Jak się poznaliście i dlaczego zdecydowaliście się napisać tę książkę?

Markus Jakobsson: Tak naprawdę to znamy się od jakiegoś czasu. Obydwaj mamy doświadczenia z kryptografii i spędzamy sporo czasu na różnych konferencjach kryptograficznych odbywających się na całym świecie. Kiedy obydwaj zainteresowaliśmy się oszustwami online i sposobami na ich powstrzymanie było naturalne, że będziemy nad tym tematem pracować wspólnie.

Każdą sieć da się złamać, ale czy istnieją narzędzia kryptograficzne lub też metody, które mogą być użyte jako środki obronne przeciwko cyberatakom? Jakie więc narzędzia i metody kryptograficzne moglibyście polecić?

Zulfikar_Ramzan: Jest wiele narzędzi kryptograficznych, które mogą pomóc - na przykład szyfrowanie, uwierzytelnianie, zarządzanie kluczami itd. Uważam jednak, że największym zagrożeniem współczesnych ataków jest to, że łączą one bardzo wiele różnych aspektów. To sprawia, że nie ma jednego rozwiązania, które byłoby idealnym i uniwersalnym panaceum.

Skoro zagrożenia stają się coraz bardziej złożone, dlaczego nie dodać odpowiedniego elementu do krajowej infrastruktury, który wzmocniłby poziom zaufania - myślę tutaj o rozwiązaniach legislacyjnych? Czy słyszeliście o jakimś kraju, który zmierzałby w tym kierunku? Jeżeli nie, to dlaczego?

MJ: Bardzo trudno coś takiego zrobić. Co czyni adres IP złym? Czy to, że zarejestrowany jest w Nigerii? A co, jeśli mój komputer został zaatakowany? Blokowanie opierające się na adresach IP może spowodować pojawienie się innych problemów. Ale faktycznie, oprogramowanie ochronne opiera swoje działanie na identyfikacji adresów IP.

Co myślicie o stanie bezpieczeństwa sieci bezprzewodowych (w stosunku do sieci przewodowych)? Ja korzystam w domu routera przewodowego właśnie po to, by uniknąć zagrożeń związanych z sieciami bezprzewodowymi.

MJ: Jest to całkiem niezły pomysł, ale nie panaceum. Rzuć okiem na to, co razem z Zulfikarem i moim doktorantem Sidem Stamm napisaliśmy o ataku "drive-by pharming". Jeżeli odwiedzisz specjalnie skonstruowaną stronę WWW, witryna ta może sprawić, że twój własny komputer przeniesie router do strefy DMZ - nieważne, czy przewodowy czy bezprzewodowy. Wówczas stanie się dostępny z zewnątrz, a stąd już krok do przełamania zabezpieczeń.

Czy możesz powiedzieć jak wygląda taki atak "drive-by pharming" i jak działa?

ZR: Po pierwsze użytkownik zostaje wystawiony na złośliwy kod HTML (dlatego, że albo odwiedził jakąś stronę, albo dostał wiadomość pocztową). Kod HTML będzie próbował niepostrzeżenie połączyć się z routerem, przez który użytkownik łączy się z internetem, a następnie zmienić jego ustawienia DNS. Żeby taki atak zadziałał router musi być podatny na atak "cross-site request forgery" (CSRF), a wiele routerów taką podatność ma. Zwłaszcza w przypadkach, kiedy użytkownik nie zada sobie trudu zmiany domyślnego hasła administracyjnego do routera. Po zmianie ustawień DNS, atakujący w zasadzie przejmuje kontrolę nad połączeniem internetowym swojej ofiary ponieważ może dowolnie przekierowywać zapytania użytkownika tak, aby ten trafiał na podstawiony serwis.

Jaki jest kierunek rozwoju zagrożeń, które negatywnie wpłyną na bezpieczeństwo sieci i systemów w najbliższym czasie? I czy możemy oczekiwać jakiegoś "odciążenia" w postaci np. lepiej projektowanych aplikacji czy systemów operacyjnych?

MJ: Według mnie najbardziej wyraźnym kierunkiem, w którym zmierzają zagrożenia jest "crimeware". A mówiąc szczegółowiej - "crimeware" wymierzony przeciwko określonemu celowi. Napastnicy zaczynają używać technik data-mining, aby usprawnić przeprowadzane przez siebie ataki. Załóżmy, że sprawca chce wysłać Janowi w firmie X zainfekowany załącznik i przekonać go do jego otwarcia. Jeżeli uda mu się dowiedzieć z kim Jan przyjaźni się w pracy, wówczas może podszyć się pod adres tego kolegi. A może pod adres szefa Jana. "Janku, możesz zerknąć na tę prezentację. Daj mi znać co o niej myślisz." Czy taki scenariusz jest możliwy? Jasne, że tak. Wystarczy za pomocą Google'a wydać zapytanie "w X site:linkedin.com" i otrzymamy listę profili publicznych założonych w tym serwisie dotyczących osób pracujących w firmie X. Każdy z tych profili będzie zawierał nazwiska osób, ich stanowisko, a może i listę najbliższych znajomych.

W jakim stopniu crimeware zagraża portalom społecznościowym?

MJ: Serwisy te są jednym z najczęstszych celów ataków. To przecież znakomite źródła informacji. Przeprowadziliśmy badania nad skutecznością przeprowadzanych przez nas symulowanych ataków poprzedzonych zbieraniem danych z FaceBook'a. Osiągnęliśmy 70% skuteczność. 70%! Serwisy społecznościowe to kopalnie wiedzy dla atakujących. Dodajmy do tego bardzo niski poziom kontroli serwisów nad swoimi użytkownikami.

Czy skuteczność większości ataków zależy od tego, czy użytkownicy mają prawa administracyjne na swoich komputerach?

ZR: W przypadku ataków zapisujących pliki z pewnością. Ale jest cała gama ataków niewymagająca takich uprawnień, np. phishing. Z uwagi na ich prostotę to właśnie te ataki stają się coraz bardziej powszechne. Symantec na przykład blokuje kilka miliardów wiadomości phishingowych rocznie.

Które z zagrożeń jest najbardziej niebezpieczne dla sieci korporacyjnej i czy powinniśmy mu się przeciwstawiać za pomocą nowych urządzeń i oprogramowania czy też pozostać przy starym, dobrym szkoleniem użytkowników?

MJ: Wszystkie są niebezpieczne. Inżynieria społeczna to obecnie duży problem i wyzwanie dla technicznych środków ochrony. Patrząc na stronę czysto ludzką myślę, że są tutaj dwa problemy. Po pierwsze edukacja, a po drugie stworzenie odpowiednich procedur, których ludzie musieliby przestrzegać. Należy zdać sobie sprawę ze społecznych aspektów technologii. Skąd można mieć pewność, że ludzie robią to, co trzeba? Jak można zmierzyć to, co robią? Przykład: w moim ostatnim opracowaniu napisanym wspólnie z doktorantem Jacobem Ratkiewiczem wykazujemy, że ludzie wcale nie przywiązują uwagi do spersonalizowanego powitania używanego przez serwis eBay. To oznacza, że tak naprawdę nie możemy za bardzo liczyć na zabezpieczenia. W tych samych badaniach sprawdziliśmy, w jakim stopniu użytkownicy rozumieją adresy URL. Dla wielu adres IP oznacza zagrożenie. Ale prawie nikt nie rozumie ataków polegających na przekierowaniu na stronę o podobnym adresie ("bank-of-america-secure-login.com" wygląda dla nich na stronę należącą do Bank of America).

Jakie są nadchodzące zagrożenia, których obecności powinniśmy być świadomi chroniąc sieci korporacyjne?

ZR: Jednym z takich zagrożeń, które stale powraca podczas rozmów z naszymi klientami to ataki typu "spear phishing" - kiedy sprawca weźmie na celownik określoną, szczególnie cenną osobę w danej firmie - np. jej szefa. Bez rozbudowanego programu ochrony obrona przed takimi atakami jest niezwykle trudna.

Firma, dla której pracuję całkowicie zabrania podłączania prywatnych komputerów do sieci korporacyjnej. I nie ma znaczenia, czy jest to wpięcie się do LAN'u czy też nawiązanie połączenia VPN. Dostajemy laptopy i w przypadku, kiedy potrzebujemy pracować w domu łączymy się VPN'em. Czy poza upewnieniem się, że na domowym routerze użytkownika działa WPA2 istnieje dobry sposób na ustrzeżenie pracowników mobilnych przed skutecznymi atakami?

ZR: To bardzo dobre i trudne jednocześnie pytanie. Nie wiem, czy jest na nie prosta odpowiedź. Jedną z możliwości jest upewnienie się, że wszystkie komputery w sieci domowej użytkownika są objęte ochroną. Ponadto należy upewnić się, że urządzenia sieciowe są prawidłowo skonfigurowane (np. zmieniono hasła domyślne). Nie zastanawiałem się nad tym, jak opłacalne byłoby takie podejście. Z pewnością potrzebny będzie jakiś kompromis pomiędzy wysiłkiem włożonym w ochronę domowych komputerów i tym, jak bardzo zmniejszone zostanie w ten sposób ryzyko. Myślę, że odpowiedź będzie różna w zależności od tego o ilu pracowników chodzi i co jest przedmiotem działalności firmy.

Czy znacie jakieś dobre źródła statystyk cyberprzestępczości, które mogłyby pomóc w określeniu kierunków ataków - np. po to żeby uzasadnić wydatki na bezpieczeństwo?

MJ: Dobrym źródłem informacji jest strona grupy Anti-Phishing Working Group. Oprócz zamieszczania różnych danych organizują także naprawdę dobre konferencje - niektóre publicznie dostępne, inne nie (czasami nie chcemy żeby atakujący wiedzieli o najnowszych odkryciach). Nie należy też omijać Gartnera. Ale pamiętajcie, że wszystkie statystyki oparte są na tym, co zostało zgłoszone. A co jeśli ofiary nie wiedzą, że stały się celem ataku? Albo, jeśli są zbyt zażenowane i nie zgłaszają nic? W swoim ostatnim opracowaniu "Social Phishing" podkreślam właśnie ten fakt - ludzie są bardzo skłonni do zaniżania statystyk z powodu poczucia wstydu, że nie udało im się uniknąć ataku.

Czy widzicie jakieś oznaki tego, że zagrożenia skierowane przeciwko systemowi Windows są adoptowane na potrzeby systemów takich jak Apple czy Linux?

ZR: Myślę, że jest wysoce nieprawdopodobne żebyśmy byli świadkami jakiegoś wielkiego zwrotu. Myślę, że istnieje powszechne, mylne z resztą przekonanie, że niektóre systemy są z gruntu bardziej bezpieczne niż inne, ponieważ niektóre mają więcej ujawnionych i opisanych luk. Dla sprawców jest to bardziej kwestia nie systemów samych w sobie, a ich popularności. Im bardziej popularna platforma tym częściej staje się przedmiotem ataków, bo i perspektywa zysków jest znacznie większa.

Jaki jest najlepszy sposób na ochronę sieci przed infekcją komputerów, które używane są przez gości odwiedzających firmę, lub nawet gorzej przez tzw. kontraktorów, którzy potrzebują dostępu do sieci?

ZR: Jedną z możliwości jest wprowadzenie wymogu pracy na maszynach wirtualnych. Po zakończeniu pracy takiej osoby bardzo szybko można przywrócić "czysty" obraz maszyny. Maszyna może też zostać skonfigurowana tak, żeby była trudniejsza do przejęcia np. odbieranie użytkowników praw administracyjnych, wyłączanie niepotrzebnych usług czy funkcji.

***

Moderatorem dyskusji była Jolie Bort (NetworkWorld, USA)

Opracował: Patryk Królikowski