Zabezpieczenia serwerowe

Producenci aplikacji, goniący za nowościami funkcjonalnymi, ewidentnie zaniedbali sferę bezpieczeństwa, zmuszając klientów do zakupu dodatkowych systemów ochronnych. W efekcie administratorzy większość czasu spędzają na instalowaniu łat i sprawdzaniu, czy nie zakłócają one poprawnego działania aplikacji. Natomiast na planowanie procedur bezpieczeństwa i zdobywanie wiedzy o konfiguracji systemów ochronnych mają go niewiele. I choć prawdą jest, że obecnie trudno wyobrazić sobie sieć firmową nie zabezpieczoną choćby systemami zaporowym i antywirusowym, nie usprawiedliwia to niedbalstwa producentów.

W przeważającej liczbie przypadków treść umów licencyjnych nie przewiduje żadnej odpowiedzialności dostawcy za błędy w oprogramowaniu. Takie praktyki muszą prędzej czy później zniknąć. W USA stanie się to zapewne pod presją dużych korporacji, w Europie zaś w wyniku wprowadzenia odpowiednich regulacji prawnych.

Bądźmy jednak realistami: bez specjalistycznych narzędzi, które automatycznie wyszukują niebezpieczeństwa w kodzie - jeszcze zanim zostanie on skompilowany - nie sposób ograniczyć liczby błędów w oprogramowaniu. Pozostaje mieć nadzieję, że takie narzędzia powstaną - choćby jako wtyczki do istniejących pakietów. Na razie jednym z podstawowych narzędzi administratora pozostają więc narzędzia skanujące oprogramowanie pod kątem znanych luk w zabezpieczeniach. Niestety, również i ono nie jest pozbawione błędów.

Atakujący posługują się coraz bardziej wymyślnymi technikami włamań, dlatego rozwój i upowszechnienie specjalizowanych systemów zabezpieczeń są nieuniknione. W najbliższych latach można się spodziewać postępującej integracji jeszcze do niedawna oferowanych oddzielnie rozwiązań zaporowych, antywirusowych i systemów wykrywania włamań. Pozwoli to nie tylko na lepsze zarządzanie, ale także skuteczniejszą korelację pozornie nie związanych ze sobą zdarzeń. W dalszej perspektywie dopracowanie zabezpieczeń działających na poziomie sieci i systemów operacyjnych zapewne sprawi, że pole walki przeniesie się na aplikacje i protokoły wyższego poziomu. Konsekwencje tego to wzrost ilości informacji do przetworzenia i większa liczba potencjalnych scenariuszy włamań, co wymusi zmianę architektury zabezpieczeń, np. w kierunku "wysp przetwarzania logów", a być może także zmianę architektury aplikacji biznesowych.

Jednym z poważnych problemów dzisiejszych systemów bezpieczeństwa jest to, że ich poprawna konfiguracja wymaga nieprzeciętnej wiedzy o potencjalnych zagrożeniach. Klienci chcieliby, aby dostarczane produkty podwyższające bezpieczeństwo były już skonfigurowane lub by oprogramowanie automatycznie podejmowało decyzję o właściwej konfiguracji. Jednak nadzieja na spełnienie tych życzeń jest niebezpieczną złudą. Specjaliści od oprogramowania nie mogą przewidzieć wszystkich technik włamań, nie znają też unikalnego środowiska informatycznego każdego potencjalnego klienta. Tymczasem bezpieczeństwa skomplikowanych systemów nie można zapewnić na zasadzie przybliżenia. Być może problem ten przynajmniej częściowo rozwiąże wzbogacenie systemów ochronnych w moduły sztucznej inteligencji, jednak i one ostatecznie są zależne od człowieka.

Transmisja przyszłości

Oddzielnym zagadnieniem jest zapewnienie bezpieczeństwa informacjom przesyłanym w sieciach. Chodzi zarówno o uniemożliwienie podsłuchania komunikacji, jak i zapewnienie jej nienaruszalności.

Dotychczasowe rozwiązania kryptograficzne opierające się na trudności graniczącej z niemożliwością obliczenia składników mnożenia dwóch liczb pierwszych na podstawie ich iloczynu, choć na razie skuteczne, mogą niespodziewanie okazać się bezużyteczne. Dowodzą tego prace teoretyczne indyjskich uczonych oraz prowadzone w kilku laboratoriach eksperymenty z wykorzystaniem komputerów kwantowych. Jeżeli scenariusz ten się ziści, bezpieczna wymiana kluczy szyfrujących między oddalonymi stronami, będąca podstawą szyfrowania komunikacji, przestanie być możliwa.

Fizyka kwantowa, choć być może doprowadzi do upadku kryptografii w znanej dziś formie, niesie także obietnicę doskonalszych sposobów zabezpieczania informacji. W obecnych pracach nad kryptografią kwantową dominują dwa kierunki. W pierwszym, uczeni skupiają się na metodach kodowania informacji opartych na unikalnych właściwościach fotonów, których nie można zmierzyć, nie zmieniając jednocześnie ich stanu (np. polaryzacji). Każda próba nie tylko zmiany, ale nawet podsłuchania transmisji prowadziłaby więc do powstawania błędów wykrywalnych zarówno przez nadawcę, jak i odbiorcę przesyłanej informacji. Bezpieczna wymiana kluczy odbywa się przez wysyłanie fotonów o losowo dobranej polaryzacji i informowaniu się stron o tym, która próba odczytu zakończyła się sukcesem (1), a która błędem (0). Przy dostatecznie dużej liczbie prób po każdej ze stron powstaje ciąg zer i jedynek, który można traktować jako klucz publiczny drugiej strony. Próba podsłuchania powoduje powstawanie błędów. Jeżeli strony uznają, że błędów jest zbyt wiele, proces ustanawiania kluczy jest powtarzany.

Równolegle są prowadzone prace badawcze nad wykorzystaniem zjawiska tzw. splątania atomów, które - będąc od siebie oddalone - mają identyczne stany energetyczne i dynamiczne. Również w tym przypadku próba zbadania ich stanu prowadzi do widocznych błędów.