Człowiek - najsłabsze ogniwo

Historię wszelkiego rodzaju robaków/wirusów możemy podzielić na kilka etapów. Były wirusy czysto destrukcyjne (CIH), paraliżujące sieć (Slammer) teraz mamy inwazję przeróżnych trojanów tworzących bot-nety. Co będzie następne?

Ponieważ przestępcom komputerowym coraz bardziej zależy na pieniądzach, które mogą zarobić na swojej działalności, przewidywałbym odejście w cień spektakularnych wydarzeń typu Slammer, CIH czy Zotob. Poczyniły wiele szumu, a tak naprawdę ujawniły i uświadomiły całemu światu istnienie poszczególnych luk oraz mechanizmów potrafiących je wykorzystać. De facto oznaczało to wytrącenie z rąk włamywaczy tak poręcznego narzędzia, ujawnienie ich warsztatu pracy. W interesie przestępców nie leży odkrywanie ich tajemnic.

Będą oni woleli zachowywać jak najwięcej dla siebie z wiedzy o tym jak przejąć kontrolę nad zdalnymi komputerami. Bo przecież coraz częściej chodzi o kradzież lub modyfikację informacji firmowych albo o stworzenie sieci komputerów, które wykonają dowolny rozkaz. Będzie zatem coraz więcej cichych włamań wewnętrznych, realizowanych przez ludzi z wnętrza organizacji, posługujących się specjalnie przygotowanymi narzędziami, skrojonymi na miarę atakowanego celu. I coraz więcej cichych, pełzających ataków mających na celu złożenie jak największych i najsprawniejszych botnetów przy użyciu technologii rootkit, a rozprzestrzeniających się metodami socjotechnicznymi z użyciem poczty elektronicznej lub sieci P2P.

A co sądzi Pan o atakach na oprogramowanie urządzeń mobilnych? Na razie nie pojawiły się żadne naprawdę groźne kody atakujące telefony czy PDA - czy to tylko kwestia czasu?

Zdecydowanie jest to tylko kwestia czasu. Ultra-szybkie sieci przesyłania danych (UMTS/HSDPA), interfejsy bezprzewodowe (Bluetooth) o wielkich możliwościach i odwrotnie do nich proporcjonalnej kontroli dostępu, elastyczne (a zatem bardzo otwarte) systemy operacyjne telefonów/komunikatorów (Symbian, Windows Mobile) przechowujące coraz więcej poufnych informacji i udostępniających sieci wewnętrzne przedsiębiorstw - stanowią znakomite pole do popisu, a jednocześnie łakomy kąsek dla przestępców.

Im bardziej smartphony się spopularyzują, tym większa szansa powstania zagrożeń w nie wymierzonych. Po przekroczeniu pewnej masy krytycznej, to się po prostu będzie włamywaczom opłacać.

Microsoft od kilkunastu (a może juz nawet kilkudziesięciu) miesięcy szumnie zapowiada system Windows Vista, główny nacisk w owych zapowiedziach kładąc na bezpieczeństwo. Mieliśmy juz okazję widzieć betę Visty, a także IE7 - co sądzi Pan o zmianach, które pojawiły się w tych produktach? czy możemy liczyć na to, że Vista + IE7 rzeczywiście będzie bezpieczniejsza?

Założenia są bardzo obiecujące. Zważywszy dodatkowo wielką determinację Microsoftu w wysiłkach zmierzających do zatarcia złego image Windows i IE w aspekcie bezpieczeństwa, są szanse na zdecydowaną poprawę bezpieczeństwa systemu. Uparcie będę jednak powtarzać, że o całości i tak zadecyduje poprawna eksploatacja, czyli czynnik ludzki.

Jak zdefiniowałby Pan 'bezpieczny system operacyjny'?

Słynna anegdota jest taka, że to taki system, który nic nie robi... Ale jeśli podejdziemy do sprawy serio, to oczywiście istnieją precyzyjne definicje bezpiecznych systemów operacyjnych i metody ich testowania (ITSEC) oraz określania oferowanego poziomu bezpieczeństwa. Pamiętać jednak należy, że każde zabezpieczenie narzuca kolejne ograniczenia i łatwo dojść do paranoicznej sytuacji, gdzie osiągamy wysoki poziom zabezpieczeń, ale tak na prawdę niewiele możemy zrobić.

Komercyjne systemy operacyjne muszą być elastyczne pozwalając na instalację dodatków i aplikacji. Dla użytkownika indywidualnego liczy się przede wszystkim to, aby system pozwalał na wygodne zarządzanie kontami użytkowników i ich uprawnieniami oraz zapewniał bezpieczne środowisko wykonywania aplikacji, aby ograniczać ewentualne szkody wywołane przez awarię lub włamanie.

Czy w tej chwili na rynku dostępny jest produkt, który spełnia kryteria postawione w powyższej definicji?

W tym kontekście wszystkie popularne systemy (Linux, Windows od 2000 czy Mac OS) zapewniają tego rodzaju usługi. Jest to tylko kwestia poprawnej konfiguracji i eksploatacji systemu. W Internecie można znaleźć szczegółowe instrukcje jak to osiągnąć. No i szczypta rozsądku w korzystaniu z komputera.

Dość popularna jest ostatnio opinia, że kod open source jest bezpieczniejszy, bo monitorują go tysiące oczu na całym świecie. Z drugiej strony przedstawiciele firm dystrybuujących oprogramowanie o zamkniętym źródle tłumaczą, iż palma pierwszeństwa w kwestii bezpieczeństwa należy się raczej im, gdyż ich podejście do bezpieczeństwa jest bardziej profesjonalne i kompleksowe. Która z tych opinii jest, Pana zdaniem, bliższa prawdy?

Rozwiązania open source dysponują olbrzymim potencjałem w postaci środowiska rozwijającego to oprogramowanie i - przynajmniej w teorii - monitorującego jego bezpieczeństwo. Mamy jednak do czynienia ze swego rodzaju rozmyciem odpowiedzialności oraz brakiem rzeczywistej kontroli nad kodem, do którego w zasadzie można wstrzyknąć dowolne modyfikacje lub podłożyć zmieniony w sposób nieautoryzowany fragment.

Z drugiej strony w przypadku rozwiązań z kodem zamkniętym mamy do czynienia z konfliktem interesów, ponieważ firmom produkującym takie oprogramowanie zależy na jak najszybszym procesie developmentu (często kosztem jakości), a następnie nawet ukrywaniu ewentualnie odkrytych wad.

Proszę jednak spojrzeć jakie rozwiązania są stosowane w instytucjach rządowych wymagających podwyższonego poziomu zabezpieczeń. Tam nikt nie pomyśli nawet o open source, gdzie potrzebne byłyby dodatkowe, żmudne i kosztowne procesy certyfikacji (chociażby w oparciu o ITSEC), gdyż nikt nie jest w stanie wziąć odpowiedzialności za bezpieczeństwo systemu.