Czego może obawiać się szef IT
- 26.01.2004
Wirus, trojan, robak, spam... i użytkownicy - to tradycyjnie już największe zagrożenia bezpieczeństwa sieci.
Wirus, trojan, robak, spam... i użytkownicy - to tradycyjnie już największe zagrożenia bezpieczeństwa sieci.
Ubiegły rok upłynął pod znakiem masowych epidemii wirusów komputerowych. Szczególne miejsce w historii zajmą dwa z nich: Slammer i MSBlaster. Nie zanosi się jednak, by ten rok miał być lepszy. Chris Belthoff, analityk z firmy Sophos, uważa, że liczba poważnych infekcji nie zmniejszy się ani pomimo rozwoju technologii zabezpieczeń, ani też z powodu wprowadzenia w wielu krajach surowych przepisów nakładających wysokie kary na twórców wirusów i spamerów. "Istnienie prawa i policji w świecie realnym nie powoduje całkowitej eliminacji przestępstw. Nie inaczej jest w świecie wirtualnym" - mówi specjalista firmy Sophos.
Największym zagrożeniem bezpieczeństwa pozostają wciąż ataki określane jako "zero day", czyli wykorzystujące nowe, jeszcze nieznane luki w oprogramowaniu serwerowym. Oczywiście, oczy wszystkich będą zwrócone na pełne nowych funkcji rozwiązania Microsoftu: Windows Server 2003 wraz z nowym IIS oraz usługi sieciowe oparte na architekturze .Net. "Usługi sieciowe działające w środowisku .Net będą żyznym poletkiem dla hakerów" - prognozuje Mikko Hypponen, dyrektor laboratorium badawczego firmy F-Secure. Jego zdaniem .Net da początek nowej generacji wirusów, które tak jak same usługi sieciowe, będą się rozprzestrzeniać bez barier w postaci różnic między systemami operacyjnymi. Zagrożone będą nie tylko serwery i komputery osobiste, ale także palmtopy i telefony komórkowe.
Richard Stiennon, analityk Gartnera, za jeden z najpoważniejszych problemów bezpieczeństwa uznaje kradzież tożsamości (identity theft), a więc nielegalne zdobywanie haseł, numerów kart kredytowych itp. Już obecnie, m.in. w Rosji i Korei Południowej, istnieją zorganizowane grupy przestępcze, zajmujące się takim procederem na skalę masową.
Nabrzmiewa problem spamu. Niepożądana korespondencja nie zagraża wprawdzie bezpieczeństwu w sposób bezpośredni, obciąża jednak łącza i systemy szeroko rozumianej kontroli treści.
Wymuszona ochrona
Pod koniec 2003 r. Cisco ogłosiło inicjatywę mającą na celu zachęcenie użytkowników do instalowania na wszystkich klientach sieciowych oprogramowania Trust Agent - niewielkiej aplikacji pozwalającej systemowi uwierzytelniającemu uzależnić przyznanie zdalnemu użytkownikowi/urządzeniu dostępu do sieci od potwierdzenia uruchomienia i odpowiedniej konfiguracji systemów zabezpieczających. W ramach inicjatywy zwanej NAC (Network Admission Control) Cisco działa we współpracy z czołowymi producentami rozwiązań antywirusowych: Network Associates, Symantec i Trend Micro.Czy NAC sprawdzi się w praktyce, będzie można ocenić za ok. pół roku, gdy rozwiązanie pojawi się na rynku. Zdaniem niektórych obserwatorów rynku można oczekiwać, że w tym roku kierownicy działów IT zaczną wreszcie doceniać znaczenie zabezpieczeń również w indywidualnych, np. domowych komputerach pracowników zdalnie łączących się z siecią korporacyjną i wymagać, by miały one zainstalowane programy antywirusowe, firewall i odpowiednie aktualizacje. NAC może tu odegrać rolę katalizatora. Z drugiej strony, można oczekiwać, że standardowe programy antywirusowe będą stopniowo wypierane przez pakiety chroniące nie tylko przed wirusami, ale także przed skanowaniem portów (firewall) i bardziej wysublimowanymi atakami (IDS).
Linux coraz mniej bezpieczny
Błędy i luki zdarzają się tam, gdzie znaleźć się nie powinny. Jak wynika z informacji opublikowanych przez AERAsec (http://www.aerasec.de ), niektóre programy antywirusowe zawierają lukę, która może być wykorzystana przez hakerów do zablokowania pracy komputerów - ataków typu DoS (odmowa świadczenia usług). AERAsec przetestowała i wymienia m.in. McAfee Virus Scan for Linux v4.16.0, Trend Micro InterScan VirusWall 3.8 Build 1130 oraz Kaspersky AntiVirus for Linux 5.0.1.0.
Luka jest zlokalizowana w module skanującym, który wymaga dekompresji plików zarchiwizowanych przed rozpoczęciem ich analizy, ale nie zawiera mechanizmów ograniczających ich objętość. W efekcie atakujący może przesłać mały, skompresowany plik niezawierający praktycznie żadnych informacji (np. same zera), którego objętość po rozpakowaniu jest tak duża, że zajmuje całą przestrzeń dyskową i moc obliczeniową procesora.
Systematycznie wzrasta liczba doniesień o błędach i lukach w systemie Linux, który przez długi czas był uważany za względnie bezpieczny. Ubocznym efektem rosnącej popularności Linuxa jest wzrost zainteresowania hakerów tym środowiskiem. Wykryta na jesieni 2003 r. luka w jądrze Linux 2.4 została wykorzystana do ataku na serwery Debian Project i Gentoo Linux Project. Na początku stycznia br. Polska firma iSec Security Research opublikowała informacje o dziurach w wersjach rdzenia 2.2, 2.4 i 2.6 systemu Linux, które umożliwiają przejęcie zarządzania i uruchomienie wrogiego kodu przez hakera. Według iSec przeprowadzenie takiego ataku jest trudne, niemniej firmie udało się go zasymulować.
- Najwięcej wirusów do rozprzestrzeniania się wykorzystuje pocztę elektroniczną
- Coraz częściej autorzy wirusów stosują następujące techniki:
- samoinstalujące się oprogramowanie, które choć bezpośrednio nie zawiera niebezpiecznego kodu, to pobiera go później z Internetu
- mechanizmy samokompresji i szyfrowania, które mają zapobiec wykryciu wrogich programów przez zapory firewall
- wyposażanie wirusów we własny silnik SMTP uniezależniający je od funkcji MAPI wykorzystywanych przez inne programy
- Współczesne wirusy "starają się" najpierw uszkodzić program antywirusowy i zapory firewall
- Szkodliwe skrypty i makra przestały być przyczynami poważnych epidemii