Faktury elektroniczne EBPP

Trystero

Chińska droga do najnowocześniejszych technologii

Opublikowane przez Trystero w kategorii Gospodarka, Polityka, Świat dnia 25.08.2011 | Komentarze (7) »

Jakieś dwa miesiące temu poruszyłem temat bezpieczeństwa informatycznego. Podałem przykład jednego z włamań do strzeżonego systemu informatycznego: hakerzy po uzyskaniu informacji, że firma zajmującą dostarczaniem tokenów do logowania do systemów firmowych i bankowych prowadzi akcję rekrutacyjną rozesłali do pracowników tej firmy emaile z załącznikiem w postaci arkusza kalkulacyjnego o nazwie 2011 Recruitment Plan. System antyspamowy zadziałał – wszystkie emaile trafiły do Spamu. Znalazł się jednak jeden dzielny pracownik, który odzyskał email ze Spamu i otworzył załącznik. Koszt dystrybucji nowych tokenów to od 50 mln USD do 100 mln USD.

Michael Joseph Gross w fenomenalnym artykule w Vanity Fair zatytułowanym Enter the Cyber-dragon wskazują, że za opisanym włamaniem mogli stać hakerzy pracujący na zlecenie chińskiej armii. Tokeny i inne systemy bezpieczeństwa produkowane przez RSA zabezpieczają najważniejsze amerykańskie instytucji, z Białym Domem, CIA, NSA, Pentagonem i Departamentem Bezpieczeństwa Wewnętrznego, a także większość dostawców sprzętu militarnego i znakomitą część największych amerykańskich korporacji.

Gross zastrzega, że ze względu na charakter ataków hakerskich nie można ze 100% pewnością wskazać gdzie są inicjowane. Wszystko wskazuje jednak na to, że ostatnie zmasowane ataki na amerykańskie korporacje (w tym na Google, Intel, Morgan Stanley,  Lockheed Martin, Northrop Grumman) zostały dokonane przez chińskich hakerów. Co więcej, wiele wskazuje na to, że zostały zainspirowane lub zlecone przez chińską armię.

Artykuł w Vanity Fair jest lekturą obowiązkową. Gross sugeruje, że amerykańska administracja współpracuje z sektorem prywatnym w śledztwie dotyczącym ostatnich cyberataków, które ma kryptonim Operation Starlight. Wstępny raport z kwietnia 2011 wskazywać ma na Chiny jako inicjatora ataku na RSA.

Głównym produktem RSA były tokeny wytwarzające krótkotrwałe jednorazowe hasła, które dopisuje się do zapamiętanych wcześniej sekwencji w celu zalogowania się do strzeżonych sieci. RSA kontrolował 70% rynku.

Jednym z frontów cyberwojny był opisywany w mediach atak na Goole. Skłonił on zarząd firmy do powiększenia zespołu bezpieczeństwa informatycznego z małej grupy do ponad 200 osób. Wśród korporacji zaatakowanych w ramach Operation Aurora znalazły się Yahoo, Symantec, Adobe, Juniper Networks, Intel,  ExxonMobil, Royal Dutch Shell, BP, Conoco Phillips, Marathon Oil, Lockheed, Northrop Grumman, Disney, Sony, Johnson & Johnson, General Electric, General Dynamics i DuPont.

Skala opisanych ataków oraz sektory, w których działają zaatakowane korporacje wskazuje na zorganizowaną akcję szpiegostwa przemysłowego i militarnego. Sytuacja jest tym bardziej niejasna, że amerykańska administracja, w obawie przed przyznaniem się do totalnego zaniedbania bezpieczeństwa informatycznego USA, jest niezwykle niechętna upublicznianiu jakichkolwiek informacji.

Co ciekawe, całkiem niedawno chińska telewizja, najprawdopodobniej przez pomyłkę, pokazała program komputerowy stworzony na Electrical Engineering University of China’s People’s Liberation Army, który służy przeprowadzania cyberataków na strony ruchu Falun Gong.

Z artykułu Grossa warto zapamiętać tę historię: ekspert ds. bezpieczeństwa IT przypomina sobie konwersację pomiędzy dyrektorem finansowym (CFO) a dyrektorem IT (CIO), która miała miejsce po znalezieniu 65 ‘dziur’ w systemie bezpieczeństwa dużej korporacji, w której pracowali. Zabezpieczenie systemu wymagało sporych inwestycji. CFO zapytał co najgorszego może się stać jeśli firma nie poprawi zabezpieczeń. CIO odpowiedział, że spółka jest mocno narażona na ryzyko, może zostać zaatakowana. Nie, nie, nie – odrzekł CFO – jakie byłyby finansowe skutki nie podjęcia działań naprawczych. CIO wyjaśnił, że regulacje i audyt nie dotyczą bezpieczeństwa IT więc nie będzie żadnych kar. CFO odpowiedział, że takim razie projekt nie otrzyma finansowania.

To jednak z lepszych anegdot pokazujących kwintesencję kapitalizmu korporacyjnego, w którym absolutną władzę sprawują kwartalne sprawozdania finansowane. Zastanawiam się, czy podobną rozmowę, w sprawie wyłączników akustycznych, przeprowadził jeden z inżynierów BP z managerem wyższego szczebla.

Podziel się z innymi:
  • Wykop
  • Google Bookmarks
  • Facebook
  • BLIP - Bardzo Lubię Informować Przyjaciół
  • Co-Robie.pl | Co teraz robisz?
  • Wrzuć to na Flakera - powiadom swoich Znajomych
  • grono.net - internetowa społeczność przyjaciół
  • Dodaj link - Linkr.pl - tylko ciekawe linki
  • Polec.pl - Pozytywnie Odjazdowo Lajtowo Elokwentny Content
  • Dodaj wyczajenie
  • Spis.pl - najciekawsze w sieci
  • pinger.pl - Nie taki zwykły blog.

Komentarze (7) do "Chińska droga do najnowocześniejszych technologii"

  1. samowuj powiedział(a):

    Historia z CIO i CFO nie dotyka chyba kapitalizmu korporacyjnego, a raczej pozycję IT we współczesnych przedsiębiorstwach. Z jednej strony wszystkie się informatyzują na potęgę, a z drugiej strony biznes nie zauważa głębokiego uzależnienia działalności właśnie od technologii.
    Ten przypadek jednak wskazuje na dość częsty specyficzny stosunek IT do efektów swojej pracy. Jeżeli jest dziura w oprogramowaniu bezpieczeństwie to jest to… dziura w oprogramowaniu, a nie ryzyko biznesowe, które można oszacować i wycenić.

  2. Bolko77 powiedział(a):

    To mi przypomina zimna wojne pomiedzy ZSRR i USA i “Akwarium” Suworowa. Autor opisywał że jak Rosjanie testowali jakąs rakiete (która sie rozbiła) to później wysyłali batalion żółnierzy żeby pozbierać wszystkie elementy a na Zachodzie taką rakiete można bylo kupić na targach broni ewentualnie od chłopa który miał pole przy poligonie wojskowym.
    Mam nadzieje że tu będzie podobnie. Chyba angielski jest łatwiejszy ni chiński.

  3. qwerty powiedział(a):

    USA mają doświadczenie w ochronie przed wykradaniem technologii, tutaj historia jak wykiwali ZSRR: http://en.wikipedia.org/wiki/Siberian_pipeline_sabotage

  4. Lulu powiedział(a):

    Bardzo prosze o nie pisanie slowa haker jako negatywnego. ktos kto niszczy i sie wlamuje to craker.
    Haker to bardzo nobliwe określenie. Tyle co polski ‘dziubacz’ (dosłowne tl.rębacz) czy pozytywnie okreslenie kujon. Haker to tyle co inzynier. Osoba, ktora sie zna na rzeczy.

  5. Trystero powiedział(a):

    @ Lulu

    Pisz w tej sprawie do Rady Języka Polskiego.

    Za Słownikiem języka polskiego:

    haker, hacker [wym. haker] osoba włamująca się do sieci i systemów komputerowych

  6. kravietz powiedział(a):

    CFO zadał bardzo poprawne pytanie i podjął poprawną decyzję na podstawie otrzymanych informacji. Natomiast CIO wprowadził go w błąd, sprowadzając koszty potencjalnego ataku do regulacji, audytu i kar. Dlatego ta anegdota wydaje mi się średnio wiarygodna.

    W 2008 roku firmie Heartland Payment Systems skradziono ponad 130 mln numerów kart kredytowych. W postępowaniach ugodowych z Visą i Amexem straciła w sumie ok. 60 mln dolarów, plus chyba 5 mln dolarów na odszkodowania dla poszkodowanych bezpośrednio posiadaczy kart (pozew zbiorowy).

    Koszty utraconych korzyści (lost business) są nieznane, ale branżowe raporty szacowały je wówczas na ok. $60 za jeden rekord (numer karty). Górna granica strat jakie poniósł Heartland w wyniku swojej niekompetencji wynosi więc prawie 8 mld dolarów.

    Do tego tuż po ataku ich notowania na NYSE spadły o ok. połowę i trwały w tym stanie przez ok. 1,5 roku. Nie mam pojęcia jak to się liczy ale coś na tym pewnie stracili.

    I to wszystko bez udziału regulatora i kar.

  7. kravietz powiedział(a):

    I jeszcze mój ulubiony ostatnio cytat pokazujący pewne charakterystyczne skrzywienie branży IT w zarządzaniu bezpieczeństwem informacji:

    Tippett has a name for what he finds to be a predominant mode of thinking about the problem. He calls it the “Wouldn’t it be horrible if…” approach. In this framework, IT security specialists imagine a particularly catastrophic event occurring. Regardless of its likelihood, it must be avoided at all costs. Tippett observes: “Since every area has a ‘wouldn’t it be horrible if…’ all things need to be done. There is no sense of prioritization.” (źródło)

    Rezultat jest taki, że firmy potrafią wypieprzyć miliony dolarów na zabezpieczanie się przed ryzykami marginalnymi, równocześnie ignorując ryzyka i kosztowne i prawdopodobne bez ochrony bo nie potrafią ich nazwać, opisać i uszeregować według ważności.

Przepraszamy, możliwość dodawania komentarzy jest obecnie wyłączona.

Trystero

niezależny blog finansowy

Autor bloga jest inwestorem giełdowym i doktorantem na czołowym polskim uniwersytecie. Publikowane na blogu teksty dotyczą rynku kapitałowego, ekonomii, gospodarki i życia społecznego– w takiej mniej więcej kolejności więcej »

Content on this page requires a newer version of Adobe Flash Player.

Get Adobe Flash player