O bezpieczeństwie sieci słów kilka...

Coraz więcej mówi się i pisze o bezpieczeństwie sieci komputerowych i danych przechowywanych w formie elektronicznej. Specjaliści, zajmujący się zawodowo tą tematyką, są przekonani, że rok 1998 będzie rokiem bezpieczeństwa danych w polskim Internecie. I rzeczywiście, wszystko wskazuje na to, że tak będzie. A jak jest obecnie?

Coraz więcej mówi się i pisze o bezpieczeństwie sieci komputerowych i danych przechowywanych w formie elektronicznej. Specjaliści, zajmujący się zawodowo tą tematyką, są przekonani, że rok 1998 będzie rokiem bezpieczeństwa danych w polskim Internecie. I rzeczywiście, wszystko wskazuje na to, że tak będzie. A jak jest obecnie?

Bezpieczeństwo danych w Internecie spędza sen z powiek specjalistom i przeciętnym użytkownikom. Każdy z nas może niespodziewanie stać się ofiarą ataku hakera. Należy zatem pilnować, aby elektroniczna furtka do naszych danych była stale zamknięta.

PODŁOŻE KONFLIKTU

Aby odpowiedzieć na tak postawione pytanie, muszę cofnąć się na moment do historii rozwoju Internetu w Polsce.

Wszystko zaczęło się pod koniec 1991 roku od otwarcia Internetu akademickiego. Na początku osoby (było ich niewiele), mające dostęp do Internetu, zachłysnęły się możliwościami Sieci. W początkowym okresie budowy Sieci bezpieczeństwo nie odgrywało większej roli. Dlatego już rok po jej powstaniu początkujący polscy hakerzy rozpoczęli jej penetrację. Można śmiało powiedzieć, że uczyli się oni wraz z administratorami najstarszych węzłów internetowych otwartych w Polsce. Przypominało to nieco wyścig zbrojeń. W miarę jak hakerzy doskonalili swoje "narzędzia" i umiejętności, administratorzy serwerów podnosili poziom zabezpieczeń swoich maszyn.

Pierwsze włamania w Polsce miały charakter czysto "poznawczy". Młodzi ludzie (w większości studenci różnych uczelni, którzy mieli dostęp do Sieci) często usiłowali dostać się do innego komputera podłączonego do Sieci po to, aby udowodnić sobie, że są w stanie złamać te zabezpieczenia. Sęk w tym, że wówczas zabezpieczeń tych nie było zbyt wiele. Dziś trudno już w to uwierzyć, ale były to czasy bez WWW (wtedy najpopularniejsze tego typu usługi to gopher i WAIS), większość serwerów unixowych miała hasła zaszyfrowane, przechowywane bezpośrednio w /etc/passwd i każdy użytkownik mógł sobie taki plik passwd skopiować. Nietrudno też było o jakiekolwiek "exploity". Często jedynymi, dostępnymi źródłami informacji użytecznych dla hakerów były zagraniczne grupy newsowe lub serwery FTP, zawierające ostrzeżenia o błędach w systemach operacyjnych i oprogramowaniu (np. ftp.cert.org). Internet komercyjny w zasadzie wówczas w Polsce nie istniał, tak więc firmy komercyjne nie były jeszcze zainteresowane tematyką bezpieczeństwa sieci lokalnych podłączonych do Internetu. Podstawowym narzędziem używanym przez ówczesnych hakerów był zwykły kompilator C dostępny w systemie i gotowe narzędzia podobne w działaniu do Cracka (np. legendarny już Killer Cracker), czyli programy, służące do znajdywania haseł użytkowników tzw. metodą słownikową.

Można wyróżnić dwie podstawowe pobudki, którymi kierowali się ówcześni polscy hakerzy. Pierwsza z nich to - rzecz jasna - wspomniana już czysta ciekawość i chęć udowodnienia sobie, że jest się "lepszym" niż administrator, któremu nie udało się uratować swojego systemu przed "atakiem". Drugim powodem działania hakerów była bardzo słaba dostępność Sieci. Wielu ówczesnych pasjonatów informatyki, najczęściej jeszcze nie będących studentami, nie miało praktycznie ani szans, ani nawet podstaw ku temu, by znaleźć się w tym elitarnym klubie - sieci Internet. Tacy ludzie podejmowali często desperackie dość próby uzyskania dostępu do Internetu za pośrednictwem nielicznych miejsc, dzięki którym do Sieci można było dostać się przy użyciu zwykłego modemu i telefonu. Sytuacja taka utrzymywała się praktycznie aż do 1994 roku, a gdzieniegdzie nawet do 1995 r. Wtedy to właśnie zaczęły coraz wyraźniej pojawiać się zwiastuny nowej epoki w dziejach polskiego Internetu.

Coraz częściej słychać było hasło "Internet komercyjny". Na rynku pojawili się pierwsi, komercyjni dostawcy usług internetowych. Na początku ich oferta nadal nie była atrakcyjna dla pasjonatów, tym bardziej że w tamtych czasach nawet prywatny dostawca usług internetowych musiał być podłączony do NASK-u (Naukowo-Akademickiej Sieci Komputerowej), a to bynajmniej nie powodowało obniżenia cen. NASK bardzo wytrwale pilnował swojego monopolu w tej dziedzinie. Z punktu widzenia rozwoju społeczeństwa informacyjnego, taka sytuacja była niewłaściwa - a w pewien sposób kryminogenna. Haker traktowany był często przez rówieśników jak bohater - ktoś, kto przełamuje znienawidzony monopol. Dziś możemy śmiało powiedzieć, że 99,9% ówczesnych włamań można zakwalifikować do kategorii czysto "sportowych", nie mających żadnego innego podłoża niż chęć wykazania się lub po prostu dostania się do globalnej sieci w celu korzystania z wielu jej usług.

W miarę rozwoju Sieci i powolnego powstawania Internetu komercyjnego zaczęły pojawiać się (przynajmniej teoretycznie) nowe zagrożenia. Wprawdzie nadal w polskim Internecie nie mieliśmy ani istotnych serwerów rządowych, ani tym bardziej militarnych, nie było też banków i dużych przedsiębiorstw. Co najwyżej niektórzy przedstawiciele tych instytucji posiadali słono opłacane konta poczty elektronicznej, ale one nie interesowało polskich hakerów. W Sieci bark było innych instytucji niż akademickie, nie było więc w polskim Internecie głośnych włamań dokonywanych przez hakerów, takich, o jakich od dawna słyszało się w krajach tzw. Zachodu.

POCZĄTEK SIECIOWEJ WOJNY

Ciekawym faktem jest to, że pierwsze naprawdę głośne włamanie w historii polskiego Internetu miało miejsce w noc sylwestrową, 31 grudnia 1995 roku. Dotyczyło ono wielu komputerów centralnego węzła sieci NASK w Warszawie, a uwieńczone zostało modyfikacją strony głównej WWW tej instytucji. Haker - występujący pod pseudonimem "Gumiś" - zaprotestował w ten sposób przeciwko słynnemu już, nowemu cennikowi usług NASK, w którym wprowadzono zasadę opłaty za ruch w miejsce używanej powszechnie w Internecie stałej odpłatności za przepustowość łącza. Włamanie to miało duże znaczenie, ponieważ zbiegło się w czasie z początkiem intensyfikacji rozwoju Internetu komercyjnego w Polsce. Wiele odpowiedzialnych osób wreszcie zaczęło zastanawiać się poważnie nad zagadnieniem bezpieczeństwa samej sieci i danych przesyłanych za jej pośrednictwem. Z drugiej jednak strony na przełomie lat 1995/96 było jeszcze za wcześnie na zauważalną reakcję na rynku informatycznym. NASK wprowadziła dodatkowe systemy zabezpieczeń, aby uniemożliwić w przyszłości powtórny atak hakerów.

W roku 1996 Internet komercyjny przeżywał w Polsce okres gwałtownego rozwoju. Na rynku pojawiło się wielu nowych dostawców usług internetowych. W tym też roku został przełamany monopol NASK-u - niezależni dostawcy usług internetowych rozpoczęli budowę niezależnych połączeń ze światem. Koszt dostępu do Internetu na poziomie pojedynczego użytkownika wyraźnie spadł, co przyniosło szybki wzrost liczby polskich użytkowników Sieci. Konto poczty elektronicznej na serwerze dostawcy usług wreszcie stało się tanie. W latach 1993-96 upowszechniła się też nowa usługa Internetu, znana jako WWW, która w znacznym stopniu ułatwiła laikom korzystanie z zasobów Sieci.

World Wide Web (ogólnoświatowa pajęczyna) ułatwiła osobom zainteresowanym docieranie do najróżniejszych informacji zgromadzonych w Sieci, w tym do informacji o błędach w systemach operacyjnych i rozmaitych metodach stosowanych w celu przełamywania zabezpieczeń. Upowszechniły się nowe metody ataków sieciowych (spoofing, sniffing), pojawiły się możliwości wykorzystywania nowych, znacznie trudniejszych do wykrycia błędów w oprogramowaniu (np. słynna możliwość wykonywania rozmaitych fragmentów kodu maszynowego instalowanego w segmencie stosu za pośrednictwem licznych błędów należących do kategorii "buffer overflow").

Na efekty zwiększonej dostępności Internetu oraz pojawienia się szybkich i łatwych metod pozyskiwania informacji nie trzeba było długo czekać. Rok 1997 to rok głośnych włamań w polskim Internecie.

PRAWDZIWA WOJNA

Zaczęło się w nocy z 3 na 4 maja 1997 roku włamaniem na serwer WWW Biura Informacyjnego Rządu, kiedy to dwaj szesnastoletni chłopcy przy użyciu gotowych przepisów (tzw. exploitów), pozyskanych za pośrednictwem Internetu, zdobyli uprawnienia niezbędne do zmodyfikowania strony głównej WWW wspomnianej instytucji. Obaj chłopcy nie byli nawet uznawani przez swoich rówieśników za prawdziwych hakerów. Jak sami przyznali w wywiadzie udzielonym dziennikarzom telewizyjnych "Wiadomości" - byli początkującymi użytkownikami Internetu, którzy interesowali się Siecią od sześciu miesięcy. Sprawa szybko została nagłośniona przez media. Dla nas - specjalistów, zajmujących się bezpieczeństwem - wesołym akcentem w tej sprawie było oświadczenie ówczesnej pani rzecznik prasowej rządu, która stwierdziła w wystąpieniu, iż poufne dane rządowe są bezpieczne, ponieważ są przechowywane na przenośnych komputerach nie podłączonych do Sieci, konkretnie, na komputerach PC klasy notebook. Stwierdzenie to dowodziło ignorancji osób odpowiedzialnych za istotne dane państwowe. Równie szokujący był fakt, iż serwer informacyjny Rządu RP był całkowicie nie zabezpieczony przed próbami ataku hakerów. Zapewne wielu użytkowników Internetu nie zdawało sobie sprawy z faktu, iż jest to jedynie przysłowiowy "wierzchołek góry lodowej".

Stosunkowo szybko miało się okazać, że wyrosło nowe pokolenie hakerów, którzy potrafią skutecznie zaatakować nawet na pierwszy rzut oka dobrze zabezpieczone serwery internetowe. 8 sierpnia 1997 roku hakerzy zaatakowali największy serwer FTP w Polsce - słynny SunSite zlokalizowany w ICM (Interdyscyplinarnym Centrum Modelowania Matematycznego i Komputerowego). Hakerom udało się zdobyć uprawnienia wystarczające do modyfikowania plików udostępnianych za pośrednictwem anonymous FTP. Tym razem podłożyli oni tzw. konia trojańskiego, modyfikując udostępniane na serwerze źródła popularnego programu SSH (ang. Secure Shell), tak aby liczby pierwsze wykorzystywane przez algorytm kodowania transmisji SSH były wysyłane na odpowiednie konto pocztowe bez wiedzy użytkownika programu. Na szczęście, administratorzy SunSite szybko zorientowali się w sytuacji i po krótkiej przerwie udostępnili swój niezwykle popularny serwer użytkownikom Internetu. Niemniej sieć ICM należy do najlepiej strzeżonych w Polsce sieci naukowych. Włamanie to było więc dla wszystkich poważnym ostrzeżeniem.

Na kolejne, głośne włamanie musieliśmy czekać do jesieni, a konkretnie do nocy z 25 na 26 października 1997 roku. Wtedy to hakerzy, podpisujący się "Gumisie", nawiedzili serwer WWW NASK, a hasło "Gumisie wróciły!" szybko zyskało popularność. Tym razem strony WWW NASK znowu zmieniły swoją zawartość, tyle tylko, że oprócz grafik przedstawiających rzeczone Gumisie oraz tekstów prezentujących opinię hakerów, dotyczącą działalności NASK, na stronie WWW opisującej zasoby sieciowe w Polsce pojawiła się mapka Polski z naniesionymi wieloma miastami. Kliknięcie na którekolwiek z zaznaczonych miast powodowało wyświetlenie pliku tekstowego w formacie charakterystycznym dla unixowego /etc/passwd, prezentującego bazę użytkowników z wybranego serwera internetowego, znajdującego się w danym mieście. Plik zawierał zazwyczaj zakodowane, aktualne hasła. Szybko w polskiej Sieci pojawiły się kopie tych zmodyfikowanych przez hakerów stron. Kierownictwo NASK - bardzo zdenerwowane opublikowaniem tych stron - rozpoczęło akcję, mającą na celu usuwanie z widocznych miejsc w Sieci stron spreparowanych przez "Gumisie". Niemniej, przy odrobinie wysiłku można nadal znaleźć ich kopie w Internecie na różnych serwerach WWW. Należy pamiętać, że po pierwszym włamaniu na serwer WWW, NASK wprowadził specjalne procedury zabezpieczające swoją sieć przed ponownym atakiem hakerów - niestety, i znów udało się im je złamać.

CO ROBIĆ?

W 1997 roku miało miejsce wiele włamań i innych ataków sieciowych o mniejszym znaczeniu. Wprawdzie, w świetle informacji, jakie obecnie można zdobyć w Polsce, komercyjna przestępczość komputerowa nie jest jeszcze w naszym kraju dużym problemem. Tym niemniej z analizy sytuacji wynika, że w dużej mierze polski Internet komercyjny nie jest przygotowany na odpieranie ataków hakerów. Podobnie jak na całym świecie, i w Polsce coraz więcej firm i instytucji podłącza się do światowej infostrady, jaką jest Internet. Niestety, jedynie niewielki procent tych przedsiębiorstw widzi realnie potrzebę zapewnienia swoim sieciom lokalnym należytego poziomu bezpieczeństwa. Przedsiębiorstwa, których kierownictwo pragnie rozwiązać te zagadnienie na odpowiednim poziomie, najczęściej trafiają na różne problemy. Do najważniejszych z nich należą:

* brak fachowej kadry

* mała dostępność wiarygodnych źródeł informacji o zagrożeniach i możliwości skutecznego przeciwdziałania

* brak kompleksowej wizji systemu bezpieczeństwa.

Chciałbym na moment zatrzymać przy tych punktach. Niestety, nadal w Polsce trudność sprawia znalezienie odpowiedniej osoby na stanowisko administratora sieci. Zatrudnienie etatowego specjalisty od bezpieczeństwa jest rzeczą jeszcze bardziej skomplikowaną. Dlatego też firmy i instytucje, których istotne dane opracowywane i przechowywane są w systemach informatycznych oraz przesyłane za pośrednictwem sieci komputerowych (w tym także za pośrednictwem Internetu), powinny częściej niż obecnie korzystać z pomocy fachowców, którzy zajmują się profesjonalnie tematyką szeroko pojmowanego bezpieczeństwa danych. Osobom, które dotychczas nie zetknęły się z zagadnieniami bezpieczeństwa danych, często sprawia trudność wyobrażenie mnogości zagrożeń, na jakie we współczesnych warunkach narażony jest system informatyczny przedsiębiorstwa.

Tworząc mechanizmy bezpieczeństwa w przedsiębiorstwie, należy wziąć pod uwagę jedynie rozwiązania kompleksowe, zapewniające maksimum bezpieczeństwa, jakie można uzyskać w zamian za przeznaczone na ten cel fundusze. Należy pamiętać o jednoczesnym stosowaniu wielu systemów zabezpieczeń, pracujących na wielu płaszczyznach, począwszy od zapewnienia fizycznego bezpieczeństwa sieci i pracujących w niej komputerów, poprzez instalację odpowiednio dobranego przez specjalistów oprogramowania, na kompleksowo opracowanej polityce bezpieczeństwa i odpowiednim przeszkoleniu pracowników skończywszy. Opracowując system bezpieczeństwa, należy zawsze pamiętać o tym, aby zastosowane środki były adekwatne do ważności chronionych zasobów. W przeciwnym razie może łatwo popełnić błąd, polegający na nieuzasadnionym stosowaniu bardzo drogich rozwiązań w miejscu, gdzie użycie tego typu środków jest ekonomicznie niecelowe. Ważne jest też zwrócenie uwagi zarówno na zagrożenia zewnętrzne, jak i wewnętrzne.

Niezbędnym, a często zupełnie pomijanym w polskich przedsiębiorstwach elementem systemu bezpieczeństwa jest odpowiednio skonstruowana polityka bezpieczeństwa, precyzyjnie określająca zarówno procedury postępowania w poszczególnych sytuacjach, związanych z wykonywaniem przez pracowników różnych czynności zawodowych, jak i procedury postępowania w sytuacjach zagrożenia. Bardzo ważne jest dokładne określenie praw i obowiązków wszystkich użytkowników systemu informatycznego z administratorami systemów komputerowych i członkami kierownictwa włącznie.


Zobacz również