2015. november 14., szombat

Gondolatkísérlet: ellenőrizni sosem fogjuk, de tessék adózni ám!

Rozi nénit kötelezni az egyetemi tanulmányi osztályon a bonyolult jelszó használatára olyan, mintha azt mondanánk, hogy mindenki fizessen adót, ellenőrizni viszont sosem fogjuk...

Azt hiszem, hogy Bruce Schneider adta az egyik legjobb definíciót arra, hogy mi is a biztonság. A biztonságra való ráfordítás egyenlő azzal, amennyit az enber a kényelemből veszít.

- Mit csinál a retardált Ubuntu-júzer?
- Junyikszra nyinycsvíjus, amikorra rájön, hogy mégis, száz éve már sokkal lassabb a gép és ideális esetben nem vitte el a boltot, aki akarta.

- Mit csinál a mindig mindenkinél okosabb Debian-júzer?
- Amikor esetleg rájön, hogy rootkitekkel használta az átjáróházként működő gépet éveken át - de általában nem jön rá - beszopja magának, hogy ott voltak a rootkitek, de biztosan nem csináltak semmi csúnyát, a gépét pedig ugyan használhatta bárki bármire, biztos nem használta.

- Mit csilál az OSX-júzer?
- Elviszi az almás boltba a gépét kiganéztatni pár év után, ami a gyakorlatban egy teljes újraflashelést és telepítést jelent. Mivel az OSX-eknél az iOS-eknél lényegében csak értelmetlen szarok kerültek be évek óta egy-egy új verzióba, a malware-eket meg a sosem frissülő flash lejátszó és a JRE verziója érdekli, amiről az egység sugarú Apple-user azt semtudja, hogy mi.

- Windows (7) legális: a service pack 1 egész gyorsan felmászik, a közvetlenül utána elindított frissítő a 149 erősen ajánlott ill. hotfix frissítésből most tart a 104-ediknél.. Nem, nem állt meg, most tart ott! Na most gondolhatod, hogy ezt mikor várja ki az átlag júzer, amelyik ugye mindig arra a lehetőségre kattint, amivel éppen eltüntetheti az útjában lévő ablakot, ha dolgozna, fészezne, pornót nézne v egyáltalán bármit csinálna a gépen. Tény: a patchek jórésze a büdös életbe sem települ, elég csak a Confickerre, mint történelmi példára gondolni.

Ha most elmászol a Windows Update-re és a keresés után csak 20-40 telepítendő frissítést ajánl a rendszer, valószínűbb, hogy azért csak annyit, mert még nem települt az a szervízcsomag vagy hotfix, ami előfeltétele lenne a többinek. Aztán mindenki örömködik, amíg gyors és tiszta a gép, de mindegy, hogy Comodo CIS, AVG, Avira, Panda, kisfaszom, ezek az antivirus-persomal firewall-kombók csak részben tudják bestoppolni azokat a lyukakat, és szavatolni azt a biztonságot, amiket az oprendszernek kellene.

Na de kit érdekel mindez? Csak kritikus környezetben számít nem? Na, akkor baktass be mondjuk az egyetemre, és kérdezd meg a tőgyarcú fogalmatlan bambaborjú TO-sok egyikét, hogy szerintük miért baj, ha az éjsötét ostobaságuk miatt szinte bárki úgy le tudja szedni tőlük a személyes adataidat, személyes adatok körébe nem tartozó ún. külőnleges adataidat, mint a szoctám-, laktám- és egyéb száz éve beadott kérelmek minden faszom adattal együtt, amiről nem szeretnénk, ha egy leendő munkáltatónknál vagy egy minket nagyon nem szerető arcnál landolnának.

Ilyen auditot persze lehetne csináltatni mondjuk ITsec-es kollégával, cseréba ha én is megcsinálnám az övét mondjuk, viszont ad 1: jogilag az adatgazda beleegyezése, azaz mégcsak nem is a TO-vezér, hanem a dékán beleegyezése kellene hozzá, amelyiknek mire reggelig elmagyaráznád, hogy miért szükséges ez, úgysem egyezne bele,  mivel nem hinné el, hogy az audit eredményét valóban megtartjuk magunknak. Ad2: ha az egyetem v adatvédelmi szempontból máshogy balfasz munkahelyről vagy központi költségvetésből dolgozó munkahelyről olyan adatod kerül ki, ami súlyos hátrányt okoz, sanszos, hogy még ha feljelentést is tennél, a dolog nem jutna el a vádemelési javaslatig sem. VISZONT, ha Te csinálnád az egészet előzetes tájékoztatásuk nélkül tesztelésként, akkor esetleg Téged kiáltanának ki szarkavaró veszélyes haxorbűnözőnek...

Erre mondtam korábban, hogy hiába alakították át a személyes adatok körének meghatározását, azok védelmét, na meg hiába van minden, vattacukor-törökméz a 2013-as ibtv. szerint, na meg az ibtv-ben nem szabályozott törvények szerint, amíg nem száll ki vmilyen hatóság ellenőrizni NAV-os stílusban és bírságol hatalmasakat, a legtöbb helyen szart sem ér a teljes jogi szabályozás, hiszen ahol kell, nem a törvény miatt szigorú az adatkezelési policy, hanem azért, mert elemi érdek, egy kórházat vagy egyetemet meg miből bírságolnának, úgy mégis?

Jó messzire jutottam onnan, hogy az oprendszer kényelme hogyan kapcsolódik ahhoz, hogy az mennyire jelent veszélyt a kezelt adatokra, ami sajnos már rég túlterjed az önveszélyes, 10 éve ugyanazt a freemail-es jelszót használó TO-s néni/kiscéges képesítetlen rendszergazda/kisvállalati képesítetlen rendszergazda adatain, mivel el tud érni bárkiről bármit - és rajta keresztül más is. Pozitív példák persze vannak Magyarországon is a helyes adatkezelési politikára, egy-egy egyetem egy-egy kis részén, de ez inkább ritkaság.

A KÉRDÉS: olcsóbb lenne még az adminisztratív dolgozók elé is bekúrni egy almás gépet vagy egy rommá távfelügyt windowsosat [ilyenre ésszerű megoldást nem is tudnék, hiszen munkaidőben mindenki kolbászol a neten arra is, amerre nagyon nem kellene] pluszba elkergetni őket ITsec awareness tréningre; Vagy pedig az lenne az olcsóbb, ha tényleg lenne egy olyan szerv, amelyik olyan zaftos bírságokat szabhatna ki egy-egy ellenőrzés után, hogy egyrészt az adatkezelő az alkalmazottait befenyítené vagy kirúgná, ha kell, fosva a bírságtól, aztán rögtön változna a hozzáállás? Ja, ugyanezt kellene akkor is, amikor bizonyítható, hogy a tökkelütött alkalmazott egy ransomware-támadást igenis megúszhatott volna. 

Ha szakmán kívüliként olvasod ezt és elbagatellizálva arra gondolsz, hogy mi ebben a para, alighanem újragondolnád, ha egy megpályázott melód mondjuk azon csúszna el, mert a cég egy adatbrókeren keresztül 1 nap alatt kicibálta például azt az infót, hogy elsős egyetemistaként kérvényt kellett beadnod a TO-ra, mivel annyira szétcsaptad magad piával és kábszival egy hétvégi bulin, hogy detox/trauma lett a vége, aztán emiatt nem tudtál bemenni gyakorlatra vagy vizsgára. De az is guszta, ha tudják, hogy ezer éve szoctámért kibeszélted az egész családod, amiből következtethetnek arra, hogy full alkalmatlan lennél majd minimálisan is kényes adatok kezelésére.

Biztos a leggyűlöltebb törvényhozó lennék, de tényleg nem látszik más megoldás, mint a bírságoltatás.