Hlavní navigace

Michel Bobillier: bezpečnost je skládačka

Petr Krčmář 13. 12. 2005

Povídal jsem si s Michelem Bobillierem z IBM o bezpečnosti, rootkitu Sony, patentech, bezdrátových sítích, šifrování, spamu, autorských právech a dalších tématech.

Začneme tradičně – řekněte nám něco o sobě.

Dobře, já pracuji pro IBM, konkrétně v oddělení pro bezpečnost. Jsem ze Švýcarska, kde také pracuji. Dříve jsem byl zaměstnán v USA, ale vrátil jsem se do Švýcarska, protože je velmi dobře strategicky položeno. Z USA je mnohem horší se domluvit s Evropou, protože jsou na druhé straně světa. Já mohu ráno telefonovat s Asií a odpoledne už zase s USA.

Jste vlastně uprostřed světa.

Přesně (smích), je to příjemný kompromis.

A co vaše rodina?

No, mám čtyři děti, odjel jsem do USA se třemi a vrátil se se čtyřmi (smích). Takže mám v rodině Američana.

Michel Bobillier

Co vlastně přesně pro IBM děláte?

Obvykle nabízíme komplexní bezpečnostní řešení pro naše zákazníky. A mojí úlohou je připravovat tyto služby, sledovat trh, zjišťovat, co zákazníci potřebují, připravovat strategii. Pracujeme s mnoha operačními systémy. MS Windows jsou pro nás skutečně velmi dobrým trhem (smích).

Jsou tak děravé?

Hlavně jde o to, že když se podíváte k běžnému zákazníkovi, na jeho počítačích naleznete především MS Windows, takže je logické, že útoky směřují především na tento systém.

Co jsme zjistili, je, že unix je obecně mnohem bezpečnější. Ale je zde přirozené zaměření na nejpoužívanější systémy, kterými jsou MS Windows. Věřím, že důvodem toho, že jsou v očích uživatelů méně nebezpečné, je právě to, že jsou na 90 % všech desktopů.

Ale Linux se přesouvá na desktop, objevují se desktopové aplikace, desktopové distribuce a najednou se i zde začíná objevovat problém s phishingem, útoky a viry a je potřeba chránit i tento systém.

Myslíte, že budou třeba viry útočit na Linux více?

Už dnes známe linuxové viry a je jich víc a víc. Je jich samozřejmě stále mnohem méně než na Windows, ale důležité není, jestli je jich tisíc nebo deset. I jeden virus, který krade data, znamená v bance problém. Nemůžeme tedy doporučit zákazníkům jeden systém proto, že by byl bezpečnější.

Je to takhle: Vyberte si systém, který vám bude nejvíce vyhovovat ve vašem podnikání a pojďte diskutovat o tom, jak chcete řešit otázku updatů, komplexní bezpečnostní politiku, management hesel a bezpečnost aplikací. Neexistuje systém, o kterém bychom mohli říci, že je sám o sobě bezpečný. Je mnoho oblastí, na které se musíte zaměřit v každém případě.

Jakou roli v celém procesu hraje lidský faktor?

Ten je velmi velmi důležitý. Viděli jsme například dvě firmy, které měly naprosto stejnou bezpečnostní politiku, ale jedna z nich byla mnohem bezpečnější. Nejde jen o to, jak máte zabezpečenou síť, ale pokud kdokoliv může přijít a vy ho bez problémů pustíte dovnitř a ještě mu řeknete: „Prosím vstupte a dělejte si tu, co chcete,” tak máte veliký problém a ani nejlepší bezpečnostní software vám nepomůže.

My se snažíme například sami infiltrovat budovu a najít slabá místa. Máme na to své postupy. Učíme lidi, jak se správně chovat. Například jak správně volit hesla, jak často je měnit, učíme místní administrátory, aby měnili standardně předvolená hesla a podobně.

Mohu říci, že s dobře vyškolenými lidmi a běžnou technikou na tom budete lépe než se špičkovou technikou a lidmi, kteří nedbají základních bezpečnostních postupů.

Jaký je váš názor na stále častěji nasazované biometrické technologie?

Biometrické systémy jsou zcela jistě budoucností, která už postupně přichází. Už nyní můžete používat otisky prstů na různých zařízeních, která nahrazují smart karty, tokeny a podobná zařízení.

Rozhodně je to cesta ke zvýšení bezpečnosti. Existuje řada různých řešení od zmíněných otisků prstů až po skenování sítnice, které řada lidí odmítá, protože je docela nepříjemné přikládat někam oko a nechat si z něj neco snímat.

Problém je ale zatím někde jinde. Když ztratíte platební kartu, zajdete si do banky pro novou a je to. Není problém ji nahradit. S biometrickými údaji je to ale jiné, ty máte na celý život. Možná si můžete uříznout prst, ale těch máte jen deset (smích).

Takže je velmi důležité přemýšlet i nad kompromitací biometrických údajů. V IBM jsme vymysleli řešení, které je v tomto ohledu velmi pokrokové a bezpečné. Systém dokáže ukládat data například o obličeji podle určitého algoritmu. V případě, že tato data někdo ukradne, stačí jednoduše změnit algoritmus a celé je to opět bezpečné. Neukládá se tedy žádná fotografie obličeje, ale jen silně modifikovaná biometrická data uložená podle speciálního klíče, který je možné upravovat.

Dalším řešením je využít tyto technologie jen v lokálním měřítku. Například při použití v autě není potřeba nic odesílat, auto zjistí, že jste to vy a je hotovo. Biometrické údaje jsou tedy používány a uchovávány jen vámi.

Máme mnoho biometrických projektů, které se liší podle toho, kde a kým by měly být využívány.

S tímto souvisí také má další otázka. Co si myslíte o nedávných problémech s hash algoritmy jako MD5?

Víte, šifrování už používal Julius Caesar pro komunikaci se svými generály, takže to není nic nového. Vždycky tu byla válka mezi těmi, kdo algoritmy vymýšleli a těmi, kteří se je snažili prolomit. Je to dynamický proces, ve kterém nejde o to, jestli něco můžete prolomit nebo ne. Otázka zní, jak dlouho to potrvá a kolik to bude stát peněz.

Když si například zašifruji svůj soukromý disk, chlápci z CIA nebo podobné agentury jej budou moci přečíst, pokud budou chtít. V případě MD5 je to teď jen o něco jednodušší. Víme, že to není problém. Ale záleží na tom, k čemu ten algoritmus chcete používat.

Vždy se musíte na začátku zamyslet nad tím, co budete dělat a jaké nástroje jsou k tomu vhodné. Tento algoritmus je stále použitelný tam, kde nejde o přísně tajná data. Pamatujete DES?

Samozřejmě.

To je přesně ten případ. Všichni včetně vlády USA tvrdili, že šifra DES je naprosto bezpečná. Postupně se ale zjistilo, že to není až tak pravda a po čase bylo snadné ji prolomit. Tak se přešlo na složitější algoritmy s delšími klíči a bylo po problému. I ty budou ale časem prolomitelné. Je to pořád dokola.

Jako s viry a antiviry? Pořád nové a nové?

No, skoro. V případě virů je to ale trochu jinak. Když se objeví virus, vy ho najdete, prozkoumáte, přidáte do databáze a uživatelé jej mohou odstranit, zabere to relativně krátký čas.

V případě šifrování se ale objevují stále komplikovanější algoritmy, jejich analýza trvá dlouhou dobu a stojí mnoho peněz.

Šifrování je aktuální problém například u bezdrátových sítí, kterých je dnes ohromné množství a jsou všude.

Souhlasím. V případě bezdrátových sítí potřebujeme úplně nové bezpečnostní technologie a hlavně je potřebujeme dostat k lidem. V současné době, když spustíte bezdrátovou síť, otevíráte tím cestu do sítě v podstatě komukoliv. Když zapnete šifrování, jste sice o něco více zabezpečeni, ale jen asi na pět minut. Když někdo odchytí milión paketů a nechá z nich vypočítat klíč, je uvnitř. Není problém k tomu najít správné nástroje a použít je může klidně i moje dcera.

Existují některá řešení jako jsou zařízení, která často mění šifrovací klíče, takže nemůžete odchytit dostatek paketů se stejným klíčem. Opět je zde ale otázka, zda je to problém. Pokud například chcete stáhnout z mého počítače všechny fotografie a pošlat je mé ženě, prosím, udělejte to (smích). Jde o to, jaká data a jaké sítě se snažíte chránit.

Nehraje určitou roli také nedostatečná informovanost uživatelů?

Nemyslím, nemůžete přenášet celou problematiku bezpečnosti na uživatele. Když si myslí, že je to bezpečné, tak by mělo. Musíte myslet za ně, nejsou to odborníci, ale jen uživatelé. Není možné vysvětlovat mé babičce, jak funguje šifrování na síti. Nemá o tom ponětí, ale chce to používat.

Stejně je ale musíme naučit, jak se chovat. Všichni přece vědí, že nesmějí rozdávat klíče od svých domů, protože tam pak mohou přijít cizí lidé.

To je pravda, souhlasím. Rozdíl je ale v tom, že v případě fyzického světa máme dlouhou historii, mnoho zkušeností a dovedností. IT je nový obor, ve kterém se běžný člověk neorientuje tak snadno. V případě, že někdo napadne váš domáci počítač, je to váš problém. Když se to ale stane ve firmě, je to už problém firmy. Takže uživatele samozřejmě musíme učit.

Co třeba spam? To je velký problém, který straší všechny uživatele internetu. Jak je možno jej řešit?

Ano, spam to je velký problém. Když se podíváte na bezpečnost, je to především o penězích. Když chcete zdvojnásobit zabezpečení, bude vaše síť stát dvakrát tolik. Proto nabízíme některé služby, jako je například filtrace pošty. Když do firmy přijde mail, její server jej může odeslat k nám, my jej podle databáze porovnáme a buďto jej označíme za spam nebo ne.

Navíc máme další identifikační techniky, protože máme k dispozici statistiky a když vidíme, že jeden mail chodí tisíckrát tam a zpátky, můžeme říct, že to spam jistě je.

To je zajímavé, ale je tu velká možnost zneužití, když do jedné firmy směřuje tolik pošty.

Jistě, ale tak či tak ji může číst mnoho lidí po celém internetu, takže je to jedno. Navíc, když chcete opravdu chránit obsah pošty, musíte uvažovat například o šifrování.

Samozřejmě, ale pak nemůžete mail přečíst a zkontrolovat, jestli je to spam, takže se filtr mine účinkem.

Máme ale další informace o tom, kdo jej poslal, jak vypadá hlavička, co je v předmětu a podobně. O tom bychom mohli hovořit celé hodiny.

Co si myslíte o nedávné kauze společnosti Sony, která vkládala na svá CD software, který měl velmi podivnými způsoby chránit autorská díla?

Víte, to je velmi zajímavý problém. Samotná ochrana autorských práv není nic špatného. Když něco vyrobíte, chcete, aby se to prodávalo a nemáte zájem na tom, aby to někdo nelegálně šířil. Špatné ale je někomu bez jeho vědomí instalovat do počítače software. A to samozřejmě i když za tím stojí dobrý důvod. A to je to, co udělalo Sony.

Je to velmi komplexní problém, ale myslím, že nikdo nemá právo instalovat vám do počítače software bez vašeho souhlasu. Tady se ale ukazuje jiný problém. Lidé ze Sony balancují mezi dostatečnou ochranou autorských práv a jednoduchým použitím médií. Je to stále stejný boj.

Pamatujete na DVD regiony, které měly chránit filmy před přehráním v jiné části světa? Ono to chvíli fungovalo, ale dnes si s tím nikdo hlavu neláme a můžu si koupit v Evropě film, který si pustím v USA. Sony se snaží najít řešení, kdy budete moci hudbu přehrát, ale budete k tomu potřebovat speciální software.

Myslíte, že je to nutné? Knihu si také přeci můžete zkopírovat a nikdo vám v tom nebráni.

Samozřejmě, ale je tu jeden velký rozdíl. Zkopírovat knihu je složité, zdlouhavé a relativně drahé. Hudbu ale můžete šířit po internetu ve velkém a nebude vás to stát nic. Stejně tak třeba software. Zkopírování digitálních dat je otázkou stisknutí jednoho tlačítka.

Jaký je váš názor na patenty? O těch se také velmi často mluví a IBM patří mezi společnosti vlastnící největší množství patentů.

Patenty jako takové jsou velmi přínosná věc. Když do vývoje investujete velké částky, tak si chcete být jistý, že se vám ty peníze vrátí. Proto si pořídíte patent. Samozřejmě problém je, když někdo svým patentem zablokuje celý trh. Když si například patentujete vidličku, nikdo už ji nebude moci používat. Nejsem bohužel specialista na patentní právo.

Jak tedy vidíte bezpečnost s ohledem na Linux?

Jistě. Bezpečnost je velmi komplexní záležitostí. Je to vlastně taková skládačka a musíme se snažit, abychom ji složili správně do výsledného obrazu, ve kterém nebudou díry.

Linux má v tomto ohledu dvě tváře. Ta kladná vychází z toho, že do něj přispívá velké množství lidí a tak se velmi rychle rozvíjí a opravuje chyby. Toto velké množství přispěvovatelů ale zase vytváří největší problém – dovnitř se mohou dostat implementační chy­by.

Potřebujeme proto organizaci, která by celý proces kontrolovala. Když totiž uděláte v operačním systému implementační chybu, je velmi složité ji později napravit.

Samozřejmě Linux má jednu velmi podstatnou výhodu, kterou je otevřenost kódu. Ta zaručuje, že před námi nikdo nemůže nic skrývat. Navíc ta otevřenost nám umožňuje Linux vylepšovat a upravovat. Víme například, že Microsoft se jím zabývá a bere to velmi vážně.

Děkuji za zajímavý rozhovor.

Našli jste v článku chybu?

13. 12. 2005 18:21

Pochopitelne neposles prst, ale desifrovanou mp3. Dokonce i bez zvukovky s digitalnim vystupem je napsani programu/patche na prehravac, ktery zvuk misto poslani na zvukovku ulozi, pouze otazkou pochopeni kodu prehravace, nikoliv prolomeni sifry.

Taky nezapomen na to, ze ne kazdy ovladac v systemu musi patrit k fyzickemu zarizeni ...

17. 12. 2005 17:13

uživatel si přál zůstat v anonymitě
dneska je snad standart WPA2
120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Vitalia.cz: I život bez cukru může být sladký

I život bez cukru může být sladký

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

DigiZone.cz: ČRa DVB-T2 ověřeno: Hisense a Sencor

ČRa DVB-T2 ověřeno: Hisense a Sencor

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Vitalia.cz: Co pomáhá dítěti při zácpě?

Co pomáhá dítěti při zácpě?