SANS Security

Jak pewnie nieliczni Czytelnicy pamiętają, wybierałem się na doroczne szkolenie z bezpieczeństwa sieci. Bez problemów i bezpiecznie dotarłem na drugi koniec kontynentu, choć prawdziwą przeszkodą nie byli terroryści ani hakerzy, tylko zwyczajny śnieg, który zasypał i sparaliżował większość lotnisk. Ale oczywiście jak człowiekowi prześwietlą laptopa oraz każą ściągnąć buty, to od razu czuje, że ktoś o niego bardzo dba. A noc samotnie spędzona na lotnisku, gdzie byłem jedynym pasażerem w towarzystwie kilkunastu agentów TSA, to niezapomniane przeżycie.

Jak pewnie nieliczni Czytelnicy pamiętają, wybierałem się na doroczne szkolenie z bezpieczeństwa sieci. Bez problemów i bezpiecznie dotarłem na drugi koniec kontynentu, choć prawdziwą przeszkodą nie byli terroryści ani hakerzy, tylko zwyczajny śnieg, który zasypał i sparaliżował większość lotnisk. Ale oczywiście jak człowiekowi prześwietlą laptopa oraz każą ściągnąć buty, to od razu czuje, że ktoś o niego bardzo dba. A noc samotnie spędzona na lotnisku, gdzie byłem jedynym pasażerem w towarzystwie kilkunastu agentów TSA, to niezapomniane przeżycie.

Całkowite bezpieczeństwo.

Na miejscu w San Diego konferencja SANS Institute zaczęła się bez zgrzytów, choć miła panienka w rejestracji nie bardzo zrozumiała mój dowcip na temat innego znaczenia nazwy instytucji organizującej całą imprezę. Cóż, nie każdy miał okazję odwiedzać Sans Souci na dowód osobisty, co było jedną z niewielu możliwości podróżowania po naszej stronie muru. Jak widać, podróże zagraniczne kształcą, choć nigdy nie wiadomo, do czego przydać się może nabyta wiedza. W tym przypadku dokładnie do niczego. Jednakże jak człowiek wykracza poza granice oficjalności, to jest od razu inaczej i chyba lepiej postrzegany. Ja w każdym razie dostałem dwie czekoladki.

Samo szkolenie, ukierunkowane na egzamin sprawdzający umiejętności specjalisty od bezpieczeństwa, okazało się banalnie proste. Po 11 września wszyscy chcą wiedzieć, jak zabezpieczyć się przed katastrofami, ale mało kto przyjmuje do wiadomości, że poziom bezpieczeństwa zależy od zainwestowanych pieniędzy. Widać to dobrze w naszym prywatnym życiu: cóż z tego, że zakładamy kraty w oknach, alarm w samochodzie i mieszkamy w ogrodzonym osiedlu ze strażnikami 24/7, kiedy od czasu do czasu musimy pojechać zrobić zakupy albo do kina. Zresztą nasza świadomość bezpieczeństwa jest dużo ważniejsza niż realne zabezpieczenia. Na przykład moja żona z pasją godną najważniejszej w życiu sprawy zamyka od środka drzwi mieszkania, choć klamka z zewnątrz jest uruchamiana tylko kluczem, tym samym zresztą, który otwiera główny zamek.

Tak też dzieje się w wielu systemach komputerowych: mamy wiele zabezpieczeń, ale drzwi do pokoju, w którym stoi serwer, nigdy nie są nawet przymknięte, zaś instalacja przeciwpożarowa jest anachroniczna. Z kolei zainstalowanie automatycznych gaśnic wyrzucających dwutlenek węgla będzie oznaczało niemożliwość wejścia do pomieszczania jak już zdarzy się ogień. Zresztą podobno najwięcej danych komputerowych jest kradzione wraz z komputerami przenośnymi. Nic więc dziwnego, że w recepcji konferencji oferowano nie tylko książki, jak przygotować plan działania firmy po katastrofie, ale także stalowe linki zabezpieczające komputery. Podejrzewam, że te ostatnie mogą okazać się znacznie lepszą inwestycją.

Na pewno jednak przyjęcie konferencji bezpieczeństwa komputerowego nie było dobrą inwestycją dla hotelu, gdzie się ona odbywała. Już drugiego dnia zajęć ogłoszono, że jeśli szkoleni nie przestaną używać narzędzi, które dostali na zajęciach praktycznych, do szperania po hotelowej sieci internetowej, to dostawca zagroził odłączeniem całego bałaganu. Rzeczywiście, jak kilkaset osób naraz spróbowało skanować porty wszystkim innym uczestnikom, to sieć siadła i żadne ostrzeżenia o niskiej jakości kryptograficznej WEP-a nie przekonywały.

Jak wiadomo, najbezpieczniejszy jest wyłączony komputer, co praktycznie udało się osiągnąć. Państwa felietonista, używający laptopa iBook z Mac OS X, patrzył na ten cały cyrk z wyższością, którą może dać tylko poczucie bycia innym, a więc mniej narażonym na standardowe słabości.