ends Cover Story - Cybersecurity Tr Acum că am decis să separăm comunicarea în două medii, sigură și vulnerabilă, și am hotărât că cea standard, cea pe care o folosim în marea majoritate a oamenilor este cea vulnerabilă, atunci trebuie să vedem ce o fi însemnând și o comunicare sigură. Principiul este cât se poate de simplu, comunicarea sigură este cea care nu este susceptibilă la vulnerabilităţile enumerate anterior adică: Garantează autorul mesajului; Garantează că mesajul poate fi citit doar de destinatar, chiar dacă mesajul este interceptat; Asigură că mesajul nu poate fi alterat în tranzit. Tehnologia care ne asigură aceste aspecte în timpul comunicării există, se numește criptare și este implementată în nenumărate platforme. Însă este foarte important să nu cădem în capcana marketingului și să fim conștienţi ce fel de criptare se folosește, care etape ale transferului le garantează, când și cum îl folosim. De exemplu, am enumerat anterior la slăbiciunile reţelelor publice faptul că mesajul este vulnerabil în tranzit deși transferul de informaţie se petrece tot timplul criptat prin SSL sau TLS, în funcţie de client. Este un caz clasic de neînţelegere al sistemului de criptare de care marketingul se folosește pentru a deruta consumatorul. Când folosim un email public de exemplu ne logăm în contul de email prin HTTPS, astfel comunicarea noastră cu serverul garantează toate etapele enumerate mai sus. Destinatarul se conectează la rândul său prin canal securizat, deci și comunicarea sa cu serverul beneficiază de aceleași garanţii. Însă deși două etape ale comunicării sunt garantate, mesajul în punctul de tranzit este nesecurizat, vulnerabil, oricine care are acces în aceste puncte intermediare, fie furnizorul de serviciu, fie un intrus care și-a asigurat acces la serverele unuia dintre furnizorii de servicii prin care comunicarea tranzitează poate vedea conţinutul, sau poate altera conţinutul mesajului fără ca destinatarul sau autorul să fie în cunoștinţă de cauză. Deci în ciuda faptului că procesul de comunicare are etape securizate în final realizăm că aceasta este de fapt nesigură. Când vorbim de criptare în comunicare trebuie să ne asigurăm că aceasta este completă: de la autor la destinatar, de la capăt la capăt, în engleză end-to-end. Nu există etape în care mesajul devine decriptat și acest lucru se poate garanta numai în cazul în care cifrul de criptare este cunoscut numai și numai de către autor și destinatar, ceea ce înseamnă că nici măcar furnizorul de servicii nu are acces la această cheie. Trebuie să fim atenţi deoarece puţine servicii oferă cu adevărat criptare end-to-end, unele pentru că legislaţia în domeniu este oarecum neclară (în cazul unei criptări adevărate, nici serviciile secrete nu au acces la datele din corespondenţă), altele pentru că modelul lor de business este în defavoarea criptării sau altele pur și simplu pentru că mecanismul de criptare este slab sau deficitar. Înainte de folosirea sau implementarea oricărei soluţii sau grupuri de soluţii și pentru ca sunt șanse sa nu existe o singură soluţie care să satisfacă
18
toate nevoile trebuie să se facă p analiza completă a nevoilor, a soluţiilor, respectiv a vulnerabilităţilor ascune ale acestor soluţii Spre exemplu soluţii precum SnapChat sau WhatsApp, deși se pretind a fi canale sigure de comunicare, au fost demonstrate ca fiind nesigure în repetate rânduri, deci trebuie evitată folosirea lor pe post de metode sigure. Reţele sociale publice de orice fel trebuie considerate implicit nesigure unele din ele sunt chiar publice. Serviciile de email public sunt toate complet nesigure, la fel sunt și cele private dacă nu se folosește criptare (vom vedea în cele ce urmează). Serviciile de mesagerie scurtă SMS, serviciile de transfer de fișiere publice sunt deasemenea nesigure. Toate acestea nu înseamnă că nu putem să le folosim doar că le folosim în cunoștinţă de cauză. Stim că sunt nesigure și nu transferăm documente senzitive prin aceste canale: date cu caracter personal, parole la servere, orice altă informaţie ce poate duce accesul unui răufăcător la serverele noastre, document secrete de corporaţie, date ale clienţilor, mai ales în cazul medicilor și al avocaţilor, sau orice alt secret care poate direct sau indirect periclita securitatea, persoanei noastre, a firmei / organizaţiei (fie el și stat) de care persoana noastră aparţine, fie a oricărei alter persoane terţe. Cu alte cuvinte nu transferăm pe căi nesigure nimic ce nu vedem ca informaţie de interes public. Dar să vedem acum câteva soluţii de transfer de informaţie care asigură un grad ridicat de siguranţă și la ce le putem folosi și în ce condiţii:
Soluții VPN Soluţiile Virtual Private Network pe scurt VPN sunt o metodă sigură pentru crearea de canale de comunicare criptate pentru aplicaţii de orice fel. Ele funcţionează ca o reţea normală internă doar că sunt capabile să transfere pachete prin reţeaua publică, în mod securizat, folosind criptare. Aceste reţele pot fi folosite la orice pentru care se poate folosi o reţea internă: se pot instala soluţii de acces la aplicaţii locale (care nu sunt accesibile dinspre reţeaua publică), schimb de fișiere, acces la servere, etc. Ele sunt de mai multe tipuri: hardware, software sau „as a service” și sunt numeroși furnizori pentru fiecare categorie. În general sistemele hardware sunt cele mai sigure, dar și cele mai puţin flexibile (este nevoie de câte un dispozitiv, de cele mai multe ori ne-portabil, la fiecare capăt al reţelei, punctul de trecere de la reţeaua privată la reţeaua publică). Acestea sunt o soluţie excelentă pentru schimb de informaţii private, și sunt foarte versatile, în sensul că acestea pot transforma un sistem de comunicare nesigur, într-unul sigur, atâta timp cât comunicarea nu depășește limitele reţelei VPN. Pe de altă parte, cea mai mare deficienţă a acestor reţele este lipsa de flexibilitate. Nimic din ceea ce rulează pe reţea nu poate părăsi reţeaua în siguranţă și oricine are acces la reţea are acces la tot din reţea. Este de nedorit ca terţe persoane să fie introduse în reţea deoarece excluderea lor este foarte laborioasă. Astfel comunicarea cu clienţi sau alte persoane din afara reţelei este aproape imposibilă.
Soluții De Transfer Fișiere În general, este bine să considerăm soluţiile de transfer de fișiere ca fiind nesigure, indiferent dacă ele se fac prin SSL pentru motivele enumerate anterior. Acest lucru nu înseamnă că nu pot fi folosite. Cu un adaos de siguranţă prin metode de criptare off-line, se poate realiza un transfer de fișiere remarcabil de sigur. 7-Zip, (http://www.7-zip.org/) este o soluţie de comprimare care permite parolare. Deși este o metodă slabă de criptare cu siguranţă va descuraja un atac orb (atacul care nu vizează concret informaţia din acel transfer). În cazul unor informaţii cu grad mare de confidenţialitate se recomandă totuși o criptare mai avansată.