Główne grzechy biznesu

Po drugiej stronie barykady stoją grupy hackerskie, które na poważnie zajmują się bezpieczeństwem i zazwyczaj informują dostawców sprzętu i oprogramowania zanim opublikują informację o błędzie. Gdy sprawa dotyczy naruszeń bezpieczeństwa w dużych i bardzo poważnych instytucjach, gra idzie o wielkie pieniądze. Przykładem może być kradzież ok. 50 mln rekordów związanych z kartami płatniczymi z firmy TJX. W przypadku problemów o mniejszej skali często wystarczy groźba procesu sądowego o naruszenie dóbr. W każdym przypadku interes dużej korporacji, w której wystąpiło naruszenie bezpieczeństwa, jest przeciwny interesowi konsumentów.

Wątpliwe zaufanie do GSM

Problemem może być także bezkrytyczne zaufanie do dostawców technologii. Dość ciekawym zjawiskiem są coraz częściej publikowane informacje o słabościach sieci komórkowych GSM. O ile sam algorytm A5 używany do szyfrowania danych przesyłanych drogą radiową został złamany dawno temu, do niedawna nie było powszechnie dostępnych narzędzi do łamania zabezpieczenia online. Barierą były wysokie koszty pozyskania informacji z toru radiowego związane m.in. z dużymi wymaganiami na moc obliczeniową.

Obecnie - dzięki poznanym słabościom algorytmu A5 - udowodniono, że złamanie zabezpieczeń przechwyconych danych umożliwia skuteczny atak man-in-the-middle, ponadto stawia pod znakiem zapytania mechanizmy uwierzytelnienia stosowane w sieciach GSM. Moc obliczeniowa niezbędna dla analizy przechwytywanych danych nie jest obecnie zbyt duża w porównaniu do wydajności komputerów, a sprzęt niezbędny do tego celu jest w zasięgu wielu firm i instytucji.

W ten sposób można przeprowadzić atak ukierunkowany nie tylko przeciw danym głosowym, ale także pozyskujący dane przesyłane za pomocą GPRS. Wiele firm korzystających z GPRS w swych urządzeniach nie stosuje w ogóle szyfrowania danych przesyłanych w tym kanale transmisji, gdyż zakłada, że zabezpieczenia stosowane przez operatora są wystarczające. Niestety tak nie jest, zaś prezentacja łamania zabezpieczeń sieci GSM udowadnia to ponad wszelką wątpliwość.

Komercyjny spyware

Proces komercjalizacji złośliwego kodu jest jednym z najważniejszych trendów, który wpływa na bezpieczeństwo systemów teleinformatycznych. Bardzo ważnym tematem poruszanym podczas konferencji Black Hat były kierunki i perspektywy rozwoju złośliwego kodu dedykowanego dla platform mobilnych. Spyware jest powszechnie spotykane w systemach Windows używanych w domach. Nie nastąpiła jednak jeszcze prawdziwa epidemia złośliwego kodu w telefonach GSM. A w praktyce są one bardzo dobrym celem, gdyż coraz częściej mają zaawansowane systemy operacyjne, zestandaryzowane środowisko uruchamiania aplikacji mobilnych, interfejs sieciowy połączony z Internetem przez łącze operatora telekomunikacyjnego, a nawet odbiornik systemu GPS umożliwiający lokalizację użytkownika.

Na rynku można już spotkać dedykowane oprogramowanie szpiegowskie, które potrafi w niezauważony sposób odebrać przychodzące połączenie z konkretnego numeru telefonu, po cichu przekazać treść wiadomości SMS oraz informacje o odebranych i wybieranych numerach telefonu. Niektóre z nich potrafią automatycznie dodawać do połączenia trzecią stronę, którą może być specjalny numer rejestrujący treść rozmowy. Tego typu programy są często wykorzystywane przez agencje detektywistyczne, ale są już nawet oferty skierowane do użytkowników indywidualnych. Na szczęście niektóre systemy operacyjne stosowane w telefonach (np. Symbian) posiadają mechanizm podpisu archiwów instalacyjnych aplikacji, zatem ryzyko samoczynnego zdalnego zarażenia telefonu jest mniejsze.

Komercjalizacja złośliwego kodu sprawia, że nowe oprogramowanie szpiegujące staje się coraz trudniejszym przeciwnikiem i podwyższa ryzyko zarówno związane z pracą przedsiębiorstwa, jak i bezpieczeństwem i prywatnością w codziennym życiu.

Grzechy specjalistów ds. bezpieczeństwa

  1. Bezwarunkowe ufanie wdrożonym narzędziom IT.
  2. Zaniechanie - gdy w aplikacji zostaje wykryty błąd, powodujący poważne naruszenie bezpieczeństwa, naturalną odpowiedzią producenta powinna być łata, usuwająca daną lukę, a po stronie użytkownika jej instalacja.
  3. Bezkrytyczne zaufanie do dostawców technologii.

TOP 200