Zminimalizować można tylko ryzyko

Rozmowa z Roberto Preatonim, specjalistą od etycznego hakingu i założycielem Zone-H, popularnego serwisu zajmującego się analizą przestępstw IT.

Rozmowa z Roberto Preatonim, specjalistą od etycznego hakingu i założycielem Zone-H, popularnego serwisu zajmującego się analizą przestępstw IT.

<font color="#000066">Jak nazwać kogoś, kto włamuje się do systemów IT? Za każdym razem, kiedy w naszych publikacjach pojawia się słowo haker - w kontekście kradzieży danych, włamania itp. - wywołuje to ożywioną dyskusję. Oburzeni czytelnicy natychmiast zwracają uwagę, że haker to "ten dobry"...

Spece od bezpieczeństwa trzymają się tutaj ścisłego podziału, gdzie haker to faktycznie "ten dobry". Następnie mamy crackerów, script-kiddies i wiele innych podkategorii. Mam na ten temat odmienne zdanie. W poszczególnych etapach życia takie osoby robią różne rzeczy, czasem także nielegalne. W mediach można używać jednej, potocznej nazwy haker, niezależnie od pierwotnego znaczenia tego określenia. Przyjmijmy, że haker to osoba, która włamuje się do komputerów - nieważne czy w celach poznawczych, czy przestępczych.

Co było skuteczniejszym środkiem do walki z hakerami - technologia czy prawo?

W 2003 r. odkryliśmy, że ataki przesunęły się z systemów operacyjnych i serwerów na poziom aplikacji. To zupełnie inny rodzaj hakingu. Kiedyś włamania polegały głównie na wykorzystaniu exploitów, błędów przepełnienia bufora. Teraz wystarczą dwie ręce i przeglądarka internetowa.Jedno i drugie okazuje się niewystarczające, chyba że stosuje się je w odpowiedni sposób. We Włoszech - gdzie obecnie mieszkam - mieliśmy ministra ds. infrastruktury przewrażliwionego na punkcie islamskich terrorystów. Dowiedział się, że terroryści wykorzystują Internet do komunikacji. On i jego doradcy doprowadzili do tego, że przez jakiś czas w całym kraju nie dało się korzystać z publicznych punktów Wi-Fi. Przyznanie dostępu wymagało każdorazowo okazania paszportu, zwłaszcza w hotelach. To były nieprzemyślane działania. Jeśli ktoś jest terrorystą i korzysta z sieci, to dziękuję Bogu, że to robi. W ten sposób istnieje szansa namierzenia takiej osoby. Jeśli zablokuje się dostęp do sieci, terrorysta będzie korzystać z innych metod komunikacji, np. telefonów satelitarnych, i nie będzie można go już tak łatwo namierzyć.

Czyli nie istnieje nic takiego jak niewykrywalna komunikacja w Internecie?

Nie istnieje. Jeśli byłbym przestępcą chcącym włamać się do jakiegoś systemu, skorzystałbym z kont na kilku komputerach w różnych krajach i z sieci TOR. Niewykrywalny pozostanę jednak tylko wtedy, gdy odpowiednie służby w tych państwach nie będą skutecznie kooperować w skali międzynarodowej. Zastanówmy się nad takim przykładem - bezpośrednim podłączeniem do czyjegoś routera Wi-Fi z odległości kilkuset metrów. To oczywiście znacznie utrudnia namierzenie i pojmanie. Jeśli jednak właściciel routera ma świadomość, że ktoś z zewnątrz korzysta z jego sieci to - dysponując odpowiednim sprzętem i oprogramowaniem - namierzenie, z jakiego kierunku łączy się napastnik, jest jak najbardziej możliwe.

Można w ostatnich latach wskazać nowe trendy w obszarze ataków na systemy IT?

Obserwujemy wyraźny wzrost ataków na aplikacje WWW. Prowadzimy bazę danych o włamaniach. Sami hakerzy dzielą się z nami informacjami o tym, gdzie i jak przeprowadzili atak. Nie ujawniamy jednak technicznych szczegółów. Bowiem po podaniu informacji, że - przykładowo http://www.microsoft.com został zhakowany w ten, a ten sposób - pięć minut później 10 tys. osób próbowałoby zrobić to samo. Dzięki jednak pozyskiwaniu takich informacji, w 2003 r. odkryliśmy, że ataki przesunęły się z systemów operacyjnych i serwerów na poziom aplikacji. To zupełnie inny rodzaj hakingu. Kiedyś włamania polegały głównie na wykorzystaniu exploitów, błędów przepełnienia bufora. Teraz wystarczą dwie ręce i przeglądarka internetowa. Trzeba jednak oczywiście nadal dysponować dogłębną wiedzą o działaniu danej platformy, aby odkryć jej słabości.

Próbowano włamać się także do Zone-H?

Jesteśmy jednym z najczęściej atakowanych serwisów na świecie. Wszyscy próbują się do nas włamać. Ostatnio takie zdarzenie miało miejsce w marcu. Zone-H został zhakowany? Jak to? Przecież oni sprzedają bezpieczeństwo - pojawiają się później takie głosy. Trzeba jednak pamiętać, że nie zajmujemy się dostarczaniem żadnych rozwiązań z zakresu bezpieczeństwa. Co więcej, prowadząc seminaria staram się przekonywać słuchaczy, że nie da się w 100% zabezpieczyć systemu IT. Można zminimalizować ryzyko, ale całkowite zabezpieczenie się przed włamaniem jest niemożliwe. Naszych systemów nie da się jednak tak łatwo obejść. Choć dwa razy mieliśmy do czynienia z naprawdę dużej klasy włamywaczem, czapki z głów.

Skoro Zone-H nie dostarcza rozwiązań z zakresu bezpieczeństwa, to czym zajmuje się i z czego utrzymuje się Pański serwis?

Zone-H zaczynał jako hobbystyczny serwis poświęcony bezpieczeństwu. Z czasem przerodził się w duży, międzynarodowy projekt. Nie jest to jednakże żadne przedsiębiorstwo, jak często się nas mylnie określa. Zone-H to obecnie 16 serwisów w różnych wersjach językowych. Administratorzy i osoby obsługujące lokalne serwisy to w znacznej części ochotnicy, niemniej koszty utrzymania witryn są bardzo duże. Źródłem utrzymania są seminaria i szkolenia, jakie organizujemy na całym świecie.

Rozmawiał Jarosław Ochab