Niedawno zaprezentowaliśmy cztery techniki, które, zdaniem profesjonalnie zajmującego się od lat bezpieczeństwem Rogera Grimesa, mają niską skuteczność. Dzisiaj zapraszamy do zapoznania się z kolejnymi pięcioma.

Nawet silne hasło to słaba ochrona

Często powtarzamy to jak mantrę: hasło powinno być silne - długie, skomplikowane i często zmieniane. Kto jednak zwraca uwagę na to, że użytkownicy swoje ulubione hasło (choćby długie i skomplikowane) stosują we wszystkich serwisach i chętnie wpisują je w fałszywe okna logowania podłożone im przez cyberprzestępców? Jakby tego jeszcze było mało, sami je chętnie oddadzą - wystarczy odrobina inżynierii społecznej. Wielu użytkowników nie troszczy się o swoje hasła, tak jak byśmy tego chcieli.

Zobacz również:

• Najgorsze nawyki podczas pracy z komputerem - czego unikać?

Polecamy Bezpieczeństwo: Silne hasło to jeszcze za mało

Zresztą hakerzy poradzą sobie i z mocnym hasłem. Muszą tylko dostać jego wartość funkcji skrótu (hash), w czym pomoże np. trojan. Jeśli hasło okaże się mocne i nie będzie go można efektywnie złamać , po prostu wykorzystają jego skrót, korzystając z techniki pass the hash.

Systemy wykrywania włamań (IDS) nie rozpoznają zamiarów atakującego

Rozwiązania IDS to rodzaj zabezpieczeń, którym chcielibyśmy zaufać. Teroretycznie działa to tak: definiujemy mnóstwo sygnatur "ataków" i jeśli nasz IDS wykryje któryś z tych ciągów znaków bądź określonych aktywności w ruchu sieciowym, to może nas o tym powiadomić, a nawet zatrzymać atak. Niestety i ta technika nie działa tak, jak ją reklamują.

Polecamy Honeypot - poznaj swojego wroga

Nie da się wprowadzić wszystkich sygnatur niezbędnych do wykrycia złośliwych aktywności wobec sieci firmy. Najlepsze IDS-y mogą mieć setki sygnatur, ale dziesiątki tysięcy prób ataków przejdą niezauważone przez ten system. Dodanie tysięcy wszystkich potrzebnych sygnatur do bazy spowolniłoby sieć na tyle, że ataki na nią przestały by mieć sens.

Kolejnym owocem rozbudowania sygnatur IDS-a będzie mnóstwo fałszywych alertów (false positive). W efekcie alarmy IDS, podobnie jak firewalla, prędzej czy później zaczną być ignorowane, po czym logi w ogóle przestaną być czytane.

Główną jednak przyczyną, dla której IDS-y niewiele mogą pomóc, jest to, że większość atakujących korzysta z czyichś legalnych uprawnień. System IDS nie rozpozna, czy z bazy finansowej korzysta CFO czy ktoś, kto przejął jego komputer. Nie da się za pomocą IDS-a wykryć intencji użytkownika, a właśnie ta wiedza najskuteczniej weryfikowałaby strumień danych w sieci jako ruch autoryzowany albo próbę włamania.

PKI - nie chroni

Infrastruktura kluczy publicznych niestety tylko z matematycznego punktu widzenia wygląda bardzo solidnie. Problem polega na tym, że w praktyce PKI bywa kiepsko skonfigurowane, zapewniając tylko pozorne bezpieczeństwo. Wina nie leży po stronie kryptografii, tylko użytkowników bądź dostawców rozwiązań. W ciągu ostatnich lat (szczególnie w zeszłym roku) słyszeliśmy o szeregu włamań do centrów autoryzacyjnych. Dzięki nim cyberprzestępcy zyskali możliwość podpisywania własnych certyfikatów, by były akceptowane bez zastrzeżeń jako godne zaufania. Słabo zabezpieczone centra autoryzacyjne, które powinny być czyste jak żona Cezara, całkowicie się skompromitowały.

Nawet gdyby infrastruktura PKI była perfekcyjna, silna i odporna na włamania, słabym ogniwem i tak pozostaną ludzie. Większość użytkowników końcowych po prostu zignoruje ostrzeżenie, że certyfikat danej strony nie jest godny zaufania.

Po części winę za to ponoszą same serwisy internetowe i programy, których niefrasobliwi autorzy przyzwyczaili nas do oglądania stron czy uruchamiania aplikacji chronionych nieważnymi bądź nawet własnymi (self signed) certyfikatami.

Użytkownik, który nigdy nie zignorował komunikatu o potencjalnie niezaufanym certyfikacie, nie byłby w stanie korzystać z wielu zasobów internetu, w tym często z własnego miejsca pracy. Gdyby producent jakiejś przeglądarki zablokował możliwość dostępu do serwisów z błędami certyfikatów, użytkownicy po prostu sięgnęliby po inną, wolną od tego ograniczenia.

Spójrzmy prawdzie w oczy - problemami z PKI przejmują się naprawdę nieliczni.