Ako ste mislili da talog od kafe (soc) ima nekakve veze sa ovom pričom, varate se. Mi ćemo se baviti uvodom u informacionu bezbednost, a SOC je samo jedan od termina koji su preuzeti iz engleskog jezika i upotrebljavaju se u formi koju je još Vuk propisao – piši kao što govoriš.
Šta je SOC?
Da bismo ustanovili šta je to informaciona bezbednost, krenućemo polako od pojmova kojima nas zasipaju eksperti iz ove oblasti.
SOC (ili SOC, engl. Security Operations Center) nije, kao što smo ustanovili, talog od kafe, već je jedan od osnovnijih termina za opisivanje odeljenja (tima zaposlenih) pri nekoj organizaciji koja se bavi informacionom bezbednošću.
Takođe se, mada ređe, može pojaviti i ISOC (engl. information security operations center), ali se to retko upotrebljava zbog mešanja sa istim akronimom koji označava internet zajednicu (ISOC – engl. Internet SOCiety). Mnogo interesantniji bi bio akronim na srpskom jeziku kada se prevede sa engleskog – BOC (Bezbedonosno Operativni Centar).
Šta je CERT?
Ukoliko se formira tim stručnjaka koji ne obuhvataju samo jednu organizaciju, već se bave širim internet prostorom, onda se za ovakav tim stručnjaka koristi naziv CERT.
Po definiciji koju je dala ENISA, Agencija EU za mreže i informacionu bezbednost, CERT (engl. Computer Emergency Response Team) obezbeđuje ključni mehanizam za zaštitu kritične informacione infrastrukture (engl. CIIP – Critical Information Infrastructure Protection).
Svaka zemlja mora da ima mogućnost da efektivno i efikasno odgovori na informaciono bezbednosne incidente, odnosno internet incidente, kako se kod nas kaže. CERT je, naime, primarni bezbednosni provajder za vladu i građane neke zemlje. Pored toga, CERT mora da podiže svest i edukuje ljude o postojanju i prevenciji od internet incidenata.
Mali dodatak – oznaka CERT je u nedavno usvojenom Zakonu o informacionoj bezbednosti Republike Srbije, iako engleski akronim, posrbljena i proglašena za naziv koji se piše ćirilicom.
Kako SOC i CERT funkcionišu u praksi?
Sve ovo je lepo rečeno, ali šta to zapravo znači?
Uzećemo primer najobičnije ekspoziture neke banke.
Unutar svake naići ćete na osobu koja ima obeležje „Obezbeđenje“ ili „Security”. Često te osobe imaju i značke nalik policijskim. Šta one obezbeđuju i zašto stoje u bankama i onako ispitivački promatraju posetioce banke? Odgovor koji se sam nameće je – oni štite prvenstveno novac, ali i papire, zaposlene i sve ostalo što poseduje jedna banka u toj ekspozituri. Novac se nalazi svuda – u fiokama iza šaltera banke, u bankomatima, sefovima, ali i u vašim novčanicima. Da li štite sve ili samo određene? Banka je svakako odredila prioritete, i ukazala ljudima iz obezbeđenja šta je primarno da se štiti, šta je sekundarno, a šta se radi ako je sve u redu.
Verovatno ste primetili da većina njih pomaže klijentima da pronađu šalter, nudi im pomoć i odgovara na pitanja, iako nisu zaposleni u banci. Takođe, ponekad priđu nekome i postave koje pitanje, što čine preventivno.
Ono što radi obezbeđenje u banci jeste ustvari uloga CERT-a (ili SOC-a) na internetu. CERT ima određeno polje delovanja, određene prioritete i kritičnu infrastrukturu koju štiti, ali ne štiti novac, već informacije, sajtove i sve što se nalazi na delu interneta koji se štiti. Takođe, CERT i SOC deluju edukativno, pomažu korisnicima i podižu svest ljudi o tome da je pitanje sigurnosti vrlo važno pitanje. Skoro sve isto kao i fini čika iz obezbeđenja u banci.
U okviru CERT-a radi tim IT eksperata u oblasti bezbednosti, čiji je glavni posao da odgovaraju na kompjuterske bezbedonosne incidente. Tim pruža neophodne usluge da bi odgovorio na te incidente i pružio podršku zainteresovanim korisnicima kako bi osposobili i prevazišli tako izazvane nedostatke kompjuterskog sistema. Sa ciljem da ublaže rizik i minimalizuju broj traženih odgovora, većina CERT-ova takođe izvršava preventivne i obrazovne usluge za korisnike interneta.
Vrste i definicije internet incidenata
Kada smo ovo pojasnili i utvrdili, sada treba razjasniti šta su to zapravo internet incidenti. Obezbeđenje u banci je tu zbog zaštite od krađe novca ili krađe osetljivih papira, a šta i od čega štiti CERT?
Kvalitetna definicija šta je „incident“ ne postoji, jer se vrste incidenata menjaju i prate tehnološki napredak kompjutera. Možda je bolje navesti vrste incidenata, koje same po sebi objašnjavaju šta spada u zadatak jednog CERT-a:
- Napad – pojedinačni pokušaj neovlašćenog ulaska u kompjuterski sistem ili nevlašćeni pokušaj korišćenja kompjuterskog sistema, bez obzira na ishod.
- Agregacija podataka – kombinovanje naizgled bezopasnih upita da se prikupe poverljive informacije.
- Denial of Service (DoS) – namerna degradacija ili blokiranje rada kompjuterskog ili mrežnog sistema slanjem velike količine zahteva na obradu, čime se napadnuti sistem preopterećuje.
- Login spoofing – lažna procedura ulaska u sistem kako bi se neovlašćeno dobili podaci za ulazak (korisničko ime i lozinka).
- IP spoofing – metod kojim se menja zaglavlje poruke u komunikaciji da bi izgledalo da ona dolazi sa druge IP adrese, kako bi kompjuteri u komunikaciji dozvolili pristup toj poruci.
- Mail spam – neovlašćeno slanje pošte čiji sadržaj omogućava da se ciljani kompjuter zarazi, preuzme ili postigne prestanak njegovog rada.
- Salama tehnika – uzimanje vrlo male količine novca u novčanim transakcijama, kako se krađa ne bi primetila, a da se stekne velika novčana dobit kroz ponavljanje.
- Sniffer – program koji neovlašćeno nadgleda i snima podatke na kompjuterskom ili mrežnom sistemu.
- Trojanski konj – program koji radi ono što bi i trebalo da radi, ali istovremeno izvršava i neželjene operacije.
- Rootkit – program koji ima osobine i sniffer-a i Trojanskog konja, a služi da na ciljanom kompjuterskom sistemu otvori „zadnja vrata“ (engl. Backdoor) kroz koja onda napadači pristupaju sistemu.
- Botnet – kompjuteri umreženi putem interneta koji izvršavaju niz komandi sa ili bez znanja vlasnika. Tipičan primer su P2P (torenti), ali se botnet najčešće koristi za distribuciju email spama i za DoS napade distribuirane putem interneta (skraćeno DDoS (distribuirani DoS)).
- Difejsovanje sajtova – upad na sajt, najčešće krađom lozinke, i promena naslovne stranice (nekada i drugih stranica) sajta.
Postoji još mnogo vrsta napada, jer su napadači izuzetno maštoviti, prate razvoj tehnologije i koriste sve moguće rupe u softveru (ili hardveru) kako bi napravili neki napad i ostvarili neku korist.
Kao i kod finog čike koji radi u obezbeđenju banke kome je naznačeno šta mora da brani po svaku cenu, i ovde institucija koja organizuje prvu liniju internet odbrane (CERT) u svojoj organizaciji, prema svojim procenama, definiše šta je kritična infrastruktura – deo mreže i kompjuterskih resursa ili servisa, koji ne sme da prestane da radi ko god i kako god ga napadao, kako bi se osigurao minimalan normalan rad te organizacije.
Ukoliko se organizuje CERT na nivou države (najčešće se zove nacionalni CERT), država mora da propiše šta je kritična infrastruktura, gde spadaju svi internet resursi koji se brane „po svaku cenu“.
Karike u lancu delovanja CERT-a
Za kraj je ostalo da se pojasni kako CERT zapravo radi.
Prvo i osnovno pitanje jeste kako on saznaje da postoje internet incidenti. Postoji više načina – povremenim ili stalnim nadgledanjem kritične infrastrukture, dojavom samih korisnika (od pojedinačnog korisnika, do državnih službi), dojavom provajdera (bilo hosting ili uopšte internet provajdera) ili dojavom drugih CERT-ova.
Kako bi bilo koji CERT dobio ovakve informacije, osnovno je međusobno poverenje svih pobrojanih, poverenje u taj konkretni CERT da će preuzeti da se bori i odbrani od napada. Veoma dobra paralela se u ovom delu može povući između IXP-ova (Internet eXchange Point) i CERT-a, jer se osnovni zadatak CERT-a (da primi dojavu i obavesti tehnički kontakt napadnutog resursa) može predstaviti i kao Incident eXchange Point (IXP).
Sticanje poverenja je podjednako važno kao i same tehnike borbe, što je sledeće pitanje: kako CERT organizuje odbranu? U zavisnosti od napada ili samo najave napada, CERT odgovara na različite načine.
Tehnike koje se koriste su razne, baš kao i vrste incidenata. A o tome nekom drugom prilikom.