Nie wierzyć producentom na słowo...

Australijski bank NAB (National Australia Bank) ponad dwa lata temu zdecydował się na utworzenie specjalnej grupy pracowników zajmujących się tylko badaniami bezpieczeństwa. Zadaniem zespołu badawczego było i jest badanie jakości mechanizmów zabezpieczeń w oprogramowaniu komercyjnym, opracowywanym na zamówienie lub przygotowywanym przez pracujące w banku własne grupy programistów. Na ich podstawie NAB publikuje własne raporty, m.in. zawierające analizy wzorców i architektur bezpiecznego oprogramowania korporacyjnego, standardów, które powinien spełniać bezpieczny kod, mechanizmów bezpieczeństwa, a także przygotowuje materiały szkoleniowe.

Podczas Gartner IT Security Summit 2007 w Sydney, Gary Blair, dyrektor NAB ds. ryzyka i bezpieczeństwa zaprezentował pierwsze wyniki badań i przygnębiający raport o bezpieczeństwie oprogramowania korporacyjnego, w tym także wyniki analizy systemów zabezpieczeń oferowanych przez znanych producentów. W ciągu ostatnich dwóch lat grupa NAB wykryła i przekazała producentom oprogramowania informacje o 48 lukach w systemach zabezpieczeń. Przy czym dotyczyły one tylko błędów o wysokim lub średnim stopniu zagrożenia. "Sądzę, że wykrywanie dwóch nowych, poważnych luk miesięcznie to zdecydowanie zbyt dużo. Wydaje się, że badania zagrożeń i bezpieczeństwa aplikacji komercyjnych koncentrują się w obszarze konsumenckim, a zdecydowanie zbyt mało uwagi poświęca się oprogramowaniu klasy korporacyjnej. Być może było to wystarczające w przeszłości, ale obecnie tego typu podejście producentów budzi niepokój" - mówi Gary Blair.

Według wyników badań najwięcej luk i błędów związanych było z mechanizmami autentykacji i eskalacji przywilejów. Zespół zajmował się badaniem zarówno własnych opracowanych przez NAB aplikacji, jak i wykorzystywanego przez bank oprogramowania komercyjnego. Dodatkowym ważnym wnioskiem jest to, że wiele groźnych ataków może wykorzystywać luki w stosie różnych aplikacji tworzących rozwiązanie, a nie tylko w specyficznych programach. Dlatego też wciąż niezbędna, choć niewystarczająca, jest zaawansowana ochrona warstwy sieciowej.

Najczęstszym celem ataków są dane, a podstawowa motywacja do ich przeprowadzenia to chęć uzyskania korzyści finansowych. Międzynarodowe gangi, a także niektóre państwa mają wystarczające środki, by sfinansować analizy systemów zabezpieczeń i budowę zaawansowanych programów wykorzystujących wykryte w nich błędy i luki, co wymaga dużych umiejętności i zatrudnienia wysokiej klasy specjalistów. "Jestem pod wrażeniem wysokiej jakości kodów wykorzystywanych do ataków" - mówi Gary Blair.

Przed kilkunastu laty banki wykorzystywały zamknięty system IT i pracowników, którzy siedząc przed wewnętrznym terminalem podłączonym do komputera mainframe za pomocą bezpiecznego łącza kontaktowali się z klientami przy wykorzystaniu telefonu. Wraz z rozwojem technologii firmy finansowe zaczęły bezpośrednio udostępniać swoje zasoby przy zastosowaniu sieci IP takich jak Internet. Obecnie nie ma odwrotu od tego typu modelu biznesowego, ale spowodował on konieczność zmiany stosunku do bezpieczeństwa, które staje się elementem o znaczeniu krytycznym. A ubocznym efektem popularyzacji kolejnych nowych technologii, takich jak SaaS, SOA lub Web 2.0, jest m.in. zwiększenie zagrożeń i ryzyka utraty danych, jak zauważa Gary Blair.

Jednocześnie zwraca on uwagę, że audyt bezpieczeństwa aplikacji oferowanych przez niezależnych producentów jest trudnym zadaniem, bo użytkownik z reguły ma niewielką lub żadną kontrolę nad mechanizmami zabezpieczeń wykorzystywanymi w oprogramowaniu komercyjnym, ale jednocześnie ma nadzieję, że wkrótce zacznie się to zmieniać. "Choć niektórzy producenci szybko przyjmują do wiadomości i wykorzystują zaprezentowane im informacje o błędach i lukach, ale przedstawiciele wielu firm bardzo niechętnie akceptują prezentowane im wyniki badań i propozycje ulepszenia kodu ich oprogramowania".

Zespół NAB przeprowadził m.in. test oprogramowania jednego ze znanych producentów, które przez wielu specjalistów jest polecane jako produkt posiadający wszelkie niezbędne funkcje i zapewniający wysoki poziom bezpieczeństwa. Wyniki okazały się zaskakujące, bo oprogramowanie nie spełniło stawianych mu wymagań, a jego funkcjonalność i parametry nie były zgodne z podawanymi przez producenta. Dlatego też na podstawie zebranych doświadczeń Gary Blair ostrzega, że podejmując decyzję o zakupie systemu nie należy opierać się tylko na zapewnieniach producenta i jego referencjach, takich jak wdrożenia w znanych bankach i pozytywne wyniki testów przeprowadzonych przez US Department of Defense.

Dodatkowo zespół NAB analizował czas, jaki upływa między wykryciem luki i dostarczeniem przez producenta odpowiedniej poprawki. Za dobry wynik Gary Blair uznaje czas do 90 dni, choć przyznaje, że "załatanie niektórych luk związane z technologiami sieciowymi trwa nawet do roku". Jako konkretny przykład Gary Blair zaprezentował dwie luki (jedna o znaczeniu krytycznym) wykryte przez zespół NAB w marcu tego roku w oprogramowaniu z rodziny IBM MQ. Początkowo okazało się, że programiści IBM nie są w stanie odtworzyć zagrożenia i dopiero kod exploita przesłany przez NAB pozwolił na identyfikację luki, a odpowiednią poprawkę IBM opublikował 6 sierpnia.

Warto zauważyć, że programy rodziny IBM WebSphere MQ to pakiety znane od dawna i uważane za produkty dojrzałe. Jak jednak widać z tego przykładu, warto pamiętać, że dojrzałość i renoma nie są automatycznie równoznaczne z gwarancją bezpieczeństwa.