Główne grzechy biznesu

Konferencja Black Hat 2008 poświęcona była nowym zagrożeniom, zwłaszcza dotyczącym platform mobilnych.

Konferencja Black Hat 2008 poświęcona była nowym zagrożeniom, zwłaszcza dotyczącym platform mobilnych.

Choć najczęściej wskazywanym "winowajcą" naruszeń bezpieczeństwa systemów IT są producenci oprogramowania i użytkownicy, którzy nie stosują się lub nie znają zasad bezpiecznego z nich korzystania, to podczas konferencji Black Hat 2008 krytyczne uwagi skierowane zostały również do ekspertów ds. bezpieczeństwa i usługodawców internetowych.

Bezmyślne narzędzia

Jednym z najcięższych grzechów jest bezwarunkowe ufanie narzędziom. Każdy system IT posiada założenia, które nie zawsze odpowiadają realiom. Ponadto dane wyjściowe z takiego narzędzia są tylko na tyle godne zaufania, na ile dane wprowadzone do systemu. Gdy bezkrytycznie ufa się przetwarzanym danym, łatwo o niekorzystne skutki. Począwszy od błędnych analiz finansowych, poprzez nieprawidłowe działanie systemów (przykładem mogą być awarie energetyczne w Ameryce Północnej), aż do paraliżu komunikacyjnego, spowodowanego np. awarią oprogramowania central telefonicznych. Wszystko to jest spowodowane przez kombinację czynnika ludzkiego i niedostatków systemów IT.

Na szczęście, człowiek nadal gra główną rolę w wielu decyzjach, zatem wątpliwe decyzje mogą zostać zweryfikowane. Niestety trudno podejmować decyzje bezstronnie, każdy ekspert ma bagaż doświadczeń, z którego korzysta. Osoba taka będzie miała tendencje do odsiewania informacji - w jej mniemaniu - nieistotnej, często skupiając się na konkretnych liczbach. Gdy zaś nieprawidłowe dane albo błędne założenia postawiły pod znakiem zapytania cały wynik dostarczony ekspertowi, nie można wprost powiedzieć, które dane są ważne, a które nie. Być może w odrzuconych danych jest informacja o bardzo poważnym błędzie, który je dyskwalifikuje. Pozostaje pytanie, czy doświadczenie ludzi pracujących z nieraz wątpliwej jakości wynikami wystarczy, aby mogli podejmować trafne decyzje? Niestety nie zawsze.

Grzech zaniechania

Drugim bardzo ważnym grzechem jest zaniechanie. Gdy w aplikacji zostaje wykryty błąd, powodujący poważne naruszenie bezpieczeństwa, naturalną odpowiedzią producenta powinna być łata, usuwająca daną lukę. Im szybciej łata zostanie opracowana i przekazana końcowym użytkownikom, tym mniejsze szkody wywoła ewentualny atak. Grupy hackerskie postawiły sobie za cel znajdowanie luk w bezpieczeństwie wielu produktów (typowym celem są rozwiązania Microsoft i RedHat) i zadanie to spełniają bardzo dobrze. Informacja o luce z reguły dość szybko trafia do producenta, który może ją wykorzystać do naprawy bezpieczeństwa swojego produktu.

Niestety nie zawsze tak się dzieje. Historia błędów niektórych produktów udowadnia, że od zgłoszenia błędu do publikacji łaty niekiedy upływa bardzo dużo czasu. Były przypadki, że czas od publikacji informacji o luce na portalach hackerskich do publikacji łaty liczono w miesiącach. Szybkie przygotowanie łat oraz sprawna ich publikacja kosztuje. Czasami więc firmy celowo podejmują ryzyko opóźnienia instalacji łaty albo marginalizują wagę problemu. Jednym z niewielu chlubnych wyjątków jest projekt OpenBSD, którego celem jest utrzymywanie sieciowego systemu operacyjnego typu Unix projektowanego niemal wyłącznie pod kątem bezpieczeństwa.

Najtańszą obroną jest atak

Gdy zostają wykryte problemy z bezpieczeństwem, zazwyczaj wymagają natychmiastowej interwencji. Oczywiście przygotowanie odpowiednich łat, nowych wersji firmware lub modyfikacji serwisu WWW jest kosztowne. Podobnie naprawa nadszarpniętego wizerunku banku lub sklepu, z którego "wyciekło" wiele danych o kartach kredytowych. Znacznie taniej jest zrealizować tzw. czarny PR, przygotowując kampanie, której zadaniem jest ukrycie rzeczywistego rozmiaru problemu. Dobrze przygotowany kontratak specjalisty wykorzystującego socjotechnikę - nazywanego popularnie "spin doktor" - potrafi przekuć w późniejszy sukces informacje o ewidentnej porażce, które w innym przypadku mogłyby poważnie zaszkodzić reputacji firmy. Doświadczenia w USA, gdzie "spin" jest powszechnie stosowany w różnych dziedzinach związanych z mediami dowodzą, że w praktyce jest to skuteczny środek socjotechniczny.

Linux, OS X czy Windows?

Niespełna dwóch minut potrzebował Charlie Miller, aby uruchomić złośliwy kod i przejąć kontrolę nad komputerem MacBook Air pracującym pod kontrolą w pełni uaktualnionego systemu Mac OS X. Wygrywając konkurs, który odbył się w trakcie konferencji CanSecWest, zdobył 10 tys. USD i... komputer, który zhakował. Konkurs PWN 2 OWN 2008 (w tłumaczeniu przejmij i wygraj) polega na tym, aby włamać się do komputerów pracujących pod kontrolą Mac OS X 10.5.2, Windows Vista lub Ubuntu Linux 7.10. Należało wykorzystać nieznany wcześniej błąd w systemie lub domyślnie zainstalowanej w nim aplikacji, pozwalający na nieautoryzowane uruchomienie kodu. Niepokonany na koniec konferencji pozostał jedynie komputer z Linuxem.


TOP 200