмо установили шта је то информациона безбедност, кренућемо полако од појмова којима нас засипају експерти из ове области. СОЦ (или SOC, енгл. Security Operations Center) смо установили да није талог од кафе, већ је један од најосновнијих термина за описивање одељења (тима запослених, одељка...) при некој организацији које се бави информационом безбедношћу. Такође се, мада ређе, може појавити и ISOC (енгл. information security operations center) али се то ретко употребљава због мешања са истим акронимом који означава Интернет заједницу (ISOC – енгл. Internet SOCiety). Такође, много интересантнији би био акроним на српском језику када се преведе са енглеског – БОЦ (Безбедоносно Oперативни Центар).

ЦЕРТ

Уколико се формира тим стручњака који не обухватају само једну организацију, већ се баве ширим интернет простором, онда се за овакав тим стручњака користи назив ЦЕРТ. По дефиницији коју је дала ENISA (www.enisa.europa.eu, агенција ЕУ за мреже и информациону безбедност), ЦЕРТ (енгл. Computer Emergency Response Team) обезбеђује кључни механизам за заштиту критичне информационе инфраструктуре (енгл. CIIP - Critical Information Infrastructure Protection ). Свака земља мора да има могућност у свом поседу да ефективно и ефикасно одговори на информационо безбедносне инциденте, односно интернет инциденте, како се код нас каже. ЦЕРТ је, наиме, примарни безбедоносни провајдер за владу и грађане неке земље. А поред тога, ЦЕРТ мора да подиже свест и едукује људе о постојању и превенцији од интернет инцидената. Мали додатак – ознака ЦЕРТ је у недавно усвојеном Закону о информационој безбедности Републике Србије, иако енглески акроним, посрбљена и проглашена за назив који се пише ћирилицом.

ЦЕРТ фор дамис

Све ово је лепо речено, али шта то заправо значи? Узећемо пример најобичније експозитуре неке банке. Унутар сваке наићи ћете на особу која има обележје „Обезбеђење“ или „Security”. Често те особе имају и значке налик полицијским. Шта оне обезбеђују и зашто стоје у банкама и онако испитивачки проматрају посетиоце банке? Одговор који се сам намеће је – они штите првенствено  новац, али и папире, запослене и све остало што поседује једна банка у тој експозитури. Паре у оквиру простора се налазе свуда по шалтерима банке, банкомату, сефовима, али и у вашим новчаницима. Да ли штите све или само одређене? Банка је свакако одредила приоритете, и указала људима из обезбеђења шта је примарно да се штити, шта је секундарно, а шта се ради ако је све у реду. Вероватно сте приметили да већина њих помаже клијентима да пронађу шалтер, нуди им помоћ и одговара на питања, иако нису запослени у банци. Такође, понекад приђу некоме и поставе које питање, што чине превентивно.

CERT
Извор: pixabay.com

Оно што ради обезбеђење у банци јесте уствари улога ЦЕРТ-а (или СОЦ-а) на Интернету. ЦЕРТ има одређено поље деловања, одређене приоритете и критичну инфраструктуру коју штити, али не штити новац, већ информације, сајтове и све што се налази на делу Интернета који се штити. Такође, ЦЕРТ и СОЦ раде едукативно, помажу корисницима и подижу свест људи о томе да је питање сигурности врло важно питање. Скоро све исто као и фини чика из обезбеђења у банци.

Тачна дефиниција (по ENISA) ЦЕРТ-а гласи „Computer Emergency Response Team (CERT) је тим ИТ експерата у области безбедности чији је главни посао да одговарају на компјутерске безбедоносне инциденте. Тим пружа неопходне услуге како би одговорио на те инциденте и подршку заинтересованим корисницима како би оспособили и превазишли тако изазване недостатке компјутерског система. Како би ублажили ризик и минимализовали број тражених одговора, већина ЦЕРТ-ова такође извршава превентивне и образовне услуге за кориснике Интернета.“

Инциденти: врсте и дефиниција

Када смо ово појаснили и утврдили, сада треба разјаснити шта су то заправо интернет инциденти. Обезбеђење у банци је ту због заштите од крађе новца или крађе осетљивих папира, а шта и од чега штити ЦЕРТ?

Квалитетна дефиниција шта је „инцидент“ не постоји, јер се врсте инцидената мењају и прате технолошки напредак компјутера. Можда је боље дати списак неких познатијих инцидената, који ће сами по себи објаснити шта је све то што спада у задатак једног ЦЕРТ-а:

Напад – појединачни покушај неовлашћеног уласка у компјутерски систем или новлашћени покушај коришћења компјутерског система, без обзира на успех.

Дата агрегација - комбиновање наизглед безопасних упита да се прикупе поверљиве информације.

Denial of Service (DoS) – намерна деградација или блокирање рада компјутерског или мрежног система.

Login spoofing – лажна процедуре уласка у систем како би се неовлашћено добили подаци за улазак (корисничко име и лозинка).

IP spoofing – метод којим се мења заглавље пакета у комуникацији да би изгледало да они долазе са друге IP адресе, како би компјутери у комуникацији дозволили приступ тим пакетима.

Mail spam – неовлашћено слање поште чији садржај омогућава да се циљани компјутер зарази, преузме или постигне престанак рада компјутера.

Салама техника – узимаље врло мале количине новца у новчаним трансакцијама, како се крађа не би приметила, а да се стекне велика новчана добит кроз понављање.

Sniffer – програм који неовлашћено надгледа и снима податке на компјутерском или мрежном систему.

Тројански коњ – програм који ради како је желео корисник, али истовремено извршава и нежељене операције.

Rootkit – програм који садржи sniffer и вирус Тројански коњ, који служе да на циљаном компјутерском систему отворе „задња врата“ (енгл. Backdoor).

Ботнет – умрежени компјутери путем Интернета који извршавају низ команди са или без знања власника. Типичан пример су P2P (торенти), али се ботнет најчешће користи за дистрибуцију email спама и за DoS нападе дистрибуиране путем Интернета (велика количина захтева се шаље на обраду нападнутом рачунару, који услед тога успорава или скроз прекида рад због преоптерећености, скраћено DDoS (дистрибуирани DoS)).

Дифејсовање сајтова – упад на сајт, најчешће крађом лозинке, и промена насловне странице (некада и других страница) сајта.

Постоји још много врста напада, јер су нападачи изузетно маштовити, прате развој технологије и користе све могуће рупе у софтверу (или хардверу) како би направили неки напад и остварили неку корист. Најчешћа корист, у скоро 90 одсто случајева, своди се на новац. Након овога можемо да дефинишемо (не баш прецизно и најбоље) шта је то интернет инцидент: група напада која се издваја тиме што има слична места напада, ниво напада, врсту нападача и технику.

Као и код финог чике који ради у обезбеђењу банке коме је назначено шта мора да брани по сваку цену, и овде институција која организује прву линију интернет одбране (ЦЕРТ) у својој организацији, према својим проценама, дефинише шта је критична инфраструктура – део мреже и компјутерских ресурса или сервиса, који не сме да престане да ради ко год и како год га нападао, како би се осигурао минималан нормалан рад те организације. Уколико се организује ЦЕРТ на нивоу државе (најчешће се зове национални ЦЕРТ), држава мора да пропише шта је критична инфраструктура, где спадају сви интернет ресурси који се бране „по сваку цену“.

Јел троши бензин? Колико?

За крај је остало да се појасни како ЦЕРТ заправо ради. Прво и основно питање јесте како он сазнаје да постоје интернет инциденти. Постоји више начина – повременим или сталним надгледањем критичне инфраструктуре, дојавом самих корисника (од појединачног корисника, до државних служби), дојавом провајдера (било хостинг или уопште интернет провајдера) или дојавом других ЦЕРТ-ова. Како би било који ЦЕРТ добио овакве информације, основно је међусобно поверење свих побројаних, поверење у тај конкретни ЦЕРТ да ће преузети да се бори и одбрани од напада. Веома добра паралела се у овом делу може повући између IXP-ова (Internet eXchange Point) и ЦЕРТ-а, јер се основни задатак ЦЕРТ-а (да прими дојаву и обавести технички контакт нападнутог ресурса) може представити и као Incident eXchange Point (IXP).

Стицање поверења је подједнако важно као и саме технике борбе, што је следеће питање: Како ЦЕРТ организује одбрану? У зависности од напада или само најаве напада, ЦЕРТ одговара на различите начине. Технике које се користе су разне, баш као и врсте инцидената. А о томе неком другом приликом.