CIA – czyli Confidentiality, Integrity, Availability. Teraz często mówi się o CIAA, ponieważ do tej trójki pojęć doszło nam jeszcze Accountability. Jest to bardzo ważny temat, który powinna poznać każda osoba w biznesie – czy to szef, czy szeregowy pracownik, czy też osoba odpowiedzialna za bezpieczeństwo..

Wstęp

Wiedza na temat Confidentiality, Integrity, Availability ułatwia pracę z ludźmi. Ułatwia to też zrozumienie przez użytkowników, jak pracują specjalista od spraw bezpieczeństwa. O tym, że dążą oni do złotego środka. Każdy człowiek szuka najlepszego rozwiązania — tak samo robią bezpiecznicy, by pracownikom nie niszczyć życia miliardami procedur.

Ale też, by aplikacje czy cokolwiek innego było na tyle bezpieczne, by można to było wypuścić w świat. I nie bać się, że zaraz zostanie zdjęte lub tez przejęte zostaną dane na nich zawarte czy sam kod aplikacji. Tak jak na przykład w tym przypadku.

Ja zawsze na każdym szkoleniu powtarzam pracownikom firmy, że jeśli nawet nie dbają o dane klienta, to niech dbają o swoje. Często nawet bez zgody przełożonych przetrzymujesz zdjęcia, filmiki i inne prywatne rzeczy na służbowym komputerze.

Czy chciałbyś, aby wyciekło to do internetu? No dobrze, załóżmy, że nie jesteś taką osobą i nie trzymasz prywaty na komputerze służbowym ;). Ale i tak musisz pamiętać, że zatrudniając się w swojej firmie, podałeś wszystkie swoje dane i to te wrażliwe, takie jak adres zamieszkania czy numer konta.

Pewnie zdarzyło Ci się raz czy dwa zapłacić kartą kredytową ze służbowego komputera. Pamiętaj, wszystko zapisuje się w logach.

Nie sądź, że jako jedyny zostaniesz ominięty i Twoje dane nie zostaną wykradzione. A na pewno byś nie chciał tego doświadczyć. Więc musisz, tak jak wszyscy inni, dbać o bezpieczeństwo w firmie, w której pracujesz.

Choćbyś już z tej firmy odchodził czy nie lubił szefa – powinieneś przyglądać się innym i zgłaszać braki w edukacji czy błędy do działu bezpieczeństwa. Po to, by poprawić bezpieczeństwo TWOICH DANYCH.

Nie jest to kablowanie, raczej nikt jeszcze nie został zwolniony za tego typu błąd czy niedopatrzenie w sferze bezpieczeństwa (przynajmniej jeśli nie było to nic poważniejszego). Na pewno popełniasz sporo takich błędów – tak jak i ja – ale na błędach trzeba się uczyć. A ekipa od bezpieczeństwa ma wiedzę, jak pomóc i przekazać najlepsze praktyki dla pozostałych pracowników. OK, po tym przydługim wstępie zaczynajmy:).

CIA: Confidentiality

Poufność jest jednym z głównych celów bezpieczeństwa informacji. Uczą nas, by nie czytać cudzej korespondencji. Nie otwieraj cudzego listu, mówią. No ale co zrobisz, gdy ciekawość Cię zżera lub możesz na tym zarobić?

By tego uniknąć i zachować poufność danych, korzysta się z różnych technologii – między innymi z kontroli dostępu oraz szyfrowania.

Kontrola Dostępu

Tak zwane ACL, czyli Access Control List, są to listy tworzone przez administratora w celu zezwolenia lub zabrania Ci dostępu. Możesz stworzyć taką listę, na przykład w Windows czy Linux poprzez kliknięcie prawym przyciskiem myszy na folder.

Przejdź do ustawień i do zakładki Security. Tam możesz dodać lub usunąć konto użytkownika, które będzie mogło mieć dostęp do tego folderu. ACL można też spotkać w routerach czy firewallach, lecz nie tylko.

Szyfrowanie

Kontrola dostępu nie jest jednak wystarczającym zabezpieczeniem, by zachować poufność danych. Musisz też wszystko zaszyfrować – bez tego dane będą dalej wrażliwe na przejęcie, czy będziesz gdzieś w drodze, czy na w miejscu.

Gdy skopiujesz pliki z serwera na swój komputer, nie obowiązuje tam ACL stworzony na serwerze. Więc wystarczy skopiować do siebie plik i można z nim zrobić, co się chce. By tego uniknąć, pliki trzeba zaszyfrować.

Włączenie szyfrowania w bazie danych czy na serwerze pozwala nam się uchronić w przypadku, gdyby jakimś trafem ktoś dostał się do naszego serwera fizycznie i próbował przejąć dane.

I tu jest dla Ciebie zadanie: tutaj jeśli nie masz zaszyfrowanego dysku, spróbuj dostać się do systemu z poziomu naprawy komputera. W Windows wyłącz komputer, uruchom ponownie wciskając F8 (sposób może się różnić zależnie od modelu komputera).

Następnie otwieramy tam odzyskiwanie Windows i cmd. Zobacz, co możesz zrobić. W wypadku Linuxa jest podobnie. Możesz też użyć bootowalnego pendrive lub płyty. I później zaszyfruj sobie dysk i spróbuj zrobić to samo ;).

A co do szyfrowania w ruchu, przetestuj tak samo. Najlepiej sprawdzić samemu, by poczuć różnicę. Zainstaluj sobie na komputerze Wireshark, odpal skanowanie i sprawdź, co widzisz, jeśli wyślesz wiadomość nieszyfrowaną. A później sprawdź to samo, tylko z zaszyfrowaną wiadomością.

Steganografia

Jest to rzadziej używana forma zachowania poufności. Częściej przez hakerów niż w firmach. Zaszywasz w zdjęciu tekst. Ja po odebraniu odbieram to zdjęcie i wyciągam tekst, który zaszyłeś w zdjęciu. Jest do tego bardzo dużo gotowych aplikacji. Nawet na Androida – wystarczy poszukać 🙂

CIA: Integralność danych

Integralność to nic innego jak zapewnienie, że dane, które wysłaliśmy, są tymi samymi, które odebraliśmy. Oraz że jeśli przechowujesz coś na dysku, to w trakcie Twojej nieobecności nie zostanie to zmienione lub podmienione.

Hashing

Do upewnienia, przy przesyłaniu przez internet, system oblicza dane przez matematyczny algorytm znany jako hashing algorithm, który generuje wartość hasha. Hash ten wysyłany jest wraz z danymi do odbiorcy.

Później system docelowy przeprowadza przechodzi przez ten sam matematyczny algorytm i generuje hash value. Następnie można porównać wartości hash, które otrzymaliśmy i te, które wyliczył nasz komputer, by dowiedzieć się, czy plik, który otrzymaliśmy, na pewno jest plikiem, który chcieliśmy ściągnąć. Dałem Ci przykład w jednym z poprzednich artykułów tu (Jak bezpiecznie ściągać software): jak sprawdzić hash pliku.

Digital signature: Podpisanie wiadomości kluczami też jest jedną z opcji integralności. Jeśli nie wiesz jeszcze dużo kluczach, to spokojnie – będę o tym pisał, ale to dość sporawy temat i byłyby dwa artykuły w jednym.

Niezaprzeczalność (nonrepudiation) jest to brak możliwości zaprzeczenia, że brało się udział w wymianie danych. Często tak jest ze ludzie nie chcą przyznać się do błędu lub do zrobienia czegoś jak w przedszkolu :). Wtedy wchodzi nie zaprzeczalność i można ja sprawdzić za pomocą na przykład podpisu cyfrowego.

CIA: Availability

Dostępność jest to trzeci cel w bezpieczeństwie informacji w CIA. Jest to proste pojęcie – dane powinny być dostępne, kiedy są potrzebne. Możemy to osiągnąć na przykład za pomocą robienia backupu czy też patchowania systemu (trzymania go up to date), tworzenia hot/cold center czy zrobienia BCP i audytowania.

Jest tych tematów tutaj sporo, nie będę ich tu dokładnie opisywał. W przyszłości opiszę je i tutaj zalinkuję artykuły, więc spokojnie. Ważne, byś teraz wiedział, że chodzi tutaj o to, aby dostęp był wtedy, kiedy jest on potrzebny.

CIA: Accountability

Od jakiegoś czasu uznaje się, że do CIA doszło trzecie A. Więc teraz mamy CIAA – ostatnie „A” odpowiada za Accountability, czyli odpowiedzialność. Czyli jeśli ktoś zmodyfikuje czy usunie plik, będzie można sprawdzić, kto to zrobił. Nie będzie dało się powiedzieć „nie, to nie ja”.

Można to zrobić za pomocą logów, zbierane są one cały czas przez różne systemy, np. routery, firewalle aplikacje. Cały czas wszystko jest logowane. Zajrzyj sobie do Event viewer w systemie Windows – zobaczysz, jak wiele tam jest zapisane, a to jest czubek góry lodowej.

CIAA

Nie spodziewałem się, że aż tak się rozpiszę:) Jest to dosyć prosty temat, założenie jest, by dążyć do złotego środka. Wszystko musi być poufne. To, co wysłałeś, ma się zgadzać z tym, co otrzymałeś. Plik ma być dostępny dla użytkownika, kiedy to potrzebne.

Podsumowanie

I ta ostatnia cegiełka, czyli odpowiedzialność za to, co się zrobiło. Pamiętaj, nie jest to łatwe, jest bardzo dużo pracy, by wprowadzić to w firmie. Ale pracę trzeba zacząć od razu i wprowadzać pomału stopniowo, ale kroczek po kroczku.

Zapraszam do ocenienia artykułu, by poinformować mnie jak i przyszłych czytelników o jego wartości.

Pozdrawiam – Pusz 🙂