Tuesday 19 October 2010

ACCEPT IT: Λίγη ασφάλεια είναι αρκετή

ACCEPT IT: Λίγη ασφάλεια είναι αρκετή
η απόλυτη ασφάλεια είναι μύθος. Όχι απλά δεν υπάρχει τώρα στο παρόν αλλά δεν θα επιτευχθεί ούτε και στο μέλλον
computer_thief Όπως για οτιδήποτε άλλο στη ζωή μας πρέπει να κάνουμε υποχωρήσεις προσπαθώντας να βρούμε τη χρυσή τομή, κατά τον ίδιο τρόπο, καλό είναι να δεχθούμε ότι σε οποιοδήποτε σύστημα ασφαλείας υπάρχουν περιορισμοί που μας αναγκάζουν να κάνουμε τράμπες μεταξύ απόλυτης και μηδενικής ασφάλειας. Με πρώτη ακραία περίπτωση να είναι πρακτικά αδύνατη και τη δεύτερη απλά αυτοκαταστροφική. Διότι στην προσπάθεια που καταβάλλουμε να επιτύχουμε την απόλυτη ασφάλεια είναι περισσότερο πιθανό να οδηγηθούμε σε μια ανυπόφορη και συνεχή απογοήτευση. Είναι περισσότερο παραγωγικό να σκεφτόμαστε την ασφάλεια ως ενα ελατήριο που απορροφάει την ορμή των επιθέσεων, ηλεκτρονικών και μη, σε τέτοιο βαθμό ώστε ο υπόλοιπος μηχανισμός μια επιχείρησης ειδικότερα ή της κοινωνίας γενικότερα να μπορέσει να λειτουργήσει.
Συνεχώς ακούγεται πως ετοιμάζονται συστήματα που θα υιοθετηθούν από τις βιομηχανίες τα οποία θα προσφέρουν την απόλυτη ασφάλεια, πως όλα τα λάθη του παρελθόντος θα διορθωθούν, η κατάσταση θα αλλάξει και θα υπάρχει ένα ελεγχόμενο ολοκληρωμένο σύστημα περικυκλωμένο από την τέλεια ασπίδας προστασίας. Ενώ αυτές οι υποσχέσεις κυκλοφορούν τις τελευταίες δεκαετίες δεν έχουν έχουν εκπληρωθεί έως σήμερα και ούτε φαίνεται πως θα εκπληρωθούν στο μέλλον. Ένας πρώτος παράγοντας αυτής της εξέλιξης είναι οικονομικός. Η ασφάλεια υλοποιείται μέσα από τεχνολογίες που σίγουρα δεν προσφέρονται δωρεάν. Οπότε θα πρέπει να γίνει το σωστό ζύγισμα μεταξύ του κόστους για την ασφάλεια και των πλεονεκτημάτων που θα προκύψουν εφαρμόζοντας την εκάστοτε μεθοδολογία/τεχνολογία.
mban74l
Ο κυριότερος όμως παράγοντας της ασφάλειας είναι ο ανθρώπινος παράγοντας. Γενικότερα θα μπορούσε να εκφράσει κάποιος πως η τεχνολογία και οι άνθρωποι δεν μπορούν να συνδυαστούν επιτυχημένα. Είναι χαρακτηριστικό ότι σε οποιοδήποτε προιόν γίνονται προσπάθειες ώστε ο καταναλωτής να μπορεί να είναι χρήστης του προιόντος χωρίς να χρειάζεται να γνωρίζει τις λεπτομέρειες της τεχνολογίας που βρίσκεται πίσω από αυτό. Για παράδειγμα μπορείς να οδηγήσεις ένα αμάξι γνωρίζοντας λίγα για τη μηχανή του αυτοκινήτου ή μπορείς να περπατήσεις πάνω από μια γέφυρα χωρίς να χρειάζεται να ξέρεις ακριβώς τα υλικά και τη μέθοδο με την οποία κατασκευάστικε. Με άλλα λόγια γενικότερα οι προσπάθειές σου στρέφονται στο να προσφέρεις στον χρήστη «μαύρα κουτιά» με κάποια εύκολη διεπαφή. Δυστυχώς με την ασφάλεια συμβαίνει το αντίθετο, όσα λιγότερα γνωρίζει ο χρήστης για το σύστημα ασφαλείας τόσο πιο ευάλωτο θα είναι το σύστημα αυτό, καθώς ο ίδιος ο χρήστης θα αποτελεί τον αδύναμο κρίκο του συστήματος. Σχεδόν πάντα οι πιο επιτυχημένες επιθέσεις σε ηλεκτρονικά συστήματα ασφαλείας ακολουθούνται από μεθόδους κοινωνικής μηχανικής . Για να ενημερωθείτε για μεθόδους κοινωνικής μηχανικής μπορείτε να διαβάσετε το βιβλίο του Kevin Mitnik, The Art of Deception [http://digs.by/cRdMjb]

Ένα σύστημα ασφαλείας είναι τόσο ασφαλές όσο και ο πιο αδύναμος κρίκος του

Ως ένα τρόπο αντιμετώπισης που παραπάνω προβλήματος θα μπορούσε να είναι η εκπαίδευση των εργαζομένων σε κάθε μορφής εργασία ώστε να κατανοούν το σύστημα ασφαλείας και να τηρούν πρότυπα και κώδικες συμπεριφορών που να μην αφήνουν πολλά περιθώρια στον επιτήδιο κοινωνικό μηχανικό. Εδώ όμως τίθεται αναγκαίο να λογαριάσουμε το γεγονός πως τα συστήματα ασφαλείας σχεδιάζονται, αναπτύσσονται και εφαρμόζονται από μηχανικούς ή γενικότερα ανθρώπους με αναλυτικό τρόπο σκέψης, από τεχνολόγους. Και φυσικά από τους ίδιους αυτούς θα ζητηθεί να εκπαιδεύσουν τους υπαλλήλους της εκάστοτε εταιρείας για παράδειγμα. Το πρόβλημα γεννιέται από την λανθασμένη αντίληψη των τεχνολόγων πως οι υπόλοιποι άνθρωποι σκέφτονται όπως αυτοί και έχουν την ικανότητα να ακολουθήσουν μια δόκιμη αλληλουχία σκέψεων, κάτι που στην πραγματικότητα δεν συμβαίνει.
Ένας επιπρόσθετος ανασταλτικός παράγοντας είναι πως η τεχνολογία επεκτείνεται με επιταχυνόμενους ρυθμούς και οτιδήποτε ισχύει σήμερα θα εξελιχθεί σε κάτι διαφορετικό αύριο. Θα μπορούσαμε εδώ να αντιπαραβάλλουμε την προσπάθεια που γίνεται για την μείωση των τροχαίων ατυχημάτων. Στην προσπάθεια αυτή που άρχισε εδώ και μερικές δεκαετίες, ανακατασκευάστικαν οι δρόμοι, προστέθηκαν ζώνες ασφαλείας στα οχήματα, ηλεκτρονικά συστήματα παθητικής ή ενεργητικής ασφάλειας και έγιναν πιο αυστηροί οι νόμοι που περιελάμβαναν τροχαίες παραβάσεις και δυστυχήματα. Όντως αυτό είχε αποτέλεσμα. Αν λάβουμε ως μέτρο τις απώλειες ανθρώπων ανά χιλιόμετρο οδήγησης θα δούμε πως τα ποσοστά έχουν μειωθεί σε αρκετά ικανοποιητικό βαθμό. Απεναντίας όμως οι απόλυτοι αριθμοί δεν έχουν ακολουθήσει την ίδια μείωση. Αυτό συμβαίνει διότι παράλληλα με την προσπάθεια να ασφαλίσουμε την ζωή των επιβατών και οδηγών κάθε λογής οχημάτων ταυτόχρονα τα οχήματα έγιναν πιο γρήγορα, οι οδηγοί χρησιμοποιούν περισσότερο και συχνότερα τα οχήματά τους και το οδικό δίκτυο επεκτάθηκε. Κατ αναλογία λοιπόν όσο τα ηλεκτρονικά συστήματα και οι τεχνολογίες γενικότερα γίνονται περισσότερο πολύπλοκα και τα χρησιμοποιούν όλο και περισσότεροι άνθρωποι θα δημιουργούνται νέα κενά ασφαλείας τα οποία θα μας κρατούν σε συνεχή επαγρύπνηση ώστε να τα κλείνουμε όσο το δυνατόν πιο έγκαιρα.

Η ασφάλεια είναι περισσότερο ένα συναίσθημα παρά μια τεχνολογία

Μπορεί ως άνθρωποι να μην μπορούμε να συνεργαστούμε επιτυχώς με ένα σύστημα ασφαλείας που δεν μπορεί από μόνο του να είναι πονηρό και ίσως να μην μπορεί να καλύψει όλες τις δυνατές περιπτώσεις, αλλά έχουμε άλλες ικανότητες οι οποίες μας επιτρέπουν να επιβιώνουμε σε ένα σχετικά ανασφαλές περιβάλλον. Για παράδειγμα αν ζητήσετε από το γείτονά σας να κρατήσει τα κλειδιά του σπιτιού ώστε να αφήσει μέσα τον υδραυλικό να φτιάξει τη βρύση αυτός θα καλέσει την αστυνομία σε περίπτωση που δει κάποιον την ίδια ώρα να κουβαλάει έπιπλα έξω από το σπίτι σας χωρίς εσείς καν να του το έχετε ζητήσει. Το κοινωνικό και πολιτιστικό πλαίσιο στο οποίο εντασσόμαστε προτείνει συμπεριφορές οι οποίες δεν δρουν ως τέλειες ασπίδες αλλά προστατεύουν στο μέτρο του δυνατού. Αυτό το γεγονός θα πρέπει να το λαμβάνουν υπόψη τους και οι επιχειρήσεις. Αν ο υπάλληλος για διάφορους προσωπικούς λόγους αδιαφορήσει τότε μπορεί λειτουργήσει ευσυνείδητα βάσει του κανόνα και μόνο χωρίς να ενδιαφέρεται για τις μετέπειτα συνέπειες ακόμα και αν αυτό με απλή λογική οδηγεί σε ανασφαλείς ενέργειες που εκθέτουν δεδομένα της εταιρίας προς τον έξω κόσμο.
security12 Έτσι γίνεται σαφές πως ακόμα και μία ανασφαλής τεχνολογία μπορεί να εφαρμοστεί όταν υπάρχουν διάφοροι πολύπλευροι μηχανισμοί που να την προστατεύουν όπως το χαρακτηριστικό παράδειγμα στην περίπτωση του φαξ. Ενώ ένα φαξ μπορεί πολύ εύκολα να πλαστογραφηθεί, μιας και η υπογραφή πάνω στο φαξ είναι ασπρόμαυρη από τον εκτυπωτή του φαξ και όχι γραμμένη από ανθρώπινο χέρι που κρατάει στυλό δεν έχουν γίνει εύκολα πολύ επικερδής απάτες μέσω φαξ και μόνο. Αυτό συμβαίνει διότι πέρα από την υπογραφή συνήθως υπάρχει και το κείμενο που ενδεχομένως να μην συνάδει με άλλα παρόμοια κείμενα, επίσης καταγράφεται στο τηλεφωνικό κέντρο η ώρα που απεστάλλει το φαξ και συνήθως υπάρχουν και άλλες επίσημες ενέργειες που γίνονται πριν ή και μετά την αποστολή του συγκεκριμένου εγγράφου. Το σημαντικό λοιπόν είναι πως δεν χρειάζεται να μπούμε σε τόσο κόπο να φτιάξουμε το τέλειο έντυπο που δεν μπορεί να πλαστογραφηθεί εφόσον υπάρχουν αρκετοί συνοδευτικοί μηχανισμοί που λειτουργούν σαν μικρά ελατήρια εμποδίζοντας τις ενέργειες ενός επίδοξου απατεώνα.
Η παραπάνω ανάλυση δεν έγινε με σκοπό να εφαρμόσουμε μια πεσιμιστική αντιμετώπιση της ασφάλειας, αλλά με σκοπό να δούμε ρεαλιστικά ποιες είναι οι δυνατότητες υλοποίησης στα συστήματα ασφαλείας. Είναι γνωστή η απαίτηση ότι θα πρέπει να κατασκευαστεί το τέλειο σύστημα ασφαλείας. Παρόλα αυτά τα δεδομένα αυξάνονται σε πολύ γρήγορους ρυθμούς και η πολυπλοκότητα συστημάτων που τα διαχειρίζονται απλοί χρήστες δεν φάινεται να πηγαίνει πίσω προσδίδοντας μια ατελή αίσθηση της ασφάλειας. Η εμπειρία από την βιομηχανία του κινηματογράφου και της τηλεόρασης σίγουρα μπορεί να αποδειχθεί εκπαιδευτική. Ενώ υπάρχουν πολλά «σπαστίρια» για να αντιγραφούν ταινίες και να έχουμε τσάμπα συνδρομητική τηλεόραση ταυτόχρονα αναπτύχθηκαν μηχανισμοί, νομικοί, τεχνολογικοί και μάρκετινγκ που κατάφεραν να κρατήσουν την βιομηχανία έντονα αναπτυσσόμενη και επικερδής.
Επιμέλεια: Γιώργος Πληγορόπουλος
 

Applied Ideas Copyright © 2010
George Pligor - Stergios