Złodziejska konwergencja
-
- Paweł Krawczyk,
- 24.01.2005
Idzie nowa fala
Pod koniec 2004 r. pojawił się prawdopodobnie pierwszy wirus z kategorii "zero day", tzn. taki, który pojawił się w sieci w tym samym dniu, w którym pojawiła się informacja o podatności. Fakt, że nie pojawiły się jeszcze wirusy wykorzystujące nieznane dziury w systemach świadczy o tym, że prawdopodobnie podziemie przestępcze nie nawiązało jeszcze współpracy z podziemiem hakerów szukających ich w programach. Krąg tych osób jest ograniczony i reprezentuje najwyższy stopień specjalizacji i technicznego zaawansowania, co często pociąga niechęć do gangsterów i motywację inną niż tylko finansowa. Jednak nadzieja, że hakerzy nie będą pracować dla złodziei jest złudna. Za wspomniane wyżej pieniądze można wynająć kilkudziesięciu informatyków z dowolnego kraju na wschód od Niemiec i przeszkolić ich na profesjonalnych kursach oraz lekturze magazynów "Phrack" czy "29A".
Wirusy przestały być już zabawkami i w najbliższym czasie będą w większym stopniu spełniać potrzeby "biznesowe" niż "naukowe" swoich twórców. Podobnie spam nie jest już fenomenem spod znaku Viagry traktowanym z przymrużeniem oka, ale nośnikiem treści czy wręcz narzędzi przestępczych (skrypty). W nadchodzących latach będziemy zapewne obserwować znaczne jakościowe zmiany w sposobie wyłudzania i kradzieży pieniędzy za pomocą Internetu.
Phisherzy za nic mają zaawansowane zabezpieczenia banków, firewalle i audyty - tak samo jak autorzy sławnego już listu z Nigerii, atakują najsłabsze ogniwo zabezpieczeń - człowieka. Jeden na iluś tam wpłaci milion dolarów w nadziei uzyskania kolejnych dziesięciu od wdzięcznego nigeryjskiego rodu. Tych, którzy podadzą swoje hasła, gdy tylko zobaczą znajome logo, jest niestety znacznie, znacznie więcej. Producenci i usługodawcy będą musieli na to zareagować, jeśli nie chcą ponosić strat wraz ze swoimi klientami.
Jak pokazuje praktyka, w dziedzinie technik złodziejskich istnieje zjawisko propagacji wstecznej - po phishingu internetowym pojawił się "phishing" prowadzony za pomocą tradycyjnej poczty. Polskie Ministerstwo Finansów ostrzegało niedawno przed listami sugerującymi, że zmieniły się konta... urzędów skarbowych służących do wpłacania podatków! Trudno o większą bezczelność, ale magia pieczątki US (nawet fałszywej) wielu ludzi nastraja bezkrytycznie.
Pierwszoplanową kwestią jest uniemożliwienie złoczyńcom kradzieży tożsamości. Era statycznych loginów i haseł musi minąć - przyszłość należy do prostych, ale zapewniających duże bezpieczeństwo rozwiązań. Wśród nich znajdują się hasła jednorazowe czy nowatorskie techniki, takie jak kryptografia obrazkowa czy dźwiękowa oraz biometria. Ogromną szansą jest popularność telefonów komórkowych, które jako przyrząd powszechny i osobisty mogą spełniać rolę prywatnych centrów autoryzacji.
Zapewne wszystkie będą wykorzystywane równolegle, bo gdy zagrożenie jest tak duże, bezpieczeństwo musi być wieloskładnikowe (np. karta chipowa plus PIN), tak by użytkownik ogłupiony przez złodzieja nie był w stanie skompromitować swojego bezpieczeństwa, nawet działając w najlepszej wierze.
Dopiero co rozpoczęty rok powinien przynieść rozstrzygające zmiany w uwierzytelnieniu poczty elektronicznej - nie do przyjęcia jest fakt, by w kilkadziesiąt lat od wynalezienia poczty elektronicznej nadal nie było wiadomo czy list nadany jako [email protected] został wysłany z Waszyngtonu, z Siemiatycz na Podlasiu czy może ze wsi Mujumbo w Burkina Faso.
Sporą szansą są tutaj projekty, takie jak Sender-ID, służące do uwierzytelnienia serwerów SMTP, jeśli tylko nie ugrzęzną one w przepychankach patentowo-standaryzacyjnych pomiędzy wielkimi korporacjami. Bez tego poczta elektroniczna straci resztki zaufania jako narzędzie dla biznesu.
