Wyświechtuchy

Fakty, mity i legendy o bezpieczeństwie do znudzenia powtarzane przez dostawców IT, analityków i... przez nas, dziennikarzy. Oto kilka najbardziej wyeksploatowanych.

Fakty, mity i legendy o bezpieczeństwie do znudzenia powtarzane przez dostawców IT, analityków i... przez nas, dziennikarzy. Oto kilka najbardziej wyeksploatowanych.

Żarty się skończyły!

Produkcja wirusów, ataki na witryny, phishing - to już nie zabawa, lecz poważny biznes. Proceder stał się domeną zorganizowanych grup przestępczych. Najczęściej z Rosji, Bułgarii, Chin, Polski i innych strasznych krajów. To żelazny punkt każdego raportu o bezpieczeństwie. Trudno polemizować, ale prawdy o komercjalizacji internetowego podziemia naprawdę już nam się przejadły.

O certyfikatach, czyli "nasz produkt to TWIERDZA"

Certyfikat oznacza bezpieczny produkt? Certyfikaty wystawiane na podstawie takich standardów, jak ITSEC czy Common Criteria, dotyczą precyzyjnie i wąsko określonych cech produktu, a nie ogólnego bezpieczeństwa. Co więcej, dotyczą wyłącznie określonej wersji i konfiguracji produktu. Przykładowo certyfikat EAL4, potwierdzający siłę mechanizmów kryptograficznych, może w ogóle nie poruszać kwestii np. błędów w obsłudze pamięci, a więc w produkcie mogą nadal być dziury.

Przykładów trefnych produktów "z papierami" znamy mnóstwo, przy czym wykryte w nich dziury wcale nie naruszały owych certyfikatów, po prostu dotyczyły innych części systemu niż te, które podlegały certyfikacji. Często przytaczaną w tym kontekście anegdotą jest Windows NT 3.51, który miał certyfikat TCSEC C, ale tylko w określonej konfiguracji - bez połączenia z siecią i bez stacji dyskietek.

Otwarty czy zamknięty kod jest bezpieczniejszy

Te mity nigdy nie umrą. Zwolennicy oprogramowania komercyjnego argumentują, że brak dostępu do kodu źródłowego utrudnia znalezienie dziur, dlatego ujawnia się ich mniej. Przeciwnicy komercji odpowiadają na to, że wszystkie dziury w open source zostały dawno załatane dzięki dostępności kodu, który jest regularnie audytowany przez społeczność.

Ostatnia dekada udowodniła fałszywość obu tych quasi-religijnych poglądów. Seria dziur w kultowych programach open source, począwszy od kernela Linuxa, przez Apache czy "superbezpieczne" OpenBSD i OpenSSH pokazała, że i społeczności zdarza się co nieco przegapić. Kilka krytycznych dziur miało charakter "otrzeźwiaczy"- jak na przykład słynna dziura do_brk () w kernelu Linuxa czy "chunked encoding" w serwerze Apache. Ale, dokładnie tak samo, zamknięty kod nie zapobiegł wykryciu dziur w serwerze IIS czy sterownikach RPC DCOM w Windows, a także w innych systemach "z górnej półki" (np. Oracle).

Brak (przynajmniej teoretyczny) dostępu do kodu źródłowego nikogo nie przekona w dobie deasemblerów, debuggerów i fuzzerów. Na co dzień palmę pierwszeństwa w sprzyjaniu cyberprzestępczości dzierżą zarówno ex aequo dziurawe "domowe" systemy Windows, jak i linuksowe serwery z aplikacjami pisanymi w PHP, a największym problemem okazują się nieświadomi bądź leniwi administratorzy, którzy nie instalują poprawek, które są wypuszczane obecnie równie sumiennie przez Microsoft, Oracle, jak i przez autorów Debian GNU/Linux czy RedHat.

Twoje hasło to...

Jesteśmy totalnymi ignorantami w zakresie ochrony haseł. Zapisujemy je na żółtych karteczkach i przyklejamy do monitora. No może od kiedy duże monitory CRT na biurkach zostały wyparte przez LCD i laptopy, robimy to rzadziej, ale nie zmienia to faktu, iż komputerowej tożsamości nie chronimy należycie. Wiadomo, że jeśli dany system nie wymusza komplikowania autoryzacji, to wybieramy loginy i hasła banalnie proste. Królują imiona osób bliskich czy zwierząt, daty urodzin w różnych kombinacjach. Bardziej przebiegli wykorzystują jakieś nazwy będące w zasięgu wzroku przy ich biurku - nadruk na kubku, kalendarzu, długopisie czy widocznym za oknem szyldzie.

Złoczyńcom ułatwia sprawę fakt, że nadal częściej uwierzytelniamy się przez "coś co wiemy" (login/hasło), niż "coś co mamy" (karta, odcisk palca itp.). Podobno nie jesteśmy w stanie zapamiętać więcej niż 4 haseł, więc tam gdzie się da staramy się używać tego samego ciągu znaków. To i tak wszystko na nic, gdyż bez zastanowienia się ujawnimy je komuś, kto nas o to poprosi. I nie będzie musiał wykorzystywać do tego skomplikowanych socjotechnik. Jak kiedyś udowodniła firma RSA (podczas słynnego londyńskiego eksperymentu), hasło sieciowe (np. do poczty) ujawnimy bez problemu w zamian za batonik czekoladowy.

Raporty o bezpieczeństwie i zawarte w nich "przerażające wnioski" można traktować tak jak chcą tego dostawcy (biegnij do sklepu po nasz produkt) albo z przymrużeniem oka. Dajemy jednak głowę, że pytanie "kiedy ostatnio zmieniałeś swoje hasło" (np. do domeny, do poczty, do banku), zawsze będzie w stanie wprowadzić w zakłopotanie sporą grupę użytkowników.

Szczepionki w trybie ciągłym

Liczba wirusów jeszcze nigdy nie rosła w takim tempie. Niedawny raport F-Secure informuje, że do końca 2006 r. firma skatalogowała 250 tys. wirusów, czyli tyle samo, co łącznie w poprzednich 20 latach. Jesteśmy pod wrażeniem. Nie oznacza to jednak, że autorzy złośliwego kodu aż tak bardzo się zaktywizowali lub ich szereg zasiliły miliony nowych adeptów cyberdemolki. Złoczyńcy po prostu coraz częściej korzystają z narzędzi automatyzujących tworzenie wielu wariantów jednego złośliwego kodu. Dostawcy zabezpieczeń sygnalizują co prawda, że rynek zmierza ku systemom ochrony opartym na analizie zachowań, a sygnatury stopniowo odchodzą w przeszłość. Ręczne tworzenie szczepionek dla każdego zagrożenia z osobna jest już po prostu fizycznie niemożliwe. Producenci aplikacji do ochrony nieco ciszej przyznają natomiast, że sygnatury wirusowe nie są już tworzone dla wszystkich złośliwych kodów, tylko tych stanowiących w ich ocenie faktyczne zagrożenie.