Nie będzie przesadą, jeśli powiemy, że w zdecydowanej większości firm i instytucji znajdziemy urządzenie, system lub aplikację, które już dawno nie są wspierane przez producenta. Może to być stary pecet lub serwer od lat realizujący przypisane mu zadania, zapomniany OS lub aplikacja, którą po prostu trudno czymkolwiek innym zastąpić. To naturalne, że przymykamy na nie oko i zapominamy, że coś takiego w ogóle funkcjonuje – skoro działa, to działa, i czemu właściwie mielibyśmy wydawać pieniądze na modernizację, skoro zadanie jest realizowane?

„Główny problem z takim sprzętem i oprogramowaniem polega na tym, że ich producenci o nich zapominają, z czasem przestają je łatać, aktualizować itd. W wielu firmach ten moment mija niezauważony i dochodzi do sytuacji, że w organizacji działają rozwiązania podatne na ataki, których koszty mogą iść w miliony dolarów” – wyjaśnia Walker White, prezes firmy BDNA, specjalizującej się w monitorowaniu i analizowaniu przestarzałego sprzętu i aplikacji.

Zobacz również:

• 5 praktycznych powodów, dla których warto wdrożyć Zero Trust

Oto krótki przegląd podatnych na atak urządzeń stacjonarnych i mobilnych, a także aplikacji, które należy wziąć pod lupę, jeśli chcemy mieć pewność, że zabezpieczenia firmowej infrastruktury IT nie mają słabych punktów.

Stare desktopy i laptopy

„Problemy z oprogramowaniem są zwykle znacznie poważniejsze niż te sprzętowe, a na dodatek musimy pamiętać o tym, że wiele luk powszechnie uważanych za związane ze sprzętem tak naprawdę też dotyczy oprogramowania” – przypomina Walker White. Specjalista tłumaczy, że w przypadku starszych komputerów poważną wadą jest np. brak wielu funkcji software’owych związanych z bezpieczeństwem, takich jak obsługi Unified Extensible Firmware Interface (UEFI) z Secure Boot, samonaprawiającego się BIOS-u, automatycznego szyfrowania dysków czy uwierzytelniania przed bootowaniem. Oczywiście, żadna z tych funkcji nie stanowi 100-proc. zabezpieczenia przed atakiem, ale razem tworzą one całkiem skuteczny system ochrony komputera.

Jakie zatem maszyny należałoby już usunąć z firmowych zasobów?

• Komputery z tradycyjnym, podstawowym BIOS-em, który nie obsługuje funkcji Secure Boot (wprowadzoną wraz z premierą Windows 8 i obecną we wszystkich kolejnych wersjach systemu Microsoftu). Secure Boot jest rozwiązaniem, które skutecznie zabezpiecza przed załadowaniem złośliwego oprogramowania podczas procesu uruchamiania systemu.

• Komputery, które nie są wyposażone w funkcję Preboot Authentication (PBA) lub Trusted Platform Module (TPM), czyli kolejne warstwy ochrony. PBA uniemożliwia uruchomienie systemu bez podania odpowiednich danych uwierzytelniających (funkcja ta uaktywnia się po starcie BIOS-u, ale przed rozpoczęciem uruchamiania OS-u). Narzędzie to znane jest od lat, ostatnio jest zastępowane przez Microsoft BitLocker w połączeniu z TPM.

• Stare routery, zwłaszcza te przeznaczone dla użytkowników domowych i małych firm. Praktyka pokazuje, że starsze modele tych urządzeń, zazwyczaj wyprodukowane przed rokiem 2011, nie są wspierane przez producentów i mają wiele poważnych luk w zabezpieczeniach.

• Dyski, które nie mają funkcji automatycznego szyfrowania. Dostępne na rynku od końca pierwszej dekady XXI wieku samoszyfrujące się dyski SED (self-encrypting drives) są rozwiązaniem szczególnie użytecznym w przypadku komputerów przenośnych, które mogą zostać zgubione lub skradzione. Aby uruchomić system zainstalowany na takim dysku, należy podać nie tylko login i hasło do OS-u, ale również do samego dysku. Co więcej, wszystkie dane, które są zapisywane na SED, są również w locie szyfrowane.

Ze starymi dyskami jest jeszcze problem bardziej ogólnej natury związany z bezpieczeństwem danych. Wraz z wiekiem rośnie prawdopodobieństwo awarii i utraty zapisanych informacji.

Problemy z oprogramowaniem

Rozwiązywanie problemów z przestarzałym sprzętem zwykle oznacza konieczność jego wymiany. Z oprogramowaniem bywa podobnie, jednak niekiedy rozwiązaniem bywa po prostu zainstalowanie stosownych poprawek lub aktualizacji. Oto, jakimi aplikacjami i systemami należy się zająć w pierwszej kolejności.

• Przestarzałe systemy operacyjne. Windows XP wciąż pozostaje popularny, mimo że Microsoft zakończył wspieranie go w kwietniu 2014 r., a na dodatek sam koncern przyznaje, że nawet po zainstalowaniu dodatkowego oprogramowania zabezpieczającego poziom bezpieczeństwa tego OS-u jest „ograniczony”. Ale brak aktualizacji to nie jedyny problem starych systemów; równie istotny jest fakt, że zwykle nie były one wyposażone w tak rozbudowane narzędzia zabezpieczające jak ich nowsze wersje.

• Nieaktualizowane lub niewspierane aplikacje biurowe. Są one szczególnie niebezpieczne, ponieważ użytkownicy przywiązują się do starszych, nieaktualizowanych już wersji (np. MS Office 2002, Office 2003 czy Office 2007), które pozostają na celownikach cyberprzestępców i są stosunkowo łatwe do zaatakowania (w wielu przypadkach do uruchomienia złośliwego kodu wystarczy otwarcie odpowiednio spreparowanego dokumentu DOC czy XLS).

• Specjalistyczne narzędzia firmowe, stworzone przed laty na zamówienie firmy. Popularną praktyką jest używanie ich przez lata, nawet jeśli firma, która stworzyła je na zamówienie klienta, dawno już przestała istnieć i nikt nie łata luk w zabezpieczeniach. Oczywiście, wdrożenie nowej aplikacji na miejsce starej, która sprawdziła się przez lata i wciąż się sprawdza, wydaje się przesadą i zbędnym wydatkiem, jednak warto pamiętać, że dziś obowiązują zupełnie inne zasady w programowaniu i powstające obecnie oprogramowanie jest zdecydowanie bardziej odporne na wszelkie ataki.

• Niełatane przeglądarki internetowe. Przeglądarki są wszędzie i nie ma programu z tej kategorii, który byłby w 100% wolny od problemów z bezpieczeństwem. Regularnie słyszymy o wykrywaniu w popularnych aplikacjach do przeglądania stron WWW kolejnych luk typu URL spoofing, cross-site scripting, injection attacks, buffer overflow, ActiveX exploit itp. Jak sobie z tym radzić? Najlepszym rozwiązaniem jest wprowadzenie reguł wymuszających korzystanie w każdej sytuacji z aktualnej wersji danej przeglądarki.

• Nieaktualne lub nieaktualizowane wtyczki i rozszerzenia. Wyjątkowo chętnie wykorzystywane przez przestępców do przeprowadzania ataków, ponieważ większość z nich stworzona została z wykorzystaniem technologii znanych z luk, m.in. Adobe Flash, Java czy Microsoft Silverlight. Wiele błędów wykrywanych jest również w Wordpressie – i również to oprogramowanie (oraz wtyczki dla niego) warto zaktualizować albo zastąpić bezpieczniejszym rozwiązaniem.

Zmiana protokołów

Gdy powstały pierwsze protokoły wchodzące w skład TCP/IP, a internet był jeszcze w powijakach, bezpieczeństwo z pewnością nie było priorytetem. Od tego czasu dużo się jednak zmieniło. Większość protokołów znacząco zmodernizowano, inne zastąpiono nowymi – to samo powinno stać się w każdej nowoczesnej firmie. Jednym z przykładów jest choćby odpowiedzialny za zabezpieczania ruchu TCP/IP protokół Secure Sockets Layer (SSL), który w większości zastosowań został już zastąpiony przez swojego następcę, Transport Layer Security (TLS).

Co więcej, nawet niektóre wersje TLS (np. 1.0 i niektóre implementacje 1.1) są już dziś uważane za nie do końca bezpieczne – specjaliści sugerują korzystanie z wydań 1.2 i późniejszych. To ważne informacje dla firm, szczególnie tych zaangażowanych w jakikolwiek sposób w e-commerce. Dość wspomnieć, że w najnowszej wersji PCI DSS (wydanie 3.1) – standardu bezpieczeństwa dotyczącego obsługi płatności elektronicznych – SSL oraz TLS zostały z listy akceptowalnych protokołów zabezpieczających (co oznacza, że np. e-sklepy, które z nich wciąż korzystają, nie mogą liczyć na uzyskanie oficjalnego certyfikatu PCI DSS).

Oczywiście, błędy znajdują się również w wielu innych protokołach – również w samym TCP/IP. Walker White wspomina choćby o poważnej luce w TCP na Linuksie, która pozwala na łatwe przechwytywanie pakietów lub wprowadzanie potencjalnie złośliwych elementów do przesyłanych danych – błąd znaleziono niedawno, choć istnieją dowody, że znajdował się w kodzie od lat (a załatany zostanie dopiero w kolejnej wersji Linux OS)

Urządzenia mobilne

Ogromna popularność urządzeń mobilnych i nadchodząca era rozwiązań z zakresu internetu rzeczy w wielu dziedzinach znacząco ułatwiają nam życie, ale jednocześnie stanowią duże wyzwanie z punktu widzenia bezpieczeństwa. Dlatego też nowoczesne organizacje powinny rozważyć usunięcie ze swoich ekosystemów informatycznych najbardziej archaicznych urządzeń.

• Przestarzałe urządzenia mobilne – szczególnie te pracujące pod kontrolą nieaktualizowanych już systemów operacyjnych, takich jak iPhone 3 i wcześniejsze, sprzedawane przed 2011 r. Podobnie jest z Androidami – tu sytuacja jest nawet trudniejsza, ponieważ każdy producent sprzętu sam decyduje, który model powinien dostać jaką aktualizację (trudno więc czasami zorientować się, co jeszcze można zaktualizować, a czego nie).

• Stary sprzęt z segmentu internetu rzeczy – tu z kolei chodzi o urządzenia, o których niektórzy nie pomyśleliby jako o części IoT, ale które jednak w pełni wpisują się w definicję tej technologii. Są to starsze, nieaktualizowane modele kamer IP, czujników itp. W nich również stosunkowo często znajdowane są błędy umożliwiające w skrajnych przypadkach nawet przesyłanie obrazu z kamer do nieautoryzowanych użytkowników.

Krok dalej

Przedstawiliśmy podstawowy zestaw działań i rozwiązań, które mogą zastosować firmy chcące upewnić się, że ich system informatyczny jest przyzwoicie zabezpieczony przed atakami bazującymi na lukach w oprogramowaniu i sprzęcie. Oczywiście, zamierzając zapewnić sobie maksymalny poziom bezpieczeństwa, można (i warto!) iść dalej, stosując się choćby do zaleceń amerykańskiego zespołu US-CERT, który zaleca m.in.:

- wprowadzenie w organizacjach tzw. białych/czarnych list aplikacji

- wprowadzenie ścisłych zasad dotyczących przydzielania użytkownikom odpowiedniego poziomu uprawnień w aplikacjach i OS-ach

- maksymalne automatyzowanie procesów związanych z bezpieczeństwem, np. aktualizowanie aplikacji, systemów i urządzeń

- śledzenie na bieżąco informacji o nowych metodach ataków, błędach w zabezpieczeniach itp.