Názory k článku Webové aplikace s sebou přinášejí různě závažná rizika

Bezpečnostní rating tohoto typu a přijímaná protiopatření jsou pěkná blbost! Už jenom proto, že hodnoty neznáme, ale pouze odhadujeme a navíc se v ČASE VŠECHNY HODNOTY MĚNÍ!
Například provozuji server s rodinnými alby pár kolegů. Pravděpodobnost útoku je někde mezi 0–5%. Za měsíc později, mi ale můj známý Bill Gates chce vyjádřit podporu tím, že se zaregistruje a nahraje své soukromé fotografie – pravděpodobnost útoku je nyní asi tak 10 000% :-DD
Stejně tak se mění i cílová skupina útočníků – s každým členem, s každým novým uloženým bitem do webové aplikace. Nemůžeme totiž předpokládat KDO a CO tam zrovna uloží, tímpádem nemůžeme pracovat s dost důležitou proměnou, na které závisí celý zbytek všech ostatních předpokladů.
Navíc ani nezáleží na tom, co je tam skutečně uložené, ale co si okolní svět myslí, že je tam uložené – hodnoty ratingu a potencionální rizika se tedy mění hlavně VNĚ webové aplikace.
Rating tedy pracuje s omylem a jeho výsledek nemůže být nikdy jiný než mylný :-)
–
Samozřejmě chápu tu potřebu lidí všechno vyjádřit čísly a nejlépe v bodech nebo ještě lépe v procentech. Ale to se speciálně u bezpečnosti NEDA. Nelze říct nebezpečí útoku je 5%; 65%; 80%… Vždy existují věci, které se nedají numericky zhodnotit.
Ale kdo ví, třeba se jednou dozvím, že podle „musical classic ratingu“ byl Bach skladatel dobrý přesně na 91,685% :-DDD

Ty tomu zase nějak rozumíš. Samozřejmě že se jedná jen o odhady. Záleží na firmě, jak si nastaví hodnocení rizik. Podobné ratingy máš v každém seriózním auditu. Když děláš třeba pro banku bezpečnostní audit, tak klient chce vědět, jak jsou závažné jednotlivé nálezy.

Dyk jo, tupym managorum se predhodi cislicka, oni zaplati a spokojenost je oboustrana. Pokud se ty cislicka navic skulikujou tak, ze je nezbytne nutne koupit „reseni“ (nic jinyho managori nekupujou) firmy XYZ, tim lip.

Uvedení v omyl s úmyslem získat majektový prospěch – až 3 roky nepodmíněně.

…to jo, ale dokázat to

„Za použití metodiky X je riziko Y. Pokud koupíme řešení od Z, sníží se nám riziko na polovinu.“ – to není žádný omyl, to je jen nicneříkající blábol. Buď managor metodice věří, nebo je to manažer.

Právnickou osobu nemůžete uvěznit. Za veškeré škody samozřejmě neodpovídá, pokud to jen trochu půjde, má ve smlouvě klauzule typu „odlišný právní názor“.

Já tomu právě rozumím hodně a proto se tomu směju :-) Tohle prostě nejde dělat „bodově“ nebo procentuálně. Problém je potřeba detailně popsat a neexistují na to tabulky, protože každý systém je v něčem originální a nelze ho zaškatulkovat.
Lékaři si také předávají lékařské zprávy a nálezy a nedělají ratingy, že „srdce paní Novákové funguje na 83%“ :-D
Ratingy jsou vždycky „pro blbce“, protože i hňup pozná větší číslo a tak se dokáže orientovat. Naopak pokud by se měl řídit vlastním mozkem, tak je vyřízenej.
Pak ještě existuje druhý důvod ratingu a to je ten, že mají něco skrývat nebo protlačit něco někakm, co by běžným schvalováním neprošlo. Například bezpečnostní audit v bance, jak jste zmínil. Když si někdo přečte, že dopadnul na 96%, tak je v klidu a tím se banka vyhne zveřejňování podrobností. Takže například jedna banka, kde jsem kdysi pracoval, měla chybu v zabezpečení bankomatů, kdy bylo možné provést výběr z karty ještě cca 15 sekund po jejím VYTAZENI klientem – tedy PENIZE MOHLA VYBRAT NEOPRAVENA OSOBA BEZ SEBEMENSI NAMAHY. No toto si někdo přečíst, tak už asi utíká od banky pryč… Ale protože existují ratingy v bezpečnostních auditech, tak bezpečnost místo 96% jenom 95% přece není tak hrozná, ne? :-))

To je trochu zjednodušený pohled. Jednak nevím, kde bych se jako klient banky dověděl o ratingu jejich bankomatů, a za další mě to jako klienta banky ani nenapadlo. Takže si myslím, že takový rating je pro majitele bankomatu a tomu je zase naprosto jedno _jak_ se ty peníze ztrácejí. Důležité je pro mne jaké je riziko, resp. s jakou ztrátou mohu počítat, abych mohl vypočítat poplatky, které tu ztrátu pokryjí. A tato informace pochopitelně je platná v nějakém omezeném čase a obsahuje nepřímo i zkutečnost, nakolik se o takové chybě ví atd. atd.

V tomhle ma Honza podle me pravdu. Vsichni se to snazi okecat a zamaskovat dulezite detaily pod velke cisla ktere neobsahuji slova.

a) nepřijde na to nikdo — nula b) přijde na to zlodejíček, co si to nechá pro sebe a bude si sám krást — nakrade pár desítek až stovek tisíc c) přijde na to někdo, kdo to dá na internet — zničená reputace u internetové komunity (ale lidí, co čtou internet je ještě malé procento v populaci, takže to ustojíš) d) přijde na to někdo a dá to novinářovi do televizních novin — můžeš tu síť bankomatů rovnou zavřít, množství pitomců co si to půjdou po shlédnutí zpráv vyzkoušet bude ohromné

A ať tu chybu audituješ jak chceš, nemůžeš předpokládat, jaký z těchto scénářů nastane.

Šíření té bezpečnostní chyby je nestabilní proces. Třeba jako když dáš kuličku na vrchol kopečku a zeptáš se kam se skutálí — když ten pokus mnohokrát opakuješ, zjistíš, že průměrná poloha kuličky je uvnitř toho kopečku, pod místem, kde jsi ji pustil. Ale ve skutečnosti tam nebude ani v jenom případě.

Neexistuje žádný pan X, který by byl majitelem bankomatu. Bankomaty vždy vlastní firmy a tam je zaměstnáno více lidí na více úrovních. Šéf technického oddělení samozřejmě ví o problému s bakomatem a jeho lidé na něm usilovně pracují. Ale tenhle šéf nemá vůbec žádný zájem o to, aby mu stál jeho šéf za zadkem a neustále se ptal „a už je to opraveno?“ „no co s tím uděláte?“ „dva týdny a vy to pořád nemáte vyřešeno?“ A právě pro tohle se používají metriky :-) Vykážete šéfovi, že pracujete na 96 procent a on je spokojen a nezajímá se o detaily, vy máte klid na práci a můžete se věnovat tomu, co je opravdu důležité.

Tohle funguje všude :-) I u nás – výrobní ředitel má velký zájem na tom, aby měl maximum informací a dat, protože podle nich řídí výrobu. Ale zároveň má zájem na tom, aby jeho nadřízení měli jen minimum informací a dat. Tak se stanovila malá sada metrik a ty on reportuje. Cíl pro tento měsíc je 32, skutečný výsledek je 33, manažeři jsou spokojení a výrobní ředitel má klid na řešení problému, že jedna z linek několikrát za den umře a musí ji resuscitovat lidé z IT.

Osobně si mysím, že takhle je to správně. Šéf nadnárodní korporace by skutečně neměl řešit, že na jedné z poboček dostali od dodavatele šarži šroubků se závitem mimo toleranci. On má dostávat pouze agregovaná data, informace globálního významu. Prostě pár čísel, pomocí kterých si ověřuje, že na to jeho podřízení nezačli kašlat nebo že nedošlo k nějakému zásadnímu problému. Bohužel v oblasti „internetové bezpečnosti“ ještě žádné číslo spočítat neumíme, protože jsme v oblasti pravděpodobnosti, nikoliv statistiky. Ve chvíli, kdy na mé servery bude někdo útočit několikrát denně a budu mít statistiku z mého ID/IC, budu mít reálné číslo k vykazování. Dokud ale toto nesleduji (nebo není co sledovat), je to jako počítat spolehlivost dodávek od dodavatele, od kterého jsem zatím nikdy nic nekoupil.

Stejně jako jakákoliv metodika, návod, … i toto je doporučení, z kterého si zájemce může vytáhnout, co potřebuje. Lze použít třeba i obrázky (třeba prasátko, mráček atd. :-)) pro označení závažnosti toho či onoho rizika. Můžete střílet od pasu, to je na zkušenosti, ale v případě, že provádíte např. penetrační test pro někoho jiného (banku, mobilního operátora, …), může být detailnější popis toho, jak jste se dopracoval k ohodnocení toho či onoho rizika, vhodným komunikačním prostředkem mezi vámi a klientem. Před zahájením penetračního testování (anebo auditu) je někdy (opravdu někdy) vhodné, aby si klient i zhotovitel určili, podle jakých kritérií budou míru rizika stanovovat. Obvykle klienta opravdu nejdříve zajímá, jaký dopad bezpečnostní díra může mít (často se konkrétní riziko spojuje s podnikatelskými riziky).
Máte-li po provedeném penetračním testování seznam řekněme několika stovek rizik, můžete je seřadit podle závažnosti. Je-li na někom, aby tyto nálezy opravil, lze pak snadno říci, které nálezy se ošetří dříve, které později a které vůbec.
Osobně bych u velkých aplikací a u aplikací s možným značným dopadem volil detailnější popis toho, jak určit závažnost rizik. V případě jednoduchých webových aplikací bych volil jednoduchý systém – třeba i obrázkový, ale jednoznačný.

Neříkám,že s Vámi v některých bodech nesouhlasím a ani nechci tvrdit, že tomu nerozumíte – jen zřejmě máte jinou zkušenost. Ale dobře. Představte si, že jste provedl penetrační test. Máte 5 nálezů. Seřaďte je podle závažnosti. Jak to uděláte? Provedete jiný penetrační test – máte 3.000 nálezů. Zkuste i tyto nálezy seřadit podle závažnosti. Jak to uděláte?
Řekněme, že máte týmu vývojářů sdělit, které nálezy mají opravit dříve, které později a které vůbec. Jak budete postupovat? Jak jim svůj postup obhájíte? Jak moc nákladné budou opravy?

ó to koukám, pán má velké sebevědomí, rozumím tomu hodně říkáte??
beztak jste jen vývojář, který umí myslet jen podle návodů.
Zkuste trochy myslet sám za sebe.
Ten článek rozhodně je velmi profesionální. Pro někoho, kdo do penetračního testování nedělá může být nesrozumitelný, či neuchopitelný – stejně jako pro Vás.
Tak by se ale neměl vyjadřovat.
Článek je velmi kvalitní.

Osobně mi na této metodě vadí, že ačkoliv pracuje s pravděpodobností, výsledek vydává za statistický údaj. Výsledný údaj je jen pravděpodobnost a proto:

• Samotná hodnota nic nezanemaná a je bezrozměrná
• Hodnoty pro dvě různé aplikace jsou neporovnatelné
• Různé hodnoty (v čase) pro jednu aplikaci jsou souměřitelné pouze jako „roste/klesá“, nikoliv v číslech. Mohu tedy říci, že riziko klesá, ale nemohu říci nic jako „riziko kleslo o 10 procent“.

navíc základní riziko je dáno počtem útoků ku počtu stránek. Antilopy si taky celkem klidně žijí v blízkosti lvů.

když všichni mají kolem vás zamčené dveře, potencionální zloděj si sebou přinese potřebné nářadí, bez ohledu na to, že zrovna vy nezamykáte :-)

ty seš nějakej chytrej