SANS od czterech lat publikuje listę najpoważniejszych zagrożeń dla oprogramowania. Niektóre zagrożenia były, są i... zapewne jeszcze długo będą - zdążyliśmy się do tego przyzwyczaić. Najnowsza lista wskazuje jednak na trendy, których nie można zignorować.

Tegoroczna lista SANS Top 20 zaczyna się od produktów Microsoftu. To nie przypadek, ale efekt analizy ataków na komputery w ciągu ostatnich 2-3 lat. Usługi systemu Microsoft Windows od dawna pozostają podatne na ataki poprzez przepełnienie bufora (buffer overflow). Specjaliści przyzwyczaili się już do sytuacji, że na poziomie systemu Windows próżno szukać możliwości prewencji.

Najbardziej przerażające jest to, że lista SANS Top 20 jako zagrożenia wskazuje przede wszystkim standardowe usługi dostępne za pośrednictwem protokołu TCP/IP. Jest to potwierdzeniem faktu, że dzisiejsze metody przepełniania buforów umożliwiają przełamanie każdej bariery.

Wracając do Microsoftu - firma nie ma zwyczaju aktualizować czegoś, co działa poprawnie, a więc, zgodnie z jej logiką, powinniśmy oczekiwać problemu, a dopiero następnie szczepionki. Jest jednak pewien drobny niuans - metody hakerów zmieniają się, ewoluują, a zabezpieczenia starszych systemów pozostają bez zmian i prawdopodobnie nigdy nie doczekają się aktualizacji.

Odwieczny problem

Poważnym zagrożeniem pozostaje niezmiennie przeglądarka Internet Explorer (choć na liście pojawiła się także Mozilla Firefox). Największym problemem pozostają czynności, które IE pozwala wykonać bez akceptacji użytkownika. W praktyce każdy element automatyzacji, zostaje wykorzystany jako prawdopodobna dziura, przez którą można się bez problemu włamać do komputera. W przeszłości ataki na Internet Explorer były prymitywne, amatorskie skrypty Java i ActiveX umożliwiały bez problemu manipulacje plikami. Kiedyś takich przypadków (przynajmniej wykrytych) było relatywnie mało, skąd więc dziś nagle "krytyczny problem"?

Otóż, odkąd pojawiły się programy szpiegujące, liczba ataków na przeglądarki wzrosła wielokrotnie. Łatwiej jest za świadomą lub nieświadomą zgodą użytkownika przemycić program skanujący, który na spokojnie znajdzie wszelkie niedociągnięcia konfiguracji od wewnątrz, niż próbować przełamywać zabezpieczenia z zewnątrz. Nie trzeba przepełniać buforów, skanować portów i stosować tym podobnych zabiegów. Gdy program dostanie się do komputera, wykorzystywane są błędy programistyczne, które umożliwiają doinstalowanie nowego oprogramowania lub zmianę ustawień bez wiedzy użytkownika i bez naruszania integralności programów, by nie został potraktowany jak wirus.

Pierwszą rzeczą do zrobienia jest ograniczenie uprawnień przeglądarki IE w systemach wykorzystywanych w firmie. Można się w tym celu posłużyć programem o nazwie DropMyRights autorstwa samego Microsoftu.

Zagrożenia prawdziwe i wydumane

SANS i Microsoft popełniają niestety błąd, przedstawiając nam jako największe zagrożenie luki, które mogą służyć bardziej do instalacji spyware, niż do prawdziwego włamania lub przechwycenia danych. Większość rad, jak zainstalować system w bezpieczny sposób, jest reaktywna, krótkowzroczna, a ich skuteczność była dobra kilka lat temu.

Tym, co rzeczywiście ma znaczenie, są wirusy błyskawiczne (0-day). Przecież ograniczenie praw na proces Internet Explorer nie uchroni nas przed włamaniem, a jedynie nieco je utrudni. Sama możliwość wprowadzenia komendy na serwer, poprzez techniki formatowania ciągów znaków lub przepełnienia bufora przy uruchamianiu biblioteki, pozwoli nam na wgranie pliku, zapisanie go w katalogu tymczasowym i uruchomienie. W 99% przypadków włamanie się powiedzie. Różnica będzie taka, że programiści będą musieli zrobić kilka zmian w infekujących komputer stronach WWW. Jeżeli komputer będzie zabezpieczony i zainfekują go innym typem wirusa.

Ochrona sieci nie wystarczy

Komercyjne oblicze sceny hakerskiej się zmienia. Wymogi klientów wzrosły, a możliwości programistów poprawiły się. Popytem cieszą się obecnie informacje biznesowe kopiowane nie z systemu operacyjnego komputera użytkownika, ale z centralnej bazy danych systemu ERP czy CRM, jak informacje o klientach, kontraktach, cenach itd. Zainteresowanie tym obszarem wynika także z tego, że konstrukcja wielu z nich urąga wszelkim standardom bezpieczeństwa informacji. Aplikacje biznesowe powstają szybko i są projektowane tak, by klient nie miał z nimi kłopotów - w końcu klienta nie można zwieść, bo pójdzie do konkurencji.

Gdy wszystkie zapytania są do siebie podobne i różnią się jedynie kilkoma parametrami, a ponadto można je skopiować i przeanalizować, wyciągnięcie z bazy dowolnych informacji nie jest problemem. Spyta ktoś: a jaki klient jest dla użytkownika najlepszy. Wypada odpowiedzieć, że przecież przeglądarka - wiadomo jaka.

Kontrola zapytań klienta do serwera to oddzielna dziedzina wiedzy, jednak rezygnacja z niej może się okazać mało zabawna. Ale i ona może okazać się niewystarczająca - systemy kontroli zapytań jak produkty dostępne na rynku powstały kilka lat temu i nie nadążają za postępem wiedzy hakerów. Dla kogoś specjalizującego się w wykradaniu danych z baz takie narzędzia nie stanowią większej bariery. Hakerzy mają przewagę czasową, producenci zabezpieczeń nie nadążają za ich inwencją - to oczywiste. Co gorsza, hakerami okazują się niejednokrotnie pracownicy firm - rozszerzenie posiadanych uprawnień jest łatwiejsze niż samo zdobycie konta.

Przyszłość, o której SANS nie pisze, wskazuje na nowe zagrożenie - tzw. DB-DDoS - Database Distributed Denial of Service, polegający na "zamuleniu" serwera baz danych dużą liczbą zapytań SQL. Dotychczas ataki DDoS generowały ruch TCP/UDP lub ICMP, aby uniemożliwić korzystanie z połączenia do serwera. Nowe ataki działają w wyższej warstwie i nie wymagają znajomości hasła!

Schematy ataków DB-DDoS posługują się serwerami WWW, zwłaszcza ze skryptami PHP, które pozwalają anonimowemu użytkownikowi zadać jakiekolwiek zapytanie do bazy. Ten typ ataku ma jeden cel: unieruchomić bazę danych, co może być celem głównym lub cząstkowym. Programy wykonujące takie ataki, łączą się ze stroną internetową naszej ofiary i produkują odwołanie np. dla wyświetlenia liczby aktualnych pracowników w biurze, przy czym robi to zdalnie kilka tysięcy maszyn w przeciągu 1-5 s. Taka liczba spreparowanych odwołań pozwoli w pełni zablokować serwer lub przynajmniej wyłączyć kilka kluczowych usług.

Wniosek z powyższych rozważań narzuca się sam - ochrona systemów w warstwie sieciowej (uwierzytelnianie, kontrola ruchu, listy dostępowe, dozwolone protokoły, odwołania itp.) była dobra kilka lat temu. Dziś system zabezpieczający musi znać specyfikę aplikacji, którą chroni - bez tego cała ochrona bierze w łeb.

Gdy ochrona nie chroni

Programy antywirusowe zawodzą, co najnowsza lista SANS wyraźnie potwierdza. Jeśli systemy zabezpieczeń tak ważne jak skanery antywirusowe są podatne na ataki, o poczuciu bezpieczeństwa nie ma co marzyć. Systemy antywirusowe są wykorzystywane powszechnie. Jeśli system antywirusowy często otwiera port TCP lub UDP do komunikacji z innym komputerem (siedzibą firmy) lub pobiera aktualizacje z serwera bez potwierdzenia tożsamości, można się zastanawiać, czy zamiast zabezpieczenia nie kupiliśmy właśnie "komercyjnego trojana".

Masowo wykrywane błędy w systemach zabezpieczeń wzmogły zainteresowanie hakerów tymi produktami. Luki umożliwiające przepełnienie bufora w zaporach sieciowych to już nie są jednostkowe przypadki! Podszywanie się pod serwer aktualizacyjny i oszukiwanie lub uszkadzanie systemów antywirusowych to efekt pobożnego myślenia producentów. I wreszcie problem z identyfikacją nagłówków przez skanery antywirusowe pokazuje, jak bardzo systemy te są zawodne i że bezpieczeństwa sieci nie można opierać wyłącznie na nich.

W czasach, w których systemy są coraz lepiej zabezpieczane, uwaga hakerów skupi się na usługach i programach, które na pewno są łatwiejszym celem, niż dobrze zabezpieczony system operacyjny. Produkty, które przez lata pozostawały w cieniu ataków (np. oprogramowanie do wykonywania kopii danych), stały się obecnie łatwym łupem, ponieważ ich twórcom wydawało się, że wymóg wysokiego poziomu bezpieczeństwa ich nie dotyczy.

Lista SANS to nie wyrocznia, lecz jedynie oficjalne potwierdzenie tego, o czym w środowisku specjalistów mówiło się od dłuższego czasu. Musi w końcu dojść do sytuacji, w której to producenci oprogramowania zadbają o bezpieczeństwo swoich produktów, nie pozostawiając tego administratorom.