.jpg)
Academia Română a fost creată în 1866 pentru a cristaliza cele mai înalte valori intelectuale din provinciile românești într-o societate erudită menită să consolideze identitatea națională pe baza a patru componente esențiale: limbă și literatură, istorie, etnografie și cultură. La...
O incursiune in securitatea informatiei impreuna cu recunoscutul expert american Phillip Zimmerman
Joi 09 februarie, ora 13,00, Grand Marriott Hotel, dupa conferinta de presa organizata cu ocazia evenimentului „IDC Security Road Show”. Vorbitorii parasesc sala. Intre ei, foarte relaxat si vorbind la telefon (cred ca suntem pe cale sa devenim o rasa numita „homo mobilus”), domnul Phillip Zimmerman. Venit special pentru a-l intervieva, incerc sa-l abordez. Ma primeste cu un zambet larg, dar ma lasa masca, spunandu-mi ca nu poate sa discute cu mine deoarece IDC-ul nu are prins in program asa ceva. Se scuza si, din nou, suna telefonul... Ma reped catre cei de la IDC pentru a incerca sa remediez situatia, cu gandul ca nu-mi pot permite sa pierd aceasta oportunitate... Si, in sfarsit, dupa o scurta asteptare, primesc un raspuns afirmativ: domnul Zimmerman ma asteapta in restaurant...
In loc de introducere...
Inainte de a incepe, domnul Zimmerman ma intreaba daca o sa facem un interviu sau o sa discutam liber. Cand ii zic ca as dori un interviu, ma intreaba, oarecum mirat (s-a vazut ca s-a mai intalnit cu aceasta situatie), de ce jurnalistii din Europa de Est doresc interviuri inregistrate (lansez pe aceasta cale, catre colegii mei, o invitatie pentru a-si spune parerea despre acest aspect) in loc sa scrie un articol... Eu fac o pauza, pentru a da un raspuns cat se poate de obiectiv, insa, anticipand pozitia lui (mai ales ca eram si la masa...), accept sa fac articolul in locul interviului. De aici incolo il lasam pe domnul Zimmerman sa ne povesteasca.
La inceput a fost PGP-ul...
Domnul Zimmerman este cel care a inventat cea mai folosita tehnologie de codare a mesajelor e-mail-urilor, denumita usor ironic „Pretty Good Privacy”. Aceasta aplicatie, care a fost proiectata initial ca un instrument de lupta pentru drepturile omului, a fost publicata „free” pe internet in anul 1991. Acest lucru i-a adus pe cap domnului Zimmerman o ancheta amanuntita - din partea guvernului american - care a durat nu mai putin de cinci ani. Domnul Zimmerman explica: ”Inainte de PGP nu exista posibilitatea ca doi oameni sa comunice la distanta fara riscul de a le fi interceptata convorbirea privata. In acele timpuri, toate celelalte modalitati de comunicare puteau fi interceptate, guvernul american dispunand, inca de atunci, de instrumente capabile sa intercepteze convorbirile telefonice sau e-mail-urile”.
Lucrurile s-au mai schimbat, au evoluat oarecum, insa specialistii sunt de acord ca e-mail-ul ar trebui sa fie mult mai codat decat este acum. Avem deja o istorie a incercarilor marii majoritati a utilizatorilor de e-mail de a adopta sistemul de codare PGP, dar acest lucru a fost dificil de realizat pana acum si din cauza „inertiei” pe care oamenii inca o au fata de lucruri cum ar fi: conceptul de „pCertfication”, alte modele de „trust” si infrastructuri pentru cheile publice.
L-am intrebat pe domnul Zimmerman ce rezerva viitorul pentru PGP si pentru rolul sau de «aparator al drepturilor omului». Raspunsul a fost foarte interesant…: “Imaginati-va doua reprezentari grafice (de tip “pie”). Prima reprezentare desemneaza toate e-mail-urile din lume. Din ea poti sa-ti dai seama cu ochiul liber ca o parte foarte mica dintre e-mail-uri este criptata.
Majoritatea e-mail-urilor nu sunt codate. Acum, daca extinzi aceasta parte a mesajelor codate pe cel de-al doilea grafic, unde toate e-mail-urile ar fi codate, ti-ai da seama ca aproape tot graficul reprezinta de fapt PGP. De ce, dupa 13 ani de la lansarea PGP-ului, avem o parte atat de mica de e-mail-uri codate?
Raspunsul ar fi acesta: “curba cunoasterii” este prea mare pentru oamenii ”nesofisticati” din punct de vedere tehnic. Ar trebui ca toata treaba sa se faca automat “.
Un nou inceput…
La inceput a fost PGP pentru e-mail-uri, apoi a aparut PGP pentru modemuri. Acum, domnul Zimmerman debuteaza cu un nou proiect pentru VoIP, care, spera el, va fi pentru comunicarea prin internet ceea ce PGP este pentru comunicarea prin e-mail, restabilind cateva dintre libertatile civile care au fost pierdute in ultimii ani si ajutand domeniul “business” impotriva corporatiilor de spionaj. VoIP sau telefonia prin internet este un serviciu “free”, care permite oamenilor de pe intreg globul sa comunice intre ei intr-un mod foarte simplu. Interesul pentru VoIP a crescut rapid datorita folosirii serviciilor fara plata. Dintr-un sondaj recent reiese ca 11 milioane de oameni folosesc serviciile VoIP cu plata si cel putin alti 35 milioane oameni folosesc serviciile “free”. Din cauza folosirii tot mai mari a acestui nou tip de comunicare, care utilizeaza retele de banda larga, convorbirile telefonice au devenit vulnerabile in fata atacurilor lansate de crima organizata, care a invadat deja spatiul internetului non-VoIP. Domnul Zimmerman puncteaza: “Cred ca VoIP-ul este mostenitorul fara drept de apel al “Public Switched Telephone Network”, este succesorul actualului tip de comunicatii. Se afla la inceput acum, dar va creste foarte rapid. Nu va ramane prea mult timp o noutate. Celebrul scriitor Arthur C. Clarke, cel care a venit cu ideea comunicatiilor prin satelit, a prezis ca pretul unei convorbiri telefonice cu cineva aflat la o distanta de 2000 de km va fi acelasi cu pretul unei convorbiri avute cu vecinul de vizavi. Dar, a muta toate apelurile noastre de pe PSTN pe internet fara a te proteja pare o prostie!” Prototipul creat de domnul Zimmerman, numit “sfone”, se bazeaza pe o sursa deschisa Shtoom cu un algoritm de criptare adaugat. Proiectul a fost realizat cu ajutorul lui Richard Clarke, fost expert al cybersecuritatii de la Casa Alba, si al lui Jeff Pulver, pionier al tehnologiei VoIP.
Vulnerabilitati, amenintari si incredere…
Va inchideti usile? Va protejati valorile? In metrou, va tineti portofelul in siguranta? Sunteti atenti la telefonul mobil? Va este teama ca cineva v-ar putea fura ceva pe strada, la birou, in lift, in parcare sau in tramvai? V-ati lasa laptopul pe banca unui autobuz pentru o ora? L-ati lasa macar cinci minute nesupravegheat? Ati avea curajul sa lasati laptopul pe banca autobuzului, sa treceti strada si sa priviti ce se intampla?
L-am intrebat pe domnul Zimmerman despre ceea ce ar trebui sa facem in Romania in legatura cu vulnerabilitatile si amenintarile interne si externe, despre cum ar trebui sa privim contextul securitatii informatiei. Mi-a raspuns: “Ganditi-va la ceea ce stiti despre toate aspectele securitatii legate de romani si de Romania. Exista un risc mare ca infractiunile la adresa securitatii personale sau a bunurilor personale sa se produca. Ar trebui sa luati aceasta experienta, precum si cunoasterea acestor comportamente, a acestor tipuri de infractiuni si a acestui mediu, si sa le extrapolati in mediul IT. Traiti intr-un mediu cu un risc ridicat de infractionalitate, in special de tip informational. Daca toate cazurile de pana acum nu v-au convins ca aveti nevoie de securitatea informatiei, probabil ca dormiti! Modelul dvs. legat de infractiunile la adresa securitatii personale trebuie extrapolat pe modelul de securitate a informatiei, pentru a obtine un patern cat mai real al amenintarilor”…
Amenintarile la adresa securitatii informatiei pot veni atat din interiorul companiei, cat si din exteriorul ei sau pot fi o combinatie a acestor doua cazuri. De aceea, este nevoie ca IT managerii sa constientizeze necesitatea unor sisteme de management al securitatii informatiei care sa aiba politici si proceduri in care sa fie integrate solutiile software si hardware de securitate a informatiei.
Cand l-am intrebat pe domnul Zimmerman ce crede despre standardele de securitate si cum influenteaza acestea evolutia securitatii informatiei, mi-a raspuns ca, in SUA, exista legi care prevad ca, in cazul pierderilor importante sau al furturilor de date, inclusiv date legate de clienti, companiile sa fie obligate sa-i anunte pe acestia despre respectivele pierderi. In schimb, daca datele sunt encriptate, companiile nu sunt obligate sa faca acest lucru. In fond, “nu s-a furat sau pierdut nimic”. Acest lucru conduce la cresterea cererii de solutii de criptare si nu numai, generand o crestere a constientizarii faptului ca trebuie sa ne protejam informatia. “Ar trebui sa aveti o comisie care sa se ocupe cu confidentialitatea datelor… Exista astfel de comisii in UE, care au facut foarte multe lucruri pentru confidentialitatea datelor”…, a mai punctat domnul Zimmerman. Insa, ce facem atunci cand este vorba despre increderea pe care trebuie sa o avem in administratorul de retea al companiei... Cum putem fi siguri ca acela caruia ii incredintam siguranta informatiilor companiei este o persoana de incredere?
Domnul Zimmerman si-a exprimat ingrijorarea spunand ca, intr-adevar, “s-ar putea sa aveti ceva dificultati in Romania cu acest lucru”. “Daca veti angaja IT-isti care au invatat despre securitatea informatiei sau despre IT in general, avand un comportament etic necorespunzator, mai devreme sau mai tarziu ei vor putea deveni adevarate “bombe cu ceas”. De aceea, trebuie avute in vedere, la angajare, criterii mult mai extinse decat cele profesionale. Ar trebui sa puteti intra pe sub pielea celui in cauza pentru a vedea daca se poate avea incredere in el.”
Philip Zimmerman (nascut la 12 februarie 1954) este creatorul PGP-ului - cel mai utilizat software de codare din lume. In anul 1996, Zimmerman a fondat compania PGP Inc., care a fost achizitionata in decembrie 1997 de compania Network Associates (NAI), actualmente McAfee. In anul 2002, PGP a fost preluat de o noua companie - PGP Corporation -, unde Zimmerman este consultant si expert IT. De asemenea, Zimmerman este profesor asociat la Stanford Law School’s Center for Internet and Society.
Phillip Zimmermann a primit numeroase premii si distinctii pentru munca sa de pionierat in criptografie:
Parerea ta conteaza: 
Cu ce ne mai ameninţă băieţii răi?
