Tema evenimentului de lansare a al numărului 96 / iunie 2020 al revistei a fost Cyber Security iar în acest context am discutat despre provocările de securitate ale aplicaților ce rulează în producție dar și despre programe de descoperit breșe de securitate . Invitații noștri au fost:
Anett Stoica - Security Training & Awareness Lead @ Betfair Romania Development
Cătălin Pătrașcu - Cybersecurity Architect @ NTT DATA Romania
Ciprian Sorlea - CTO @ Nordlogic
Anett Stoica: Mă numesc Anett. Lucrez la Betfair de cinci ani. Am lucrat ca analist de conformitate (Compliance Analyst), am efectuat audit ISO și evaluări terțe. Am fost implicată și în activități de guvernanță business, continuitate în business, iar în ultimii doi ani, m-am axat pe programul Securitate & Conștientizare în ceea ce privește livrarea mai bună a mesajului, înțelegerea importanței securității și înțelegerea modului în care putem livra mai bine informațiile legate de securitate.
Joao Morais: Mă numesc Joao și lucrez cu Anett. Sunt membru al echipei Application Security, mai precis membru al echipei de Penetration Testing. Activitatea mea zilnică presupune identificarea vulnerabilităților din aplicațiile noastre. Ofer suport echipelor noastre interne, explicându-le și rezolvând vulnerabilitățile. Asta am făcut în ultimii trei ani.
Cătălin Pătrașcu: Lucrez ca arhitect de securitate cibernetică la NTT DATA. Anterior, am lucrat pentru sistemul național român, CERT. Am experiență în gestionarea incidentelor de securitate.
Ciprian Sorlea: Sunt CTO la Nordlogic. Suntem o companie software din Cluj. Sunt implicat și în activitatea mai multor startupuri, unde sunt fie co-fondator, fie CTO. De asemenea, sunt membru al consiliului Cluj IT Cluster.
Ovidiu Mățan: Este foarte important să avem un produs sigur. Să vorbim despre analiza de cod. Ce instrumente folosiți pentru analiza de cod?
Cătălin Pătrașcu: Am făcut acest lucru doar de câteva ori și nu este punctul meu forte când vine vorba de securitate cibernetică. Am folosit LGTM, un instrument open-source. Am încercat câteva produse comerciale, dar nu pot vorbi despre acestea. Poate că nu instrumentul de lucru este cel mai important. Avem nevoie de analiză statică de cod, dar nu vom descoperi toate vulnerabilitățile.
Joao Morais: Prima măsură de securitate este o scanare care va ridica niște alarme. Folosim niște produse comerciale, care sunt incluse în fluxul proceselor noastre, acestea scanând orice bucată de cod pe care o lansăm.
Ce presupune securitatea când vorbim de browsere? Care browsere sunt mai sigure?
Anett Stoica: Nu aș întreba care este mai bun sau care este mai rău. Totul se rezumă la ce se potrivește mai bine activităților pe care le desfășoară compania. Trebuie să cunoașteți care sunt aspectele esențiale ale activității companiei. Cel mai bine este să evaluați riscurile și să decideți care sunt riscurile pe care vi le asumați.
Ciprian Sorlea: Contrar părerilor majorității, Internet Explorer este cel mai sigur, deoarece, ia foarte mult timp să dezactivați politicile și setările ce țin de domeniul privat și de securitate. Cele mai sigure aplicații, cele mai sigure browsere sunt cele care oferă securitate fără a vă împiedica să lucrați, securitatea fiind integrată perfect în experiența de lucru a utilizatorului. La nivel de sisteme de operare, îmi place abordarea Apple și cât de ușor se poate uita de grijile legate de securitate. Mulți consideră Chrome cel mai sigur browser, pentru că e unul dintre cele mai populare. Dar, dacă ne uităm la aspectele specifice, sunt multe clone Chrome sau derivate Firefox care sunt mult mai sigure decât browserele propriu-zise. În cele din urmă, nivelul de securitate al fiecărei aplicații sau browser este legat de nivelul de securitate al utilizatorului. Orice browser, orice aplicație sau sistem de operare poate fi sigur sau nesigur în funcție de cel care le folosește. Așa cum știm din Agile, ne axăm nu pe procese și instrumente, ci pe oameni și interacțiuni. Oamenii care sunt conștienți de riscurile de securitate pot lucra cu orice browser sau orice sistem de operare.
Cătălin Pătrașcu: Nu e vorba doar despre browsere. Ca utilizatori, folosim browsere sau extensii de browsere. Orice browser e vulnerabil. Le-aș evalua pe baza modului în care gestionează datele private.
Am primit cu toții notificarea că Adobe Flash nu va mai putea fi folosit. L-ați dezinstalat? Ce decizie ați luat?
Cătălin Pătrașcu: Ar trebui să renunțăm la el.
Când ar trebui să demareze o companie un eveniment bug bounty (vânătoare de bug-uri)?
Joao Morais: Atâta timp cât vă evaluați ca fiind o companie matură, cu echipe tehnice, puteți organiza un astfel de eveniment. Atât produsul, cât și echipa voastră de securitate trebuie să fie foarte mature, deoarece trebuie să implicați mulți oameni și un buget considerabil. Acest eveniment nu se potrivește unui startup.
Cătălin Pătrașcu: Nu aș sfătui o companie să facă nici măcar un test de penetrare dacă nu au fost luate toate măsurile de securitate ce țin de companie. Dacă acea companie știe că are un produs vulnerabil, de ce ai face un test de penetrare? De ce te-ai expune?
Ce se întâmplă cu atacurile de tip phishing? Există vreun browser ce iese în evidență la capitolul securitate?
Anett Stoica: Un aspect important ține de partea tehnică, celălalt, de conștientizarea pericolului. Când vorbim de organizații, vorbim de o infrastructură puternică, de instrumentele potrivite, de filtrare avansată, de protocoale. Când vorbim de utilizatori, Chrome oferă soluții, dar- să fiu sinceră- sunt specialistă în activități de conștientizare, mă întreb: cum îmi pot da seama că am de-a face cu un e-mail de tip phishing? Care sunt semnele la care să fiu atent?
Folosiți AI pentru a identifica problemele de securitate, prin recunoașterea tiparelor comportamentale ale utilizatorilor?
Anett Stoica: Nu folosim AI momentan. Analizăm datele pe care le avem (rapoartele, incidentele) și identificăm tiparele pe parcurs. De exemplu, identificăm e-mailurile externe ce conțin date personale sau confidențiale. Este important să identificăm cauza. Ne folosim de instrumentele noastre pentru acest lucru. Sunt companii care fac analiza datelor comportamentale, care folosesc psihologi pentru a extrage date și a construi tipare.
Toți au fost și sunt înnebuniți de GDPR. Chiar ajută sau vorbim de încă un buton la care dăm OK pe un website?
Anett Stoica: Sunt o persoană care promovează conformitatea și lucrez în securitate, deci sunt pentru utilitatea GDPR. Datele personale sunt o versiune digitală a noastră și mulți oameni nu fac legătura între cele două aspecte, anume că datele sunt noi sub o altă formă. Oamenii reacționează rapid când vine vorba de amenințări fizice. Nu vrem să ni se fure mașina, poșeta sau să ni se spargă casa. Aceeași abordare se aplică când nu vreți să vă fie spart contul bancar, dar e nevoie de conștientizarea pericolului și când trebuie să ne protejăm datele. Folosim din ce în ce mai multe produse ce sunt online. Facem cumpărături online, facem online banking. Oamenii tind să creadă că nimeni nu le va sparge contul până când acest lucru chiar se întâmplă. GDPR determină companiile să construiască produse mai sigure. Totul depinde de cât de stricte sunt cu implementarea controalelor, deoarece lista e lungă, dar la finalul zilei, dacă aveți date personale, dacă nu respectați regulile, sunteți expuși la un risc mai mare. Dacă companiile se confruntă cu o breșă a datelor, sunt mulți bani în joc, deci e vorba de un echilibru care se reduce la cât de mult vreau să investesc. GDPR este o cerință legală, care obligă companiile să fie mai atente la securitate și la protecția datelor personale.
Ciprian Sorlea: Orice lucru de pe acest pământ poate fi folosit pentru a face bine sau pentru a face rău. Provocarea GDPR-ului sau a oricărui alt concept similar este că oamenii îl aplică doar de dragul de a avea conformitate, pentru a mai bifa o căsuță, iar asta nu e bine. Dacă fac asta pentru a securiza datele utilizatorilor și a oferi o bună experiență de utilizare, ceea ce presupune încredere, GDPR nu ar trebui să ne împiedice să oferim servicii de calitate. Problema e că modul în care aceste aspecte de securitate sunt implementate este fundamental greșit. Să vă dau un exemplu. Înainte de GDPR, am avut o platformă ce a trebuit să fie conformă cu HIPAA. HIPAA se aplică cu precădere în domeniul medical, fiind o cerință mai des întâlnită în SUA. Am trecut de audit, s-a stabilit că suntem conformi, dar eu știam că avem cel puțin 20 de greșeli și mă așteptam să fie identificate de audit, dar nu au fost. Documentația nu sugera prezența acestor greșeli. Desigur, fiind de bună credință, am rezolvat problemele chiar dacă eram deja conformi HIPAA. A fost un fel de experiment social, care a arătat că acea validare e ca și cum nu ar exista. Deci, dacă vedeți un website care susține că este conform cu HIPAA sau GDPR, să nu credeți acest lucru orbește. Am un prieten care promovează GDPR intens, în special în e-commerce, fiind mii de magazine care erau conforme GDPR, până s-a dovedit contrariul. Ofereau aceste site-uri o experiență bună pentru utilizator sau doar se prefăceau?
Joao Morais: Nu lucrez cu GDPR în munca mea zilnică, dar sunt de acord cu Anett și Ciprian. Încerc să folosesc e-mailuri diferite și parole diferite pentru site-urile unde mă înregistrez. Interacționez cu GDPR ca utilizator final, iar, ca regulă, eu nu am încredere în site-uri.
Partea intersantă la autentificare este că, de exemplu, noi trebuia să difuzăm acest interviu pe Facebook, YouTube și Twitch, iar serviciul meu de difuzare care este găzduit pe o mașină virtuală îmi cere parolă. Deoarece folosesc serviciul o dată pe lună, s-a întâmplat ca luna aceasta să uit parola și nu am putut accesa serviciul. Acesta poate fi pericolul parolelor multiple.
Joao Morais: Experiența utilizatorului este greu de gestionat având în vedere câtă securitate trebuie implementată. Trebuie să facem compromisuri.
Cătălin Pătrașcu: Nu cred că avem nevoie de GDPR. Avem nevoie de securitate.
Ciprian Sorlea: Un lucru bun legat de GDPR este că obligă legal companiile să protejeze datele personale, deoarece anterior, dacă datele erau compromise, nu știați că au fost compromise. Acum, cei care dețin datele sunt constrânși să demonstreze că au făcut tot ce le-a stat în putință să protejeze datele.
Anett Stoica: Precum orice reglementare legală, este nevoie de timp pentru a înțelege cum se aplică un anumit concept și cum trebuie aplicat astfel încât să fie realmente util personalului și infrastructurii organizației voastre.
Ce părere aveți de securitate în ceea ce privește IoT și dispozitivele mobile?
Cătălin Pătrașcu: IoT și dispozitivele mobile ne vor forța să integrăm securitatea pe dispozitiv și în aplicație. Istoric vorbind, am încercat să rezolvăm aceste probleme configurând perimetre imaginare, folosind firewalls, folosind programe de analiză a codului etc. Am încercat să implementăm securitatea prin sisteme externe. În ceea ce privește IoT, dispozitivele trebuie să fie sigure. Securitatea trebuie implementată pe dispozitiv. Telefoanele mobile sunt mai sigure decât calculatoarele desktop, deoarece primele au o formă de sandboxing implementată.
Ciprian Sorlea: Provocările la nivel de telefoane mobile sunt puțin diferite. Apple a declarat recent că TikTok monitoriza informația de pe clipboardul utilizatorilor, aceasta putând conține parole, imagini. Aceasta nu este o breșă la nivel de date, ci o breșă la nivel de viață privată. Dispozitivele mobile sunt mai personale, mai atașate de noi. Securitatea mobilelor este diferită de securitatea IoT. Vorbind de ultima, dacă punem orice server online (o mașină virtuală publică), în 24 de ore, veți înregistra 50000 de atacuri pe acea mașină, sub formă de încercări de conectare la terminal. Dacă aveți și un port pentru bazele de date, dacă adăugați un serviciu e-mail, dacă adăugați orice serviciu care are date, sistemul poate fi scanat și penetrat. Deci, trebuie să cunoașteți toate sistemele, toate serviciile și cum pot fi acestea accesate ca să fie furate datele. Recent, am creat o mașină virtuală pentru un experiment și am lăsat un port deschis pentru un deployment, iar în 20 de minute, un server Amazon din China a încercat să facă deploy la un container Docker pe acea mașină. Desigur, am șters tot și am instalat toate nivelele necesare de securitate. A fost nevoie de 10 minute ca intrușii să știe ce făceau serviciile și cum puteau acestea fi accesate.
Joao Morais: IoT este un joc complet diferit, iar majoritatea dispozitivelor IoT nu au securitate. Aș spune că 80% - 90% dintre ele sunt nesigure, cel puțin din ce vedem la știri și din ce citim. De ce ar trebui un aspirator să facă poze în casă pentru a le trimite apoi într-un loc? Nu are sens.
Pot microserviciile să fie predispuse la risc?
Joao Morais: Din perspectiva securității la nivel de aplicație, este ușor de controlat un microserviciu, iar prin el o aplicație, dar din perspectiva infrastructurii avem reversul medaliei - o aplicație se perpetuează prin componente multiple, servicii multiple, servere multiple. Noi avem aplicații bazate pe microservicii, dar acestea din urmă nu au acces direct la date, prin urmare, dacă un microserviciu e compromis, nu vei afla nimic din el. Aceasta este o arhitectură securizată.
Ciprian Sorlea: E nevoie mereu de un compromis. Vorbeam anterior de securitate și experiența utilizatorului. Spuneam că securitatea poate îmbunătăți experiența utilizatorului, dar poate fi la fel de bine un blocaj. De exemplu, securitatea poate fi un blocaj pentru performanță, deoarece adăugați un nivel sau mai multe nivele de validare, control, verificări ce trebuie efectuate înainte de orice altă comunicare. Întrebarea este: Veți decide să nu faceți compromisuri? Veți risca? Acum câțiva ani am avut o prezentare despre arhitectura nomadă. Ideea e că, atunci când ne aflăm într-un mediu controlat, putem alege dacă vrem să avem încredere unii în ceilalți. Dacă microserviciile sunt dezvoltate și implementate pentru a asigura securitate, nu e nevoie de un nivel mare de securitate între acele servicii, dar, dacă preluați serviciile fără a avea conformitate sau validare de orice fel, serviciile voastre s-ar putea să fie sigure, dar dependințele să nu fie. Marele pericol vine din pachetele și librăriile preluate.
Cum vedeți viitorul securității? Vom avea mai multe reglementări? Va juca AI un rol mai pregnant?
Cătălin Pătrașcu: Trebuie să securizăm endpointurile din aplicații. Acesta e viitorul. Trebuie să securizăm aplicațiile. Oamenii prezic că AI va aduce avantaje net superioare. Eu cred că trebuie să revenim la lucrurile de bază în materie de securitate și să nu ne bazăm doar pe antivirus. Să revizuim codul și să verificăm procesele din codurile open-source.
Anett Stoica: Într-un fel, ne vom baza mai mult pe tehnologie. Utilizatorii au așteptări mari; vor aplicații mai rapide, mai bune. Ritmul dezvoltării este foarte rapid, iar securitatea a fost pusă la colț, dar sunt multe inițiative bune precum ENISA pentru IoT. Deoarece lucrez cu partea umană a securității, sunt abordări precum "Oamenii sunt veriga slabă", dar, chiar dacă acest lucru ar fi adevărat, securitatea este rezultatul interacțiunii dintre instrumentele pe care le folosim pentru a face viața utilizatorilor mai ușoară și ceea ce utilizatorii doresc și știu.
Joao Morais: Oamenii sunt elementul cheie. Trebuie investit în oameni. Dacă aveți 100 de angajați într-o companie care nu se ocupă de industria software, 90 dintre ei vor fi non-tehnici. Oamenii vor folosi tehnologie și trebuie educați să folosească tehnologia în mod sigur. În loc să cumpăr un AI sofisticat, aș educa personalul.
Ciprian Sorlea: În lumea securității, se vorbește de echipa roșie și de echipa albastră. AI va afecta ambele echipe și o a treia echipă, să-i zicem echipa neagră. Pentru echipa albastră, Google, Microsoft, Amazon au investit mult în statistică și algoritmi ce analizează comportamentul și identifică ce iese din grafic. Informația poate fi folosită de experți sau de echipa de securitate. Această tehnologie va fi mai prezentă în companiile noastre, după ce revenim la birou. Pentru echipa roșie, provocarea va fi că, având atât de multă putere computațională, atât de mulți algoritmi inteligenți, va fi foarte ușor pentru AI să interpreteze datele. De exemplu, tu, Ovidiu, nu ai un background difuz, putem să îți vedem ecranul, iar acesta are multe informații sensibile. Echipa neagră va folosi AI pentru a păcăli programatorii din echipele albastre, pentru a păcăli alte sisteme AI. Sistemele AI au la bază tipare și urmează regulile unui model de antrenament. Dacă acel model de antrenament este modificat, se pot întâmpla lucruri foarte periculoase. Deciziile oamenilor (precum DA/NU) sunt inversate, deci în loc de "DA" răspunsul este "NU", ceea ce duce la o catastrofă. Modul nostru de gândire trebuie să fie "Securitatea e pe primul loc". Securitatea nu e ceva ce reparăm la 3 luni de la lansare.
de Ovidiu Mățan
de Diana Țelman
de Oana Urs , Nora Vințeler
