Nemrég fejeztem be John Viega könyvét a The myths of security-t. A könyv már jó régen vetettem meg a céggel, de valahogy mostanáig nem jutott rá időm. Most is csak azért, mert olyan barátságosan vékony és nagyon hangzatos alcímet választott: "Amit a számítógép biztonsági ipar nem akar hogy tudjad". Gondoltam, kevés dolog van, amit jobban szeretnék tudni, mint amit eltitkolnak előlem.
A szerző szándéka szerint a könyv mindenkinek szól, aki egy kicsit is érdeklődik az IT biztonság iránt: amatörtől a hivatásosig.
A könyv 48 viszonylag rövid fejezetben sorolja fel, hogy mik is azok a dolgok, amiket a biztonsági ipar nem akar, hogy tudjak. A fejezetek sok témát ölelnek fel, bár nekem semmilyen logikai láncot nem sikerült felfedeznem közöttük, nem tudom miért ebben a sorrendben jöttek. De nem is ez a lényeg, ha jó a tartalom. És ezen a ponton egy kicsit elbizonytalanodtam. Mert a szerző sok nagyon triviális titkot oszt meg az olvasóval. Az meg egyenesen röhejes, amikor olyan dolgokat leplez le, amit még a leghülyébb felhasználó is tud (pl. a vírusírtó szoftver lassú). Máshol meg iparági titkok helyett a szerző véleményét kapjuk meg, amiből én arra következtetek, hogy Viega ezek szerint úgy gondolta, az a titok, hogy nem mindenki ért vele egyet. Hát nem tudom.
De nézzük inkább néhány példát!
Triviális dolog, hogy a biztonság igazából senkit sem érdekel. Bár az érvei nem túl meggyőzőek, ráadásul a legfontosabbat nem is említette: amig nincs baj, nincs baj. Ahogy az is, hogy mindig lesznek biztonsági problémák. Mint ahogy a PKI biztonsági modelljének hiányosságairól is sokan cikkeztek már. Megtudhatunk továbbá olyan brutális titkokat, mint hogy a cloud szolgáltatónak kell a biztonságra figyelnie vagy, hogy a gyártók hazudnak (ki hitte volna?!). Az meg talán csak az almaagyúak számára lehet újdonság, hogy az Apple termékeiben is vannak biztonsági hibák.
Figyelemre méltó, hogy amig a címben azt ígéri az egész IT secuirty iparról rántja le a leplet, igazából nem tud szabadulni munkáltatójától és számomra túl sokat kerülnek elő az AV gyártók és külön a McAfee.
Van egy fejezet "Google Is Evil" címmel, amiben arról ír, hogy a google azért gonosz, mert olyan üzleti modellt választott, ami lehetővé teszi a click fraudot (amikor botnetekkel kattingat a támadó). Ez nem biztonsági kérdés! A botnet csak a támadási vektor, a szerző tulajdonképpen az üzleti modellt kritizálja. Azért azt megnézném, amikor mondjuk a Google biztonsági tótumfaktuma, vagy esetleg egy külsős tanácsadó odamenne a cég menedzsmentjéhez és mondaná nekik, hogy nem szabad a pay per clickből (a cég talán legfontosabb bevételi forrásából) pénzt csinálni.
Ígéri hogy megmondja a tutit az AV gyártóknak, azaz milyen is legyen a jó AV termék (ja, mert elárulja azt a titkot is, hogy az AV nemcsak lassú, de még sokat hibázik és kijátszható). Az AV 2.0 (ahogy ő nevezi), viszont nem más, mint hogy az AV-k a blacklistezés helyett whitelistezést csináljanak. Azért a javára legyen mondva, hogy felsorol jó néhány következményt is, de nekem ez megint inkább tűnik a szerző ötletének mintsem egy proven megoldásnak. Persze magas szinten egyetértek vele, de a nagy kérdés a whitelist menedzselése.
Azért vannak érdekes gondolatok is a könyvben, bár ahogy mondtam, ezek nem iparági titkok, inkább a szerző saját véleménye, de mindenesetre elgondolkodtattak:
- Responsible disclousure nem jó. Az IT biztonságban kétfajta ember van: aki a resp. disclousure mellett van és aki nem. Ő ez utóbbi. Érvei is ismerősek, de azért itt jól összeszedte őket:
- támadónak is megkönnyítik a dolgukat,
- felhasználók nem patchelnek ezért a biztonsági szintjük csökken (a legtöbb biztonsági incidens ismert de be nem foltozott sérülékenységen keresztül van, lásd legutóbb HBGary).
- biztonsági iparnak jó reklám a sérülékenységek nyilvánosságra hozatala ezért a kutatókat, cégeket marketing szempontok is vezérlik.
- Az open source nem lényeges a biztonság szempontjából. Megint ismerős téma és sokan vizsgálták: nevezetesen biztonságosabb-e a nyílt forráskódú szoftver, mint a zárt, azért mert sokkal többen olvassák a kódot. Ő szerinte sem. Azzal is egyetértek, hogy nehéz a dolgot mérni, meg önmagában az alapérv is értelmetlen. Sok egyéb szempontot is felsorol, ami hozzájárul a program biztonságához, de végül is csak annyit tud ő is megállapítani, hogy nem tudjuk és nem is ez a legfontosabb kérdés.
- Fejlesztés biztonsági költéseknél a képzés felesleges. Ezt találtam a legérdekesebbnek. Már többször írtam a bsi-mm-ről, a fejlesztés biztonsága kérdés számomra különösen érdekes. Szóval ő azt mondja, hogy a kódaudit nem hatékony kontroll, ahogy a fejlesztők oktatása sem az. Az előbbi nagyon drága, a fejlesztő meg úgyis elfelejti amit tanítanak neki. Ennek azért majd utána kell még nézni...
Végül is kinek ajánlom, mert ugye ez mégis csak ajánló...
Ahogy írtam, sok felvetése triviális, ezért aki profinak érzi magát és a könyv újat mond neki, az kezdje el magát képezni. Tehát a könyv mindenképpen egy önellenőrzésnek jó (bár nem elégséges feltétel).
Aki szeretne magas szinten és általánosan érveket gyűjteni az IT ipar fikázásához, meg úgy általában egy sörözés közben szeretne jólértesültnek tűnni a haverok előtt, azoknak sem rossz.
Ha viszont valaki már esetleg olvassa vagy olvasta Schneier cryptogrammját akkor ahhoz képest az itt felvetett témák kidolgozottsága szerintem felületesebb, szóval nekik nem fog újat mondani, unni fogják (legalábbis én untam).
Tehát akkor most ajánlom vagy sem? ööööö
-- Tiborcz József
