Tegoroczna konferencja RSA Security w Barcelonie przyciągnęła ponad tysiąc uczestników z całego świata. W ciągu trzech dni odbyło się ok. 50 prezentacji poświęconych bezpieczeństwu danych, Internetu oraz ich znaczeniu dla biznesu i... polityki.

W tym roku dało się także zaobserwować jeszcze jedną ważną tendencję. "W ubiegłym roku Europa Środkowa i Wschodnia była reprezentowana przez pięć osób, w tym roku było ich dziesięć razy więcej - mówi Cezary Prokopowicz z polskiego oddziału RSA". Rzeczywiście, na konferencji byli nawet goście z rosyjskiego FSB (dawne KGB).

Tematem przewijającym się w większości wystąpień był phishing - problem, który w ciągu ostatniego roku stał się nie tylko widoczny, ale który zaczął przynosić wymierne straty materialne. Niemal każdy otrzymał kiedyś list elektroniczny idealnie naśladujący stronę firmową dużego banku, z prośbą o zalogowanie się przy pomocy swojego PIN-u. Jak wiele osób zostało okradzionych w ten sposób, pokazują ostatnie doniesienia z Brazylii.

Phishing, szerzej rozumiany jako kradzież tożsamości, jest zjawiskiem, z którym trudno walczyć li tylko środkami technicznymi. Opiera się na sztuczce socjotechnicznej - wmówieniu użytkownikowi, że z jakichś powodów jego hasło jest potrzebne akurat tu i teraz. Niestety, takie proste triki okazują się często skuteczne. Co gorsza, techniki wyłudzania poufnych danych stają się coraz bardziej wyrafinowane. Zespół badawczy z firmy SecureNet zaprezentował nową technikę podszywania się pod serwis internetowy w taki sposób, by zachowany został oryginalny certyfikat SSL serwera. Metoda ta, zaprezentowana na konferencji na przykładzie pewnego angielskiego serwisu bankowego, wykorzystuje technikę cross site scripting.

Problem z hasłami

Kontroli nad swoją tożsamością w Internecie nie ułatwia obecna sytuacja na rynku. Użytkownik sieci musi dysponować kilkudziesięcioma hasłami i loginami do różnych sklepów, serwisów bankowych i innych. Część serwisów przyjmuje jako login adres e-mail, część ośmioznakową nazwę, część nadaje własny kod numeryczny. Również wymagania wobec haseł bywają różne - niektóre witryny przyjmują hasło "ala", inne generują długie i losowe hasło za użytkownika.

Nawet posiadanie "dyżurnego" hasła nie usuwa wszystkich problemów - część serwisów może wymagać hasła o długości tylko 4 znaków, inne nawet 10 znaków. Jeśli jeden serwis wymusi na nas, by hasło zawierało przynajmniej jedną dużą literę, to drugi nie zezwoli, by była w nim spacja lub minus, mimo że utrudnia to zgadnięcie hasła. Próby ujednolicenia tej sytuacji były prowadzone np. przez Microsoft, jednak promowany przez tę firmę system Passport nie chwycił. Firma właśnie ogłosiła, że wycofuje się z jego oferowania poza własnymi serwisami. Tak naprawdę Passport nigdy nie zyskał powszechnej akceptacji, o czym piszemy szerzej na str. 26.

Prace nad systemem podobnym do Passport były prowadzone również przez założoną przez firmy Sun Microsystems, RSA Security i in. organizację Liberty Alliance. Wypracowała ona szereg standardów technicznych oraz procedur związanych z przechowywaniem i bezpieczną wymianą identyfikatorów i danych osobowych między serwisami. Model promowany przez Liberty Alliance jest odmienny od scentralizowanej architektury Microsoft Passport. Liberty udostępnia narzędzia, z których każdy zainteresowany może zbudować własny system uwierzytelnienia użytkowników. Proces przekazywania danych jest określany jako identity federation.

Według tej filozofii samo uwierzytelnienie użytkownika (przez hasło, token lub w innej formie) jest prowadzone przez jego ISP lub ulubiony portal. Kolejne serwisy, do których loguje się użytkownik korzystają z raz dokonanego uwierzytelnienia - instytucja, która wykonała je na początku przekazuje wybrane informacje o użytkowniku dalej. To coś w rodzaju Single Sign-on w rozproszonym środowisku. Architektura ta wygląda rozsądnie i z punktu widzenia bezpieczeństwa i z punktu widzenia ochrony prywatności użytkownika. Czy zyska ona popularność zależy zapewne od tego, na ile atrakcyjna będzie ona dla dostawców treści, z których każdy przechowuje obecnie swoja własną bazę loginów i haseł. "Coś z tym trzeba zrobić" - zastanawiał się głośno na otwarciu konferencji Art Coviello, prezes RSA.

Niechciany certyfikat

Przynajmniej połowa wykładów na konferencji nawiązywała w jakimś stopniu do silnego uwierzytelnienia użytkowników. Mówiono głównie o dwóch podstawowych metodach. Pierwszą z nich jest uwierzytelnienie za pomocą certyfikatów przechowywanych na kartach chipowych oraz związana z tym infrastruktura klucza publicznego (PKI). Drugą były hasła jednorazowe.

Sytuacja jest trochę podobna do punktu krytycznego w motoryzacji w latach 60. w Europie, kiedy wobec gwałtownego wzrostu liczby wypadków samochodowych związanych z rozbudową sieci drogowej, wprowadzono obowiązek posiadania pasów bezpieczeństwa. Czy jednak postęp musi się odbywać z administracyjnego nadania? Mamy praktycznie wszystko, co potrzebne dla PKI - ustawę o podpisie elektronicznym, standardy (X.509) i technologię, jednak rynek nie kwapi się wcale do korzystania z PKI. Architektura PKI odniosła "sukces" tam, gdzie jest absolutnie niezbędna, np. na potrzeby identyfikacji serwerów WWW i szyfrowania SSL, oraz tam, gdzie została wymuszona administracyjnie, np. uwierzytelnianie płatników ZUS.

Mamy w Polsce przynajmniej kilka oficjalnych centrów certyfikacji (CA), ale przeciętny użytkownik Mozilli czy Outlooka nie będzie mieć z nich żadnego pożytku, dopóki nie zainstaluje ich certyfikatów głównych centrów certyfikacji. Rezultat jest taki, że korzysta się z nich tylko w wąskich kręgach korporacyjnych lub instytucjonalnych, gdzie środowisko poczty elektronicznej jest ujednolicone. "Jest w tym wina producentów, którzy nie doprowadzili do ujednolicenia rozwiązań technicznych" - zauważa Victor Chang. I dodaje: "Aby podpis elektroniczny stał się powszechny, konieczne jest, by był on tak prosty w użyciu, jak w Lotus Notes, gdzie użytkownik nawet nie zauważa, że jest wykorzystywana jakaś kryptografia, dopóki dokument nie zostanie zmieniony."

Być może dopiero kolejna fala fałszerstw i kradzieży na wielką skalę skłoni użytkowników do zainteresowania się możliwością pewnej identyfikacji. Z drugiej strony, bezpieczne uwierzytelnianie nie załatwia w 100% bezpieczeństwa, o czym pisał niedawno Wojciech Dworakowski w artykule o atakach polegających na kradzieży identyfikatorów sesji.