2007: w Sieci będzie niebezpiecznie
Od miesięcy niemal każdego dnia pojawiają się informacje o nowych błędach w popularnym oprogramowaniu, o wirusach, typach ataku i innych zagrożeniach czyhających na internautów. Jako, że początek nowego roku jest czasem podsumowań, postanowiliśmy dowiedzieć się, czy rok 2006 można uznać za wyjątkowo niebezpieczny oraz znaleźć odpowiedź na pytanie, jakich zagrożeń możemy spodziewać się w 2007 r. Rozmawialiśmy o tym z Michałem Jarskim z firmy ISS Polska. "Widać postępującą "kapitalizację" hackingu, czyli zamianę tej działalności w bardzo dochodowe zajęcie ( ... ) Wirtualna przestępczość najlepiej będzie się czuła w wirtualnych światach gier typu Second Life. Skoro powstały tam już pierwsze oddziały prawdziwych banków, to będą się tam równie dobrze czuli realni przestępcy" - mówi M. Jarski. Z przedstawicielem ISS rozmawialiśmy również o zagrożeniach czyhających na użytkowników urządzeń mobilnych, nowych zabezpieczeniach Microsoftu oraz o tym, jak FBI... włamuje się do smartfonów.
PCWK: Jak oceniłby pan aktualny stan zagrożenia w Internecie? Czy dla zwykłych użytkowników sieć jest aktualnie bezpieczniejsza niż rok temu czy bardziej niebezpieczna?Michał Jarski: Natura napotykanych przez nas zagrożeń stale się zmienia. Atakujący próbują coraz to nowych technik oszukiwania systemu operacyjnego, aplikacji, a wreszcie użytkownika. Tymczasem pokutuje powszechne przekonanie, że do pełnego bezpieczeństwa w Internecie w zasadzie wystarczy firewall i system antywirusowy. A taki "zestaw zabezpieczający" z roku na rok staje się coraz bardziej zawodny i coraz łatwiejszy do pokonania przez przestępców. Mamy zatem z jednej strony narastające realne zagrożenia, a z drugiej złudne przeświadczenie o zabezpieczeniu przed "wszelkim złem" Internetu.
Jakie wydarzenia z minionego roku uznałby Pan za najbardziej niebezpieczne? Czy pojawił się jakiś szczególnie uciążliwy wirus? Niebezpieczna luka? Nowy typ ataku?
Obserwujemy coraz większą dynamikę zarówno pojawiania się nowych form ataku ( miesięcznie już ponad 600 nowych luk i 40-50 tysięcy podstawowych form atakujących ), jak i metod ich ukrywania oraz szybkiej mutacji. Wystarczy spojrzeć na niedawne, listopadowe fale robaków Stration. Producenci antycznych systemów antywirusowych musieli wypuścić seryjnie ponad 150 sygnatur ( bo każda nowa postać wirusa musi w systemie sygnaturowym być rozpoznawana przez nowy wzorzec wrogiego kodu ). Niektóre firmy specjalizujące się w systemach AV zasugerowały nawet tworzenie stałych, strumieniowych aktualizacji szczepionek!
Taka sytuacja stwarza już nie tylko trudność z nadążeniem aparatu zarządzającego systemem IT za aktualizacjami, ale implikuje nawet pytanie na jak długo starczy zasobów firm antywirusowych na analizowanie i dostarczanie owych uaktualnień. System taki jest bliski załamania i wydaje się, że jedynym obecnie dostępnym środkiem zaradczym jest analiza behawioralna, która bez konieczności aktualizacji pozwala na rozpoznanie malware'u ( "co źle się zachowuje musi być złe" zamiast "jeśli ten kawałek kodu jest identyczny z posiadaną przez nas próbką, wówczas uznaj go za wirusa" ).
Czy rok 2006 wyróżnił się czymś szczególnie w kwestii bezpieczeństwa? Chodzi mi o to, że kilka lat temu mieliśmy wysyp destrukcyjnych wirusów. Potem - robaków pocztowych, zaś potem jeszcze - trojanów przekształcających komputery w zombie. Jak zapamiętamy rok 2006?
Niejako spełniając nasze zeszłoroczne proroctwa co do przyszłości bezpieczeństwa, już na początku 2006 roku pojawiły się przypadki wykorzystywania plików multimedialnych do przemycania wrogiego kodu. Użytkownicy chcący w łatwy sposób pozyskać pożądane treści pobierają podsuwane przez włamywaczy pliki z sieci P2P. W tak spreparowanych JPG-ach i AVI można zaszyć wrogi kod, który wykorzystując luki w odtwarzaczach multimedialnych zaraża komputer nieświadomego użytkownika. W odpowiedzi na to zagrożenie niektóre systemy P2P zaczęły nawet wprowadzać filtry antywirusowe dla wymienianych w sieci plików, ale jest to oczywiście rozwiązanie połowiczne.
Z innych ważnych obserwacji - jak na dłoni widać postępującą "kapitalizację" hackingu, czyli zamianę tej działalności w bardzo dochodowe zajęcie. A gdzie pieniądze spotykają się z nielegalnymi działaniami, tam bardzo szybko pojawia się przestępczość zorganizowana z dodatkowymi funduszami na dalszy rozwój: od tzw. cardingu po metody spożytkowania w ten sposób pozyskanych środków na rejestrację fałszywych domen, tworzenie punktów koncentracji danych i szeroko zakrojoną "uprawę" botnetów. Cały szum związany kolejnymi dużymi wysypami wirusów, robaków tak naprawdę ich nie dotyczy, bo tego typu działalność nie lubi rozgłosu i woli ciszę.
Jakich nowych typów ataków możemy spodziewać się pana zdaniem w 2007 roku? Na jakie nowe sposoby spróbują nas skrzywdzić internetowi przestępcy?
Przede wszystkim przewiduję wyciszenie masowych ataków na rzecz tworzenia malnetów ( nowej formy botnetów ) i ataków wycelowanych w konkretną instytucję, pisanych na konkretne zamówienie i z użyciem specyficznych informacji o celu ataku ( a zatem niewykrywalnych dla klasycznych systemów obronnych bazujących na sygnaturach ). W dwóch słowach - cisza i spokój...
Właściciel pracowicie hodowanego malnetu nie uważa, że gwałtowna jego dekonspiracja ( jak w przypadku ataku DDoS na Agorę kilka tygodni temu ) jest najlepszym sposobem spożytkowania jego pracy. Zdecydowanie bardziej podobać mu się będzie ciągłe czerpanie korzyści z posiadanej sieci agentów, mogących badać zachowania użytkowników komputerów. Można nawet zaryzykować prognozę, że malnety staną się źródłem precyzyjnej informacji ( dużo dokładniejszej od np. systemów lojalnościowych ) o znaczeniu komercyjnym i równie komercyjnej wartości.
Z pewnością będziemy mieli do czynienia ze zwiększeniem liczby oszustw z użyciem mechanizmów bankowości internetowej. Na świecie pojawiły się już narzędzia, które potrafią w locie przetworzyć kod HTML otrzymywany z banku i np. zmodyfikować sumę salda na koncie tylko po to, aby zamaskować nielegalny przelew dokonany równolegle przez zaszczepionego na komputerze trojana. W ten sposób oszustwo pozostaje przez długi czas niezauważone - nieraz wychodzi na jaw już po upływie terminu wnoszenia reklamacji. Przy obecnym nastawieniu środowiska przestępczego jest tylko kwestią miesięcy sprowadzenie tej "technologii" do Polski i jej lokalizacja. W końcu już teraz skrzynki e-mailowe zaśmiecają reklamówki Viagry po polsku zamiast po angielsku...
A jeśli mówimy o wirtualnej przestępczości, to najlepiej będzie się ona czuła w wirtualnych światach gier typu Second Life. Skoro powstały tam już pierwsze oddziały prawdziwych banków ( ABN Amro ), to będą się tam równie dobrze czuli realni przestępcy. Wartość wymiany handlowej obejmującej wirtualne dobra sięga już kilku miliardów dolarów ( w 2007 roku ma osiągnąć 10 miliardów ). Zanotowano już przypadki oszustw i modyfikacji wirtualnych światów w celu uzyskania dodatkowego zwielokrotnienia dochodów. Nie wspominając o innych patologiach, które są praktycznie nie do zwalczenia ze względu na braki w prawodawstwie, które nie jest w stanie objąć swym działaniem wirtualnych światów!Coraz częściej słyszy się, że powoli zbliża się czas zagrożeń mobilnych - robaków i wirusów atakujących wszelkiej maści palmtopy i smartphony. Z drugiej jednak strony, jakoś tego nie widać - czy sądzi pan, że to zagrożenie jest obecnie przeceniane czy rzeczywiście są podstawy do takich alarmistycznych twierdzeń?Nonszalancja
użytkowników palmtopów i smartphone'ów rzeczywiście zachęca środowisko przestępcze do poszukiwania sposobów wyciągnięcia cennych danych przechowywanych na tych urządzeniach. Mają duże szanse powodzenia, ponieważ o ile dotychczasowe telefony stanowiły dosyć zwartą całość o stosunkowo niewielkich możliwościach, o tyle wszelkie urządzenia oparte o Windows Mobile czy Symbian, to platformy otwarte, charakteryzujące się łatwością uzyskania dostępu do najwyższych uprawnień w systemie, instalacji oprogramowania lub dokonywania istotnych zmian w środowisku. A przecież modyfikacja, czy nawet zakażenie mogą zostać wykonane w trakcie synchronizacji z "macierzystym" komputerem, na którym zapewne działa już cała masa spyware. Wystarczy, żeby jeden z tych programów umiał modyfikować podłączony telefon. Nie wspomnę już o innych okazjach, jak zdejmowanie SIM-locka, doskonalenie telefonu w niepewnym punkcie serwisowym, telefon z drugiej ręki z już wprowadzonymi "modami" etc. etc.
Jak na razie największy sukces na tym polu odniosła... FBI modyfikując firmware telefonów należących do mafijnych bossów przy użyciu serwisów OTA ( normalnie służących do zdalnej aktualizacji oprogramowania telefonu ) i zamieniając te telefony w sprawne urządzenia podsłuchowe.
Warto przy tej okazji wspomnieć, że telefony bardzo długo przechowują zapisane w nich informacje. Nawet, jeśli wydaje się nam, że skasowaliśmy pamięć, to w większości wypadków odzyskanie informacji nie stanowi większego problemu. Dobrze jest o tym pamiętać rozważając sprzedaż telefonu albo przypominając sobie gdzie go zostawiliśmy/zgubiliśmy. Kto uzyska dostęp do tych danych?
Wracając do pana pytania - jeśli zagrożenie mobilne będzie pochodziło od organizacji przestępczej, to będzie ona chciała utrzymać swoją "tajną broń" w jak największej tajemnicy i jak najdłużej. Dlatego nie spodziewajmy się spektakularnych ataków mobilnych. Jeśli będziemy mieli do czynienia z "epidemią" to raczej tylko w wymiarze przeszkadzającym w normalnej pracy. Tak jak to miało miejsce w dotychczasowych przypadkach, np. z wirusami Bluetooth, które były zwyczajnie uciążliwe, ale nie bezpośrednio szkodliwe.
Czy sądzi pan, że wprowadzenie Windows Vista i IE7 może przyczynić się do poprawy bezpieczeństwa zwykłych użytkowników? Co pan myśli o nowych zabezpieczeniach wprowadzonych do tych produktów? Które z nowych opcji uważa pan za najciekawsze?
To są z pewnością kroki w dobrym kierunku, które mają za zadanie poradzić sobie chociaż z częścią najważniejszych problemów z bezpieczeństwem.
W przypadku Vista najciekawszy wydaje się mechanizm ochrony jądra systemowego przed modyfikacjami PatchGuard ( początkowo dostępny tylko w 64-bitowej wersji Visty ), na który paradoksalnie najbardziej narzekają producenci systemów AV ze względu na brak możliwości stosowania dotychczasowych metod ingerencji w system. Jest to jednak bardzo skuteczna metoda zapobiegająca instalacji pewnej kategorii ataków typu rootkit.
Z kolei IE7 zawiera wiele usprawnień ergonomicznych, które ostrzegają użytkownika przed takimi niebezpieczeństwami, jak brak szyfrowania lub problem z certyfikatem SSL poddający w wątpliwość autentyczność serwera, co jest niezwykle ważne w kontekście bankowości internetowej.
Kilka lat temu mówiło się, że podstawowym dodatkiem dla Windows powinien być program antywirusowy - w kolejnych latach doszły do niego firewall, antyspyware, filtr antyphishingowy... Jak pan myśli - czy w Windows z czasem dojdzie do prawdziwej rewolucji w kwestii bezpieczeństwa, która wyeliminuje konieczność korzystania z dodatkowych zabezpieczeń, czy raczej będziemy cały czas musieli instalować najróżniejsze dodatkowe aplikacje?
Po pierwsze musimy rozróżnić kwestie bezpieczeństwa samego systemu operacyjnego ( czyli w tym przypadku Windows ) od bezpieczeństwa aplikacji, które pracują na jego platformie oraz bezpieczeństwa osobistego użytkownika takiego zestawu. Wspomniane przez Pana systemy zabezpieczające w znaczącej części odnoszą się do blokowania - oględnie mówiąc - nieprzemyślanych działań użytkownika, zupełnie niezależnych od tego czy korzysta z Windows czy na przykład z Linuxa. Czymże innym jest bowiem konieczność stosowania systemów antyspamowych, antyspyware'owych, antyphishingowych, a nawet antywirusowych, jak tylko efektem uruchamiania przesłanych programów bez ich wcześniejszego sprawdzenia, czy podawania swoich danych osobistych ( włącznie z hasłami i numerami kart kredytowych ) na pierwsze żądanie nieco bardziej rozgarniętego phishera udającego poważną instytucję bankową. W tych przypadkach żadnej winy nie ponosi system operacyjny, a jedynie użytkownik, który zdaje się nie rozumieć, że zasady bezpieczeństwa obowiązujące
w świecie rzeczywistym funkcjonują w zbliżonej formie w również świecie wirtualnym. Tutaj też nikt nie oddaje kluczy do swojego domu pierwszej napotkanej osobie, bo przecież nie chce zostać okradzionym...Jest jednak cała masa zagrożeń, na których działanie użytkownik nie ma żadnego wpływu. Są one groźne między innymi ze względu na szybkość rozprzestrzeniania, łatwość mutowania i przybierania różnorodnych, zmiennych form ( polimorfizm ), czy też możliwość zdalnego pokonania i dalszej kontroli ofiary. To prawda, że dotychczasowe wersje MS Windows były stosunkowo łatwe do opanowania przez wrogie programy, ale była to cena, jaką trzeba zapłacić za dużą otwartość i elastyczność platformy systemowej. Jeśli chcemy osiągnąć wyższe bezpieczeństwo, zawsze wiąże się to z dodatkowymi ograniczeniami. Ponadto chęć zachowania zgodności z poprzednimi wersjami systemu powodowała zachowanie pewnych strukturalnych zaszłości ułatwiających działanie włamywaczom. Nie można także zapominać o wysokiej złożoności tego systemu i
związanej z tym podatności na wystąpienie błędów programistycznych, a w rezultacie luki w bezpieczeństwie. Dlatego potrzebujemy dodatkowych systemów zabezpieczających znane i potencjalne słabe miejsca systemu operacyjnego.
Innym aspektem podniesionej przez pana kwestii jest bezpieczeństwo podstawowych aplikacji wykorzystywanych w środowisku systemu operacyjnego. Użytkownik przyjaznego i łatwego w obsłudze systemu nabiera wysokiego zaufania do przeglądarki internetowej, klienta poczty elektronicznej czy odtwarzacza multimediów. Tymczasem to zaufanie połączone z niską świadomością zagrożeń jest wykorzystywane do manipulacji z użyciem trików technicznych opartych na niedopatrzeniach twórców oprogramowania klienckiego.
Błędy w programach klienckich są na szczęście naprawiane. Możliwy jest także wybór alternatywnych przeglądarek, programów pocztowych czy nawet całych pakietów biurowych. Czy to uczyni nas bezpieczniejszymi? Wszak w tych alternatywach również zdarzają się błędy i dziury w zabezpieczeniach...
Dlatego myślę, że jesteśmy skazani na koegzystencję z różnymi wariantami systemów obronnych. Przypuszczam, że zmieni się jednak ich forma. Zamiast tuzinów różnych programów i programików anty-* będziemy raczej mieli do czynienia z hybrydowymi tworami, których elementy wykonawcze będą ściśle wkomponowane w platformę systemową ( ochrona jądra systemu, ochrona przed przepełnianiem buforów, ale także DRM ), a części analityczne będą dostarczane w formie łatwych do wdrożenia i zbiorowego zarządzania ( nawet, jeśli będą pochodzić od różnych producentów ) plug-inów. Dzięki temu nawet niezaawansowanemu technicznie użytkownikowi łatwo będzie zapanować nad różnorodnością mechanizmów obronnych przy zachowaniu możliwości wyboru dostawcy rozwiązania. Z pewnością coraz większą rolę zaczną odgrywać wszelkiego rodzaju usługi wspierające konfigurację i utrzymanie systemu w jak najlepszym zdrowiu, a jednocześnie zapewniające ochronę przed atakami.
W środowiskach korporacyjnych "wróżę" przyszłość wirtualnym bezpiecznym środowiskom pracy możliwym do "zainstalowania" ( a właściwie zdalnego uruchomienia ) na dowolnej platformie, która jest aktualnie w dyspozycji pracownika. Dzięki temu możliwa będzie zdalna praca ( a taka zaczyna dominować ) przy użyciu dowolnego dostępnego komputera, smartphone'u, konsoli do gier, dekodera telewizji cyfrowej, czy innego "inteligentnego urządzenia", jakie będziemy mieć akurat pod ręką. Wirtualizacja środowiska i jego odizolowanie od platformy zapewnią możliwość działania w tak nieprzyjaznych warunkach, jak na przykład mocno zawirusowany i wyposażony w całą armię spyware komputer w kafejce internetowej w jakimś odległym kraju - i to bez ryzyka utraty danych ich kradzieży, pozostawienia w cache'u haseł dostępowych etc. etc. Takie podejście spowoduje również zmianę w sposobie wyposażania pracowników w komputery. Tak jak robotnicy na amerykańskich budowach muszą w pracy stawiać się z własnym zestawem narzędzi, tak w przypadku
nowoczesnych pracowników obowiązkiem będzie posiadanie swojego własnego "komputeropodobnego" urządzenia umożliwiającego świadczenie pracy - niezależnie od tego, jakie to będzie urządzenie.