Cea mai mare amenintare a securitatii IT: OMUL

[g1_lead]

Urmaream, amuzat, candva, o reclama virala la un produs pe placul barbatilor. Nu sunt misogin, insa statisticile spun ca berea e mai consumata de barbati decat de femei. 🙂 Asadar, la o centrala nucleara, un supervizor al sistemelor de alarma citea linistit ziarul. Dintr-o data, toate alarmele incep sa sune, se produce panica, iar supervizorul o ia la goana inspre “camera tehnica”.

[/g1_lead]

Care credeti ca era problema? O femeie de serviciu care se intampla sa faca curatenie pe acolo mutase sticla de bere din fata hamsterului care era innebunit dupa acea imagine si care incetase sa mai alerge in roata deoarece disparuse din fata lui imaginea la care ravnea. Bineinteles, dupa ce supervizorul a reasezat sticla la locul ei, hamsterul a reinceput sa alerge, roata sa se invarta si totul sa revina la normal.

Tot din aceeasi categorie, o reclama prezinta forfota unui intreg oras la un meci de fotbal de gala al echipei locale. Dintr-o data absolut totul a incremenit, parca era o imagine din “Frumoasa din padurea adormita”. Cum poate banuiti, omul care se ocupa de linia de imbuteliere a sticlelor de bere din oras oprise intreaga productie pentru a ajuta o gargarita prinsa captiva sa isi reia zborul normal in libertate. De indata ce linia de productie a repornit, cu ea si forforta intregului oras.

Reclamele sunt amuzante, atata timp cat asta e scopul lor. Revenind, insa, la scopul acestui blog, si anume de a oferi informatii din sfera IT, nu acelasi lucru pot spune despre momentele cand problemele au cauze umane.

Sa ne imaginam ca femeia de serviciu de mai sus ar fi oprit, din greseala, alimentarea unui intreg datacenter. Sau supervizorul care monitorizeaza buna functionare a serverelor WEB de Black Friday ia o pauza neanuntata pentru probleme personale. Ei bine, lucrurile nu mai sunt atat de haioase.

Imi aduc aminte de o discutie avuta cu un specialist IT din domeniul administrarii retelei unei companii foarte mari. Respectivul se ocupa, in principal, de serviciul de mail al acelei companii. Intr-o zi primeste un telefon de la o angajata a companiei, ce raporta ca are probleme cu mail-ul. Discutia a avut loc, in mare, cam asa:

– Buna ziua, am o problema cu un e-mail
– Buna ziua, care e problema, mai exact?
– Imi spune ca trebuie sa deschid atasamentul, insa nu am nici un atasament

Dupa cateva momente de cercetare prin loguri, adminul isi da seama ca respectivul mail este, de fapt, un spam, cu un atasament ce continea malware. Prin urmare solutia de securitate antispam a companiei respective eliminase fisierul din atasament, transmitand, totusi, textul emailului catre recipient.

– Doamna, mail-ul este transmis din Olanda – asteptati un mail din Olanda?
– Nu
– Aveti rude in Olanda?
– Nu
– Cunoastesti pe cineva din Olanda?
– Si atunci de ce doriti sa deschideti atasamentul?
– Pentru ca ASA SCRIE IN MAIL SI PENTRU CA ASA VREAU EU!

Degeaba a incercat adminul sa ii explice ca nu este un mail legitim, ca atasamentul este infectat, etc, Doamna nu si nu, ca vrea atasamentul. Intr-un final, i-a spus Doamnei ca aceasta este politica firmei de eliminare a atasamentelor din spam si, daca are  o problema cu asta, sa inainteze o plangere oficiala catre conducere. Va dati seama ca acest lucru nu s-a intamplat.

Am si eu o experienta din aceeasi zona a folosirii mail-ului pe care vreau sa v-o impartasesc. Am folosit o solutie de antispam la o companie cu mai multe domenii de Internet. Domeniile respective erau folosite pentru servicii diverse, din zona hoteliera, home delivery, si pentru utilizatorii interni. Politica avansata de antispam presupunea, printre altele, activarea unei optiuni Greylist. Nu explic aici ce inseamna aceasta functionalitate, va las pe voi sa cautati, insa aceasta presupune o mai mica sau mai mare intarziere la primirea unor mail-ul de la senderi necunoscuti pana atunci. Deoarece aceasta intarziere nu era permisa in domeniul hotelier si nici cel de home delivery, am dezactivat aceasta optiune pe politicile respective, ea ramanand activa numai pe politica utilizatorilor interni.

Intr-o buna zi un spam cu malware in atasament a fost transmis catre toate domeniile protejate de solutia respectiva. Bineinteles, utilizatorii interni nu au primit mail-ul respectiv, fiind blocat de solutia antispam. Totusi, ceilalti utilizatori au primit, numai Greylistul fiind capabil sa descopere acel spam. Chiar si asa, dintre cei care au primit acel e-mail, majoritatea au decis sa nu deschida atasamentul, ci sa intrebe mai intai “pe baietii de la IT”. In schimb, un singur utilizator s-a considerat curios si a deschis atasamentul, ceea ce a dus, bineinteles la infectarea sistemului.

Ce vreau sa spun cu toate cele de mai sus este ca oricat de sigura ar parea o infrastructura IT, oricat de mica sau de mare, factorul uman este intotdeauna prezent si joaca, uneori, un rol chiar mai important in deschiderea breselor de securitate catre atacatorii externi decat solutiile de securitate. Cred ca singura solutie ar fi o idee ca securitatea IT sa fie predata inca din bancile scolii.

By the way, ati auzit de Social Engineering?