Dnes máte bezpečnost jako obyvatelé středověkého města za hradbami

22. listopadu 2002
Computer 22/02 SDÍLET NA FACEBOOKU TWEETNOUT
V Praze se tento týden konal seminář s názvem Internet Security: Then and Now, který mimo jiné zahrnoval přednášku Američana Petera H. Saluse (Matrix NetSystems) představující poněkud jiný pohled na věc než ten standardní.
Úvodního slova na semináři pořádaném sdružením EurOpen.Cz se ujal Petr Koubský, který hovořil spíše o sociálně-politických otázkách bezpečnosti na Internetu. Má stát určité bezpečnostní zásady pouze doporučovat nebo je přímo prosazovat zákonem? Jak by se potom dal takový zákon vynucovat (nebylo by to podobné jako s copyrightem) a je akceptovatelné z toho plynoucí omezení svobod? Nese uživatel zodpovědnost? Zazněla i polemika o vhodnosti a vzájemném vztahu řešení problémů bezpečnosti legislativní cestou vs. cestou přímého vynucování mechanismy v hardware či software. Nebo je kód zákon („code is law“), jak tvrdí Lawrance Lessig? To jsou však všechno velmi obecné věci a asi na ně ani neexistuje konkrétní odpověď.

Více do hloubky zaměřenou přednášku měl pan Jan Müller ze společnosti I.CZ. Rekapituloval vývoj internetu z hlediska jeho bezpečnosti až po současný stav a možné trendy do budoucna. Zdůraznil při tom, že internet nebyl stavěn jako síť zaměřená na „bezpečnost“, ale pouze na propustnost (ve smyslu: informace musí projít) a distribuovanost. Když se později začala řešit bezpečnost, bylo nutno nové mechanismy naroubovat na již existující síť, již existující protokoly, data. Problémů z toho pramenících je mnoho.

Tuto linii myšlení však utnul Peter Salus. „Když si pokojně sedíte za firewallem a každý ve vaší společnosti používá hesla a kryptografii, máte bezpečí? Ne. Vaše data mohou být zabezpečena proti změně nebo krádeži, vaše intelektuální vlastnictví může být nedotknutelné, ale obchod si vyžaduje transakce. Bez objednávek, předávek a ostatní komunikace bude váš obchod trpět. [...] Jinak řečeno, máte asi takovou bezpečnost jako obyvatelé středověkého města za hradbami.“

Pan Salus je totiž toho názoru, že klasická bezpečnost je relativně dobrá, na druhé straně má však cenu zabývat se i tím, zda vůbec mohou data od vás odcházet a k vám přicházet. To ilustroval na mnoha grafech týkajících se různých událostí. Takové grafy společnost Matrix NetSystems vytváří na základě analýzy obrovského množství dat, které pramení ze scanů internetu, jež provádí v pravidelných intervalech po celé zeměkouli. Na zemětřesení v Northridge, 1994, například ukázal, jak primární příčinou dočasného obrovského pádu dostupnosti nebyla přímo fyzická destrukce počítačů, ale druhotný výsledek výpadku dodávky elektrické energie, nebo jak jeden k zemi neukotvený rack v serverovně shodil při svém pádu i druhý. Jak je bezpečnost firem ohrožena v důsledku událostí, které se prostě nedají předpovídat ani se jim nedá nijak zabránit, dokazuje i jiná příhoda, která způsobila výrazný druhotný pokles dostupnosti strojů na internetu krátce po 9/11. Prostě přestaly fungovat záložní generátory elektrického proudu v důsledku ucpání vzduchového filtru obrovským množstvím prachu, který tehdy v New Yorku byl.

Na řadu přišlo ještě mnoho dalších událostí jako přerušení kabelů, ať již podmořských či pevninských, zmatkování providera po vyhlášení bankrotu, kdy byly servery prostě vypnuty, nebo různé DoS útoky. Je jistě zajímavé sledovat nejen prvotní pád dostupnosti, ale také to, jakým způsobem se síť zotavuje a jaké druhotné komplikace mohou nastat. Mým cílem však není Peterovu přednášku opisovat a proto pokud vás problematika zaujala, některé grafy z prezentace jsou k dispozici zde, různé další pak zde.

Zajímavá byla otázka z publika, zda taková data a jejich okamžitá analýza může nějak pomoci v otázce včasného varování před nastupujícím virem nebo třeba počínajícím DoS útokem. Pan Salus věří, že ano, ne k úplné prevenci, ale k zabránění nejhoršímu. Na to by ale bylo potřeba mnoho velmi zkušených lidí pro okamžitou analýzu dat a mnohem více financí, než v současnosti Matrix NetSystems má, zatímco vláda zatím zřejmě sleduje jiné cíle.

Svým způsobem mu však oponuje Daniel Cvrček z VUT v Brně, který v druhé části své závěrečné přednášky nastoluje problém Warhol wormů, flash wormů a stealth wormů, jak jsme o nich již psali. Před takovým bleskovým zásahem vás totiž nemůže varovat ani ten nejlepší tým expertů včas.

Kontrast přednášek různých lidí názorně ukázal, že o bezpečnost na internetu je nutno se starat z obou stran, jak o hesla/kryptografie/systém bez chyb, tak o dostupnost služby ven/dovnitř a počítat s tím, že některým bezpečnostním rizikům, především těm z druhé kategorie, zabránit nemůžeme a tak je např. pošetilé pokoušet se o něco jako „absolutní bezpečnost“ v kategorii první, když nemáme pořádně vyřešenu tu druhou.

Diskuze (3) Další článek: Computer 22/02

Témata článku: Internet, Bezpečnost, Nejhorší stav, Bankrot, Matrix, Existující síť, Různé kategorie, Zajímavá příhoda, Obrovské množství, Vyhlášení bankrotu, Hrad, Elektrická síť, Včasné varování, Obyvatelé, Středověk, Obrovský smysl, Warhol, Primární data, Záložní generátor

Určitě si přečtěte


Aktuální číslo časopisu Computer

Jak rychlé je nabíjení bez drátů?

Test 11 sluchátek pro hráče

Aplikace, které vám zachrání dovolenou

Kompletní přehled datových tarifů