Vdor v spletni sistem državnega izpitnega centra ni nič posebnega. Po svetu je ogromno mladih in manj mladih računalniških zanesenjakov, ki vdirajo v sisteme, ne vedno z namenom storitve kaznivega dejanja, temveč verjetno še večkrat zaradi ‘nabiranja trofej’. Takšen ‘računalniški lov’ je najbrž dopusten približno toliko, kot če bi kakšen, denimo, ključavničar, svoje znanje dokazoval z odklepanjem/vlamljanjem v stanovanja. (Ali pa bi se našel junak, ki bi si tudi takšno početje upal javno opravičevati kot dobronamerno ‘preventivno početje’ izvedenca?)
Pa pustimo to. V včerajšnjem Dnevniku je neimenovani strokovnjak vdor pripisal dejstvu, da RIC uporablja Microsoftov strežnik IIS in kot eno od možnih rešitev predlagal uporabo programske rešitve IBM. Če ne drugega, pravi, IBM povrne škodo, nastalo ob vdoru. Hm, dvomim, da je bistvo problema uporabljena programska rešitev. Ne gre namreč za to, da so hekerji vstopili skozi vrata, ampak za to, da so si, po vsem sodeč, nemoteno postregli že kar takoj za njimi. Ker je izpitni center pač hranil nekatere podatke v bazah kar na strežniku, neposredno dostopnem preko interneta. Kar je približno tako, kot če bi v banki hranili denar neposredno za vhodnimi vrati. (A vsi vemo, da morajo bančni roparji vlomiti še veliko vrat, preden se prebijejo do trezorja, v katerem je shranjen denar.)
Sodobno zasnovani sistemi, ki omogočajo dostop zunanjih uporabnikov preko namenskih aplikacij do podatkov, teh prav tako ne hranijo kar na strežniku, ki je neposredno (čeprav po varnem SSL protokolu) dosegljiv iz interneta. Vdor na tak strežnik potem hkrati pomeni tudi dostop do vseh podatkov, ki se na njem nahajajo. Baze podatkov, do katerih preko posebnih mehanizmov dostopajo zunanji uporabniki, pa morajo biti globoko za požarnimi zidovi v notranjosti sistemov. Do njih, vsaj v tistih najbolj varnih rešitvah, ni nikoli omogočen neposreden dostop od zunaj, ampak izključno preko tako imenovanih demilitariziranih con, preko katerih aplikacije, ki so bolj v globini sistema, servisirajo zahteve, ki prihajajo iz zunanjega sveta.
Če zadevo ponovno ponazorim s primerom banke. Varčevalcu, ki pride po svoj denar na banko, ni omogočeno, da seže s svojo roko v trezor, temveč zahtevo sporoči uslužbencu, ki mu potem, ko preveri njegovo identiteto, izroči ustrezno vsoto. Tudi uslužbenec za okencem za stranke ne more po gotovino v trezor kar sam, temveč mora svojo zahtevo sporočiti tistemu, ki sedi za naslednjimi vrati in tako naprej. Ključno pri vsem tem je, da tisti, ki se nahaja na točki zunanjega uporabnika, tudi če bi to želel, ne more priti do vseh oziroma najbolj skrbno varovanih podatkov, saj mu to preprečuje zasnova sistema.
Arhitektura spletnih sistemov mora torej dosledno spoštovati pravilo, da nekdo od zunaj proti notranjosti vstopi le skozi ena vrata, ‘odloži’ svojo zahtevo ter tam počaka na morebiten odgovor. Zahteva pa lahko potuje v notranjost zgolj tako, da jo k sebi ‘potegne’ tisti, ki se nahaja za naslednjimi vrati. Ob tem sta kajpak nujna dosledna avtentikacija uporabnikov s pomočjo digitalnih potrdil in kriptiranje podatkov z javnim ključem ponudnika storitve. Tako je možnost, da ob vdoru v sistem nepridiprav pride do kakršnih koli koristnih podatkov, zmanjšana na minimum.
Iz skopih podatkov v medijih sklepam, da je sistem državnega izpitnega centra nepridipravom vsaj z uporabniškimi imeni in gesli postregel že kar na zunanjem strežniku. Še tako prefinjena programska oprema ob tako začetniški zasnovi sistema ne more preprečiti ‘odtekanja’ zaupnih podatkov. V državnem izpitnem centru bi zato verjetno najprej morali razmisliti o reviziji zasnove celotnega spletnega sistema s stališča varnosti. Za začetek jim nemara lahko pomaga tudi kateri izmed ‘lovcev’, ki so razkrili malomarnost države pri varovanju osebnih podatkov.
Pa ne, da bi ta država res rada že prihodnje leto imela e-volitve, kakor jih je sinoči na RTVS napovedal minister Gregor Virant? Da bo potem malodane vsak veseljak lahko ugotovil še to, kako je kdo volil.
Genialen tekst; se pravi je Virantova dilema naslednja: kako poceniti drzavno upravo in hkrati zadosti placati dovolj (bivsih) hekerjev za varno izvedbo e-volitev?
Po mojem večina niti nima takšnega kadra, ki bi lahko resno ocenil tveganja pri takih sistemih, saj so informatiki, eden ali dva, ponavadi še hišniki, prenašajo računalnike, vlečejo kable in malo še administrirajo kakšne strežnike nameščene tako, kot se namesti sistem privzeto ob prvi namestitvi. Brez popravkov.
Po moje takega sistema ne daš na internet, dokler ti neka ekipa ljudi, ki se spozna an varnost, ne naredi temeljite analize, preveri vse varnostne luknje (orodja kot so recimo razni nessusi) in znajo razmišljati kot napadlaci. Kar nek informatik s ceste o tem nima pojma, orodja za vdore so pa danes tako dobro napisana, da je zadeva včasih že grozljivo prelahka in sploh ne gre za izziv več.
Saj teorija je tu jasna, v praksi pa vem iz lastne prakse da padeš dol od smeha. Samo večina kljub vsemu ne vdira kar v računalniške sisteme iz dolgčasa, tako kot ne greš po Tivoliju in vlamljaš v avtomobile, ker imaš preveč časa.
Klasičen problem javnih razpisov v IT.
Naročnik (državna institucija) pripravi razpis, po možnosti z vnaprej določenimi tehničnimi & arhitekturnimi okviri, izvajalec pa potem izvede, kar je za izvesti… in naročnik dobi, kar je naročil.
Včasih dela… pogosto pa je naročeno & dobljeno rahlo rjavo in aromatično.