Aplikacje a nie wirusy!

Dominującym tematem ostatnich amerykańskich konferencji poświęconych zagadnieniom bezpieczeństwa było zabezpieczanie aplikacji. Zagadnienia związane z wirusami internetowymi zeszły tym razem na dalszy plan.

Dominującym tematem ostatnich amerykańskich konferencji poświęconych zagadnieniom bezpieczeństwa było zabezpieczanie aplikacji. Zagadnienia związane z wirusami internetowymi zeszły tym razem na dalszy plan.

Przesunięcie punktu ciężkości gromadzących rozmaitych specjalistów z zakresu bezpieczeństwa konferencji Black Hat i Defcon odzwierciedla zmniejszenie liczby ataków dokonywanych z użyciem wirusów internetowych i nasilenie akcji hakerskich prowadzonych z wykorzystaniem błędów w aplikacjach biznesowych. Eksperci przekonują, że inaczej niż w latach ubiegłych, hakerzy przestali koncentrować się wyłącznie wykrywaniu błędów i podatności na platformie Microsoft Windows. Nie oznacza to, że inżynierowie z Redmond i użytkownicy ich produktów mogą spać spokojnie, ale obecnie hackerzy interesują się także aplikacjami, w szczególności wykorzystywanymi przez przedsiębiorstwa.

Podczas kilku prezentacji na konferencji Black Hat szczegółowo przedstawiono potencjalne scenariusze ataków z wykorzystaniem znanych błędów w aplikacjach. Przykładem może być wystąpienie specjalistów od testowania aplikacji z firmy SPI Dynamics, przejętej w czerwcu br. przez HP, którzy skupili się na zagrożeniach związanych z coraz bardziej popularną technologią AJAX. Podobne prezentacje mieli przedstawiciele konkurencyjnej firmy Watchfire, która - co nie powinno dziwić - została przejęta także w czerwcu br. przez IBM. Eksperci ze stajni Big Blue skupili się na zagrożeniach płynących z zawartych w kodzie instrukcjach (dangling pointers), które nie wskazują na właściwy obiekt odpowiedniego typu.

Wreszcie firma Core Security, zajmująca się zautomatyzowanymi testami penetracyjnymi, demonstrowała najnowsze metody kradzieży informacji z baz danych, w szczególności z wykorzystaniem podatności zawartych w algorytmach indeksujących wiele komercyjnych technologii.

Zagrożenie z powietrza

Podczas konferencji zwracano także uwagę na zagrożenia związane z łącznością bezprzewodową. Firma Errata Security przestrzegała, że użytkownicy logujący się za pośrednictwem sieci Wi-Fi do rozmaitych serwisów narażają się na nieautoryzowane uzyskanie dostępu do ich kont przez przestępców. Problem dotyczy systemów poczty elektronicznej, serwisów blogowych, społecznościowych, a także aplikacji dostępnych online, takich jak np. Google Docs.

Problem polega na tym, że większość takich serwisów używa do komunikacji z przeglądarką szyfrowanego połączenia jedynie w momencie logowania. W kolejnych etapach wszystkie dane przekazywane są otwartym kanałem. Dzięki temu haker wykorzystujący odpowiednie oprogramowanie może podczas otwartej sesji przechwytywać pliki cookie użytkownika, w których znajdują się zwykle informacje służące serwisowi do identyfikowania użytkownika, określenia, kiedy ostatnio się logował itp. Co najważniejsze, w plikach takich może zapisany być identyfikator, zawierający informacje o trwającej właśnie sesji.

Po przechwyceniu tych plików i zaimportowaniu ich do innej przeglądarki haker może otworzyć stronę serwisu i zostać uznanym za użytkownika, którego dane przejął. Według przedstawicieli Errata Security, większość serwisów jest na tyle bezpiecznie skonstruowana, że nie wystarczy to np. do zmiany hasła, jednak dostęp do otwartej sesji pozwolić może na wykonanie rozmaitych działań, np. przeglądania prywatnych danych ofiary, modyfikowania treści bloga czy podszywania się pod użytkownika w rozmowach z innymi internautami. Oczywiście istnieją stosunkowo proste metody zabezpieczenia się przed takim niebezpieczeństwem. Najprostszą z nich jest zrezygnowanie z odwiedzania serwisów wymagających logowania za pośrednictwem sieci Wi-Fi. Jeśli nie jest to możliwe, użytkownik powinien za każdym razem korzystać z połączeń SSL lub VPN.

Z dżinem bezpieczniej

Firma Alladin Knowledge Systems (za pośrednictwem Clico) wprowadza na polski rynek urządzenie dedykowane eSafe z nowym silnikiem antyspamowym. Produkt skierowany jest do średnich i dużych przedsiębiorstw, a także dostawców Internetu.

eSafe zawiera mechanizm antywirusowy (certyfikaty ICSA i Checkmark), moduł antyspamowy (kilka metod zarządzania spamem, w tym czarne listy tworzone w czasie rzeczywistym, wyszukiwanie DNS, filtrowanie słów kluczowych) oraz opcjonalną bazę danych filtrowania URL, którą można zastosować w celu odrzucania niechcianej zawartości. Urządzenie może zostać uzupełnione o moduły: eSafe Gateway, eSafe Web, eSafe Web SSL i eSafe Mail.

W odróżnieniu od innych rozwiązań eSafe nie działa w oparciu o metody tworzenia czarnych list, czyli list serwisów internetowych zablokowanych dla użytkowników. System pozwala na elastyczne opracowanie własnej polityki bezpieczeństwa organizacji. "System wyprzedza atak. Na poziomie kilku warstw blokuje bieżące ataki skierowane w infrastrukturę informatyczną oraz wszelkie podejrzane operacje elektroniczne. Zapewnia bezpieczne korzystanie z sieci, ochronę poczty (e-mail i Webmail) i odpowiedni poziom bezpieczeństwa" - przekonują przedstawiciele dystrybutora.

Razem lepiej

Zgromadzeni na Black Hat specjaliści dyskutowali także na temat działań zmierzających do podnoszenia ogólnego poziomu bezpieczeństwa w instytucjach publicznych i biznesie. Konkludując debatę stwierdzono, że jest to możliwe tylko dzięki bliskiej współpracy podmiotów gospodarczych oraz agencji rządowych i pozarządowych. "Na wnioskach ze wspólnych obserwacji skorzystają wszyscy" - przekonuje Tony Sager, szef analizy danych i operacji amerykańskiej agencji NSA (National Security Agency).

Jego zdaniem opracowanie skutecznych rozwiązań i metod związanych z bezpieczeństwem informacji możliwe będzie tylko dzięki ścisłej współpracy organizacji publicznych i firm z sektora prywatnego. "Można powiedzieć, że wszyscy jesteśmy członkami wielkiej, chaotycznej sieci - najwyższy czas, aby połączyć siły i wspólnie walczyć z problemami tak dużej skali jak bezpieczeństwo systemów informatycznych" - tłumaczy Tony Sager. Mimo to praktyczna realizacja założeń wielostronnej współpracy dotychczas była bardzo utrudniona, gdyż wiele firm i agencji rządowych pilnie strzegło własnych reguł dotyczących bezpieczeństwa.

NSA koncentruje się obecnie na działaniach promujących najlepsze praktyki i rozwiązania związane z bezpieczeństwem informacji i systemów IT, w szczególności wśród instytucji rządowych. Z rozwiązań tych mogą również korzystać firmy z sektora prywatnego. Główne działania podejmowane przez NSA mają na celu opracowanie standardów, procedur i instrukcji dotyczących bezpieczeństwa, napisanych językiem zrozumiałym dla wszystkich organizacji. Jako przykładową instrukcję Tony Sager przytacza projekt Common Weakness Enumeration (CWE), stanowiący listę możliwych słabych punktów każdego rodzaju oprogramowania.

W podobnym tonie wypowiadają się inni specjaliści zajmujący się bezpieczeństwem danych w sektorze publicznym. Podkreślają ogromny postęp, jaki nastąpił szczególnie w kwestii samego nastawienia organizacji publicznych do standaryzacji określonych rozwiązań. "Komplementarna natura działań NSA, podobnych organizacji i firm prywatnych, umożliwi stworzenie całej gamy standardowych rozwiązań, zwiększających bezpieczeństwo informacji" - mówi Ray Kaplan, niezależny konsultant ds. bezpieczeństwa informacji.


TOP 200