Najważniejsze projekty, które mają zmienić internet

Zagrożenie bezpieczeństwa w internecie osiągnęło stan kryzysowy. Pojawia sie więc ważne pytanie: czy rozwijane od lat projekty modernizacji mechanizmów bezpieczeństwa sieci zostaną wdrożone na masową skalę, czy też pojawi się nowy internet-bis?

Globalna sieć musi zostać zasadniczo zmodernizowana i przebudowana by mogła zapewnić bezpieczną wymianę informacji i danych. Chyba nikt nie ma co do tego wątpliwości.

Jest to nieuniknione, ale na razie trudno przewidzieć kiedy ta ogólna idea zacznie nabierać realnych kształtów i czy zostanie zrealizowana na zasadzie wprowadzania cząstkowych modyfikacji czy też powstanie nowy, alternatywny internet-bis.

Zobacz również:

Niżej prezentujemy kilka koncepcji przebudowy internetu, które są obecnie rozwijane, a częściowo zaczynają znajdować praktyczne zastosowania. Czy znajdą one uznanie użytkowników, a przede wszystkim powszechne wsparcie ze strony producentów oprogramowania, dostawców usług internetowych, operatorów sieci, a także organizacji rządowych?

Niestety zasadnicza modernizacja internetu, globalnej sieci, która nie ma jednego właściciela wymaga szerokiego porozumienia i uzgodnień. Istotną rolę odgrywają koszty przeprowadzenia zmian i to kto będzie je ponosił.

Przebudowa sieci od podstaw, czyli stworzenie alternatywnego, bezpiecznego internetu ma w najbliższym czasie małe szanse na realizację. Można oczekiwać, że wdrażane będą cząstkowe zmiany, na przykład operatorzy ISP powinni zająć się ulepszeniem mechanizmów routingu, firmy zarządzające infrastrukturą DNS eliminacją problemów z nieprawidłowymi lub oszukańczymi certyfikatami, wszyscy powinni zadbać o prawidłowe wdrażanie mechanizmów szyfrowania itd.

Nadszedł czas na zasadnicze zmiany?

Jak uczy doświadczenie, żadne stosowane dotychczas półśrodki i częściowe rozwiązania nie są w stanie zmienić trendu wzrastających zagrożeń. Niezbędne jest wprowadzenie zasadniczo nowych, efektywnych i powszechnie wdrażanych mechanizmów zapewniających zaufanie oraz bezpieczeństwo w globalnej sieci.

Warto tu dodać odpowiedzialność rządów za wprowadzanie odpowiednich zmian w prawie. Już od pewnego czasu organizacje rządowe w wielu krajach próbują wprowadzać przepisy i rozwiązania chroniące prywatność i zapewniające bezpieczeństwo danych zarówno osób prywatnych jak i firm. Jednak wiele z tych projektów upada, gdyż okazuje się, że są zbyt skomplikowane i trudne w praktycznej realizacji, bo internet funkcjonuje w skali globalnej. Nie oznacza to jednak, że rola organizacji rządowych we wsparciu wysiłków na rzecz zwiększenia bezpieczeństwa nie ma znaczenia. Prawo dobre i znajdujące możliwość praktycznego zastosowania jest ważnym elementem wspomagającym inne działania.

Czas na eliminację problemów z routingiem

MANRS (Mutually Agreed Norms for Routing Security) to opracowywany przez organizację ISOC (Internet Society) zestaw dobrych praktyk, których wdrożenie na masową skalę może istotnie zwiększyć bezpieczeństwo w internecie.

Jeśli operatorzy działający w globalnej sieci, przede wszystkim dostawcy internetu, zaakceptują zasady MANRS i zaczną wspierać tą inicjatywę, znacznie utrudni to działania cyberprzestępcze.

MANRS to zestaw mechanizmów kontrolnych, których wdrożenie blokuje w sieci operatora transmisję pakietów zawierających nieprawidłowe lub sfałszowane informacje dotyczące routingu.

Internet Society zamierza wkrótce opublikować dokument “Best Current Operational Practices”, prezentujący dobre zasady polityki routingu, mechanizmy pozwalające na weryfikację adresów źródłowych oraz filtry blokujące transmisję pakietów ze sfałszowanymi informacjami.

Zasada działania internetu polega na wymianie pakietów danych między dwoma punktami ich źródłem i celem. Z reguły użytkownika nie interesuje jaka jest ich rzeczywista trasa. Ale to ma znaczenie. Bo jeśli ktoś w Polsce chce połączyć się ze stroną np. Computerworld.pl to wysyłane pakiety nie powinny być przekierowywane przez chińskie lub australijskie routery.

A jeśli strona internetowa nie jest zabezpieczona przez mechanizmy HTTPS to informacje o aktywności użytkownika są dostępne dla zainteresowanych tym osób na całej trasie pakietów.

Oprócz tego cyberprzestępcy mogą ukrywać prawdziwe adresy IP wykorzystując proste sztuczki. Szczególnie podatny jest na to powszechnie wykorzystywany protokół UDP (User Datagram Protocol), który pozwala na łatwą podmianę adresu tak by źródło widoczne dla użytkownika było inne niż prawdziwe.

Jest to wykorzystywane w atakach DDoS i powoduje, że są trudne do zablokowania, bo odpowiedź systemu bezpieczeństwa jest kierowana przeciwko sfałszowanym adresom IP, a nie rzeczywistym jego źródłom.

Zwiększa to skuteczność ataków DDoS na serwery wykorzystujące protokół UDP, takie jak DNS, NTP (Network Time Protocol), SSDP (Simple Server Discovery Protocol) lub SNMP (Simple Network Management Protocol).

Niestety wielu dostawców internetu nie zdaje sobie sprawy, jak cyberprzestępcy wykorzystują niedoskonałości mechanizmów routingu.

Dlatego powinni wprowadzić mechanizmy pozwalające na wykrywanie potencjalnych problemów z routingiem i przeciwdziałanie im, bo obecnie większość firm ISP jest podatna na standardowe ataki.

Globalny kryzys internetu

Liczba informacji o włamaniach, kradzieżach, żądaniach okupu, atakach DDoS i APT systematycznie rośnie i coraz częściej analitycy oraz specjaliści ds bezpieczeństwa zaczynają mówić, że zagrożenia osiągają poziom, który można okreslić jako globalny kryzys. Zwłaszcza, że zagrożenia są generowane głównie przez działający na zasadach biznesowych cyberprzestępczy przemysł dysponujący miliardami dolarów na rozwój technologii.

W 2014 roku organizacja ISOC uruchomiła program testowania skuteczności wdrożenia norm MANRS. Na początku przystąpiło do niego 9 operatorów, obecnie w programie bierze udział ponad 40 firm. Ale, żeby działania takie efektywnie zwiększyły bezpieczeństwo w internecie, powinny być powszechne.

Jeśli uda się spopularyzować MANRS, to dostawcy lekceważący zasady bezpieczeństwa mogą zacząć tracić klientów na rzecz firm zapewniających zgodność z zasadami określonymi przez ISOC. W przypadku małych dostawców, duże firmy ISP mogą odmówić obsługi ruchu, jeśli nie wdrożą oni odpowiednich mechanizmów bezpieczeństwa.

Byłoby dobrze, gdyby MANRS stał się standardem stosowanym przez wszystkie firmy. W praktyce wystarczy jednak by zasady bezpieczeństwa zostały wdrożone przez większość dostawców internetu, bo oczekiwanie że zrobią to wszyscy jest mało realistyczne.

Monitorowanie i audyt cyfrowych certyfikatów

Było wiele prób ulepszenia protokołu SSL, który powszechnie jest wykorzystywany do zabezpieczania komunikacji. SSL ułatwia identyfikację czy strona WWW jest tą za która się podaje. Jednak system ten nie działa jeśli cyberprzestępcom uda się oszukać firmę wydającą certyfikaty.

Można przypomnieć przypadek z 2011 roku, gdy irański haker włamał się do duńskiej firmy DigiNotar i wygenerował zestaw fałszywych certyfikatów związanych m.in. ze stronami takich firm jak Google, Microsoft i Facebook.

Jedną z najnowszych prób zapobieżenia problemom takich ataków (typu man-in-the-middle) jest projekt Google Certificate Transparency – otwarta, publiczna sieć wyposażona w mechanizmy monitorowania i audytu certyfikatów SSL.

Gdy firma CA (Certificate Authority) wydaje certyfikat informacje o nim mają być zapisywane w publicznej, powszechnie dostępnej bazie, którą każdy może wykorzystać do weryfikacji czy dany certyfikat jest prawidłowy.

Baza ta ma być regularnie skanowana w celu wykrycia podejrzanych, nieprawidłowych lub zawierających nietypowe rozszerzenia wpisów.

Mechanizmy skanowania będą automatycznie generować alarmy ułatwiające szybką weryfikację i usuwanie nieprawidłowych certyfikatów. Jeśli dany certyfikat nie znajdzie się w bazie będzie to jasny sygnał, że strona WWW może stwarzać problemy z bezpieczeństwem.

Google ma nadzieję, że projekt Certificate Transparency pozwoli na wyeliminowanie przynajmniej części zagrożeń istniejących w internecie. Firma dysponuje technologiami pozwalającymi na wdrożenie tego systemu, ale musi jeszcze przekonać użytkowników, że jest to rozwiązanie warte zastosowania.

Certificate Transparency wymaga od użytkowników obdarzenia zaufaniem Google z czym czasami moga być problemy. Firma nie rezygnuje jednak z rozwijania tego projektu. Ostatnio uruchomiła dodatkowy serwis Google Submariner, gdzie prezentuje listę firm wydających certyfikaty, którym nie należy ufać.

Innym pomysłem na zwiększenie odporności SSL na ataki jest protokół DANE (DNS-based Authentication of Named Entities).

DANE wykorzystuje istniejący mechanizm DNSSEC, który wciąż nie jest automatycznie i powszechnie stosowany, do obsługi sesji SSL. Pozwala to na efektywne blokowanie ataków typu man-in-the-middle kierowanych na SSL i inne protokoły.

Problemem jest to, że serwery DNS dla domen najwyższego poziomu są najczęściej zarządzane przez organizacje rządowe. Pojawia się więc pytanie czy można im zaufać i powierzyć kontrolę nad warstwą bezpieczeństwa.

Bo wdrożenie DANE oznacza, że organizacje rządowe w różnych krajach zyskają możliwości zarządzania certyfikatami podobne do tych które mają obecnie firmy CA, co może budzić zaniepokojenie i wątpliwości wielu użytkowników.

Projekt StopBadware

Blisko 10 lat temu na uniwersytecie Harvard (Harvard University Berkman Center for Internet & Society), we współpracy z firmami Google, Mozilla i PayPal uruchomiono prace nad projektem StopBadware, którego celem było opracowanie efektywnych strategii walki ze szkodliwym oprogramowaniem.

Po kilku latach, w roku 2010 dalsze prace nad tym projektem zostały przekazane do niezależnej, specjalnie utworzonej w tym celu organizacji non-profit StopBadware.org.

W ramach projektu StopBadware analizowane jest różnego rodzaju szkodliwe oprogramowanie, a następnie są publikowane informacje w jaki sposób można je usunąć z komputera oraz co należy zrobić by uniknąć powtórnych infekcji. Użytkownicy mają dostęp do bazy zawierającej zestaw danych o znanych, zagrażających bezpieczeństwu adresach internetowych (URL, IP, ASN). Informacje o zagrożeniach są zbierane przez StopBadware we współpracy z użytkownikami, którzy mogą zgłaszać napotkane problemy, a także firmami zajmującymi się bezpieczeństwem oraz niezależnymi analitykami.

Zbyt wysokie koszty związane z utrzymaniem systemu i dalszym rozwojem projektu doprowadziły ostatecznie do jego ponownego przejęcia w czerwcu 2015 roku przez kolejny uniwersytet w USA, tym razem University of Tulsa.

Naukowcy z tej uczelni zapowiadają, że możliwość dostępu do bazy danych oraz współdzielenia informacji o szkodliwych stronach WWW zostanie rozszerzona o dodatkowe narzędzie umożliwiające webmasterom uzyskanie spersonalizowanych informacji o konkretnych zagrożeniach i metodach przeciwdziałania skutkom ataków. Wersja beta tego narzędzia ma być udostępniona jesienią bieżącego roku.

Trudno przewidzieć jakie będą losy projektu StopBadware, ale jest on dobrym przykładem, jak czasami trudno jest w praktyce rozwijać i finansować nawet najlepsze pomysły związane ogólnie z bezpieczeństwem internetu jako całości.

Nowy internet czyli projekt SEIF

Pojawiają się też idee zastąpienia internetu przez nową globalna sieć zaprojektowaną od podstaw z myślą o zapewnieniu bezpiecznej komunikacji I wymiany danych.

Przykładem może być projekt open source SEIF zaproponowany przez Douga Crockforda, architekta zajmującego się oprogramowaniem JavaScript w firmie PayPal.

SEIF ma być nową platformą skoncentrowaną na zapewnieniu bezpieczeństwa internetowych aplikacji, która wymaga modyfikacji protokołów transmisji danych, interfejsów użytkownika oraz zakłada rezygnację z systemów zabezpieczeń opartych na hasłach.

Z technicznego punktu widzenia w SEIF zamiast systemu DNS do sterowania połączeniami wykorzystywane mają być adresy IP i klucze kryptograficzne, HTTP z JSON over TCP oraz HTML powiązany z aplikacją JavaScript opartą na Node.js i Qt.

Idea SEIF przewiduje rezygnację z korzystania z języka CSS (Cascading Style Sheets) oraz modelu DOM (Document Object Model). Z kolei JavaScript ma potencjalnie pozostać ważnym elementem systemu pozwalającym na tworzenie bardziej niż dotąd bezpiecznych aplikacji webowych.

Jeśli chodzi o protokół SSL, którego bezpieczeństwo jest oparte na zaufaniu do firm CA wydających certyfikaty (Certificate Authorities), ma on zostać zastąpiony przez schemat wzajemnej autentykacji wykorzystującej klucze publiczne. Szczegóły w jaki sposób można to zrealizować w praktyce nie są na razie znane.

SEIF ma wykorzystywać szyfrowanie oparte na technologiach ECC (Elyptic Curve Cryptography) 521, AES (Advanced Encryption Standard) 256 i SHA (Secure Hash Algorithm) 3-256. Publiczne klucze ECC 521 mają pozwolić na przydzielenie unikalnego identyfikatora każdemu użytkownikowi internetu.

Obecnie SEIF jest jeszcze we wczesnej fazie rozwoju i trudno przewidzieć czy ten ambitny projekt odniesie sukces. W znacznej mierze zależy to od wsparcia ze strony dostawców przeglądarek internetowych oraz firm zarządzających popularnymi stronami internetowymi.

W tekście wykorzystano treści z artykułu “4 big plans to fix internet security” opublikowanego w InfoWorld.


TOP 200