Łapać i karać

Przeglądu i podsumowania minionego ćwierćwiecza dokonał podczas konferencji Secure 2010 Mikko Hypponen, chief research officer w firmie F-Secure. Zwrócił uwagę, że "wciąż skupiamy się na symptomach, skutkach infekcji złośliwym oprogramowaniem, minimalizowaniu szkód, zamiast eliminować tych, którzy je wytwarzają i uprawiają przestępczy proceder. Powinniśmy wiedzieć, kim są, skąd pochodzą, dlaczego to robią" - mówił Mikko Hypponen. Specjalista F-Secure postuluje wspólne działania, aby doprowadzać cyberprzestępców przed sąd i skazywać - demonstrować, że jest chęć, wola i determinacja do złapania ich i udowodnienia im winy. W ten sposób można odstraszać potencjalnych naśladowców. Uważna analiza i zrozumienie minionych zdarzeń pomaga w pewnym stopniu przygotować się na nadchodzące zagrożenia, ale i te bywają często znaczącym zaskoczeniem. Rozmiar, cechy i możliwości Stuxnetu świadczą o tym niezbicie.

Sukcesami w walce ze spamerami może pochwalić się Facebook. Jeden z wyroków opiewa na blisko 900 mln USD i został wpisany do księgi rekordów Guinnessa. Tak ogromną kwotę powinien zapłacić kanadyjski spamer - Adam Guerbuez. Spółka raczej nie spodziewa się, że zobaczy te pieniądze, najważniejsze, że spamer przestał spamować. Informacje o wygranych bataliach zdobią specjalną ścianę w biurze spółki. "Informują i uświadamiają" - mówił Ryan McGeehan, odpowiedzialny w Facebook za bezpieczeństwo.

Człowiek, czyli dziura

Przyjmując za pewnik, że zagrożeń będzie przybywać, potrzebne są działania, które angażować będą nie tylko specjalistów od bezpieczeństwa, ale także zwykłych użytkowników komputerów podłączonych do sieci. Ci pierwsi muszą edukować i uświadamiać tych drugich. Z takim przesłaniem wystąpił Lance Spitzner z SANS Institute - człowiek jest najsłabszym ogniwem i jego za cel obierają atakujący. "Większość ludzi nie zdaje sobie sprawy, że są lub mogą być obiektem ataku, zatem należy ich uświadamiać. Trzeba im wyjaśniać, dlaczego i w jaki sposób mogą zostać zaatakowani, przynajmniej w sposób podstawowy, aby wiedzieli, jak dbać o swoje bezpieczeństwo. W ten sposób można załatać najsłabszy punkt w każdym systemie" - mówi Lance Spitzner. Zwraca jednak uwagę, że wiele prób edukacji nie zdawało egzaminu, gdyż dokonywano wyłącznie minimum działań, niezbędnego zakresu do wypełnienia przepisów, ale nie dochodzi do trwałej zmiany zachowań. Ponadto największy kłopot polega na tym, że specjaliści od bezpieczeństwa znają problem - wyzwaniem pozostaje przekazanie tego zwykłym ludziom. "A jesteśmy w tym nie najlepsi. Potrzebujemy umiejętności nauczania, 'marketingu' problemów bezpieczeństwa. Koncentrujemy się na technologii, więc źli goście atakują ludzi, nie technologię" - podsumowuje Lance Spitzner.

Tygodnik Computerworld był patronem medialnym Konferencji Secure 2010 organizowanej przez NASK i Cert Polska.