Ovaj blog će ispričati četiri priče koje su, samo naizgled, međusobno nepovezane. Priče su o časti i poštenju, zatim o onima koji nisu imali prilike da postanu „pošteni nalazači", zlonamernom hakeru koji se previše zaneo i upao u „medenu zamku" i o tome kako sila akcije inicira silu reakcije.

 Priča prva: Čast i poštenje pre svega

Nedavno je objavljena vest da je Milanko Obućina iz Sjenice vratio 4.200 evra, koje je pronašao, iako živi u siromaštvu, odbio čak nagradu za svoje poštenje. Milanko je postao junak javnosti. Nadam se da njegov gest neće ostati usamljen. Evo vesti koja je bila na B92, kao i na na RTS-u.

Iako je vreme ekonomske krize, tržište u oblasti proizvoda i usluga vezanih za računarsku bezbednost je veoma živo. To pokazuje i veliki broj akvizicija (kupovina) firmi koje se bave ovom granom od strane giganata kao što su IBM, HP, Dell, Symantec, BT, Thales, EMC2. U ovom blogu ću pokušati da analiziram zašto se to dešava i kakvi se trendovi mogu očekivati u budućnosti.

Zašto se vrše akvizicije (preuzimanja, kupovine) firmi? Kada neka kompanija želi da ostvari rast, ponudi nove proizvode i usluge, prodre na nova tržišta (geografska ili do ciljnih grupa do kojih nije mogla da dođe), onda može da to postigne svojim unutrašnjim (organskim) rastom ili akvizicijom drugih firmi, koje željene proizvode i usluge imaju, mogu brže da ih razviju ili su već zauzele određena regionalna tržišta ili željene segmente i ciljne grupe.

Jedna od velikih dilema savremene nastave iz oblasti računarske bezbezdnosti jeste da li studente računarske tehnike, koji slušaju ovaj kurs, treba obrazovati na temu pisanja računarskih virusa i zlonamernog koda uopšte. Na prvi pogled dilema deluje jednostavno. Jedni će reći: „Ne nikako! Zašto da ih učimo nečemu lošem!", drugi će reći „Obavezno, inače kako će znati da naprave i primene sisteme odbrane od virusa". Kada se zagrebe malo dublje ispod površine i detaljnije razmisli, vidi se da odluka nije ni izbliza jednostavna, kao što na prvi pogled može izgledati. Kada sam ovu temu diskutovao sa studentima, većina njih nije uopšte bila ravnodušna - čak naprotiv, a ponekad je „letelo perje" od argumenata za i protiv. Često se povlači paralela sa nastavom iz oblasti medicine i farmacije gde se, navodno, na nekim univerzitetima i u određenim strogo kontrolisanim uslovima, gaje i izučavaju biološki virusi.

Mislio sam zato, da pitam Vas čitaoce bloga, šta mislite o ovoj dilemi? Znam da među čitaocima bloga ima stručnjaka svih profila, pa bi različita mišljenja pomogla. Tekst ispod analizira različite aspekte dileme.

U tekstu je korišten je i materijal iz diplomskog rada studenta Nenada Stojkova (Visoka škola elektrotehnike i računarstva strukovnih studija), tako da kolegu Stojkova potpisujem kao koautora ovog bloga.

Pri kraju svake godine se sabiraju utisci iz prethodne i prave predviđanja za iduću godinu. Pokušaću da prognoziram trendove u oblasti sigurnosti i privatnosti vezano za upotrebu računarskih, informacionih i komunikacionih sistema i mreža za 2011. godinu.

Evo moje prognoze 10 najvažnijih trendova:

Nedavno se desila interesantna „tehnička greška". Rejting agencija Standard & Poor's (skraćeno: S&P) je poslala pogrešnu poruku odnosno upozorenje velikom broju svojih pretplatnika širom sveta sa informacijom da je kreditni rejting Francuske sa trostruko-A (triple-A) snižen na sledeći nivo.

Često se dešavaju različite tehničke greške koje mogu imati visoku cenu. One mogu biti posledica nepažnje, nemara, nepostojanja ili neadekvatnih procedura rada ili provera. Neke greške u prošlosti su mogle da dovedu do ogromnih šteta i drugih dramatičnih posledica. Ovo je otvorilo i pitanje: kako se proverava softver, koliko se detaljno brine o njegovoj tačnosti i preciznosti rada, kao i o sigurnosnom aspektu, kao i odgovornosti.

Prva radna verzija programa državne podrške IT sektoru postavljena je na Web sajtu Ministarstvu finansija i privrede. Prema ovom programu, industrija softvera i IT usluga biće podstaknuta i podržana u četiri osnovna segmenta:

Romantično vreme hakera u kome su oni primarno pokazivali svoje veliko znanje da bi se pohvalili pred društvom, komšilukom i devojkama, je izgleda polako iza nas. Nažalost, odavno je značenje termina haker počelo da dobija negativni prizvuk, koji sve više dominira i podrazumeva onoga ko zloupotrebljava svoje znanje da bi, često nezakonitim akcijama, stekao materijalnu korist ili napravio nekom štetu. Danas je na delu čitava hakerska ekonomija, a često su u pitanju i velike sume novca koje obrće. Postoje tvrdnje da se u svetu računarskog kriminala godišnje obrću čak i milijarde dolara.

Naravno, to je teško pouzdano utvrditi i znati. Ima onih koji misle da su u pitanju preterivanja i licitiranja. Kako god, treba biti oprezan i sprovesti mere prevencije i zaštite.

Kada se nešto ne uradi kako treba na vreme ili u pravo vreme, onda dugovi dođu na naplatu pre ili kasnije, uz dodatnu cenu i moguću štetu. Propusti i greške, bilo da su svesno ili nesvesno učinjeni ranije, pojave se najčešće u nevreme kao svojevrsni duhovi iz prošlosti.

Tako je u raznim oblastima života, pa i u razvoju softvera. Problemi prouzrokovani greškama i propustima u starom programskom kodu, od kojih su neki sa vrlo ozbiljnim posledicama, iskrsavaju sve češće. U ovom tekstu navodim nekoliko primera koji su se pojavili prošle i ove godine. Nakon toga slede preporuke kako bi ubuduće mogli da se umanje ili izbegnu ovakvi problemi.

Jedan od nedavno otkrivenih propusta u softveru dobio je, na interesantan način, upravo ime GHOST ili, u prevodu, duh.

Ponekad praksa i događaji idu brže od planova i obećanja i pojave se neke naizgled neverovatne stvari, koje mogu da zapanje mnoge od nas. Tako je i sa vešću koja se pojavila na Internetu juče ili prekjuče - Carrier IQ može da prati svako dugme koje Vi pritisnete na svom mobilnom telefonu i da ga pošalje IQ serverima!

Pa da krenem redom.

Google se sprema da ponudi korisnicima Gmaila opciju povećane sigurnosti primenom provere identiteta (autentifikacije) bazirane na dva faktora (engl. two-factor authentication - 2FA).

Nova 2FA opcija ili dvostepena verifikacija, u Google terminologiji, će uvesti dodatni sloj sigurnosti u kome korisnici koriste mobilni telefon, fiksnu telefonsku liniju ili mobilnu aplikaciju na koju će primati jedinstveni kod za prijavljivanje na sistem koji važi samo jedanput. To je dodatak na uobičajenu kombinaciju korisničko ime / lozinka.Ova nova opcija će biti postupno nuđena korisnicima.