Rozmowa z Christopherem Bolinem, wiceprezesem ds. rozwoju technologicznego w McAfee.

Z jednej strony mamy tych, którzy tworzą wirusy, trojany i tym podobny złośliwy kod, a po drugiej dostawców aplikacji do ochrony. Czy ten scenariusz będzie trwał do końca świata?

Weźmy pierwszy z brzegu przykład - w dzisiejszych czasach wciąż zamykamy nasze samochody i domy. Bezpieczeństwo to po prostu część naszego życia. Fakt, że jesteśmy stale podłączeni do sieci przesądza o tym, iż stajemy się łatwym celem ataków dokonywanych przez osoby, których większość może nigdy nie zostać ujęta. Organa ścigania są daleko w tyle za przestępcami. Nie tak dawno departament skarbu w USA informował, że w skali globalnej cyberprzestępczość pod względem wartości prześcignęła już przychody z handlu narkotykami. To wszystko obrazuje jak nieodzowna jest ochrona komputerów czy to w domu, czy w przedsiębiorstwach.

Czy systemy operacyjne faktycznie stają się bardziej szczelne, w związku z tym że coraz więcej funkcji bezpieczeństwa jest w nie bezpośrednio wbudowane?

Moim zdaniem tak. Ich producenci wykonali kawał dobrej roboty. Jednakże bezpieczeństwo IT to obszar, w którym zachodzą bardzo dynamiczne zmiany. Zbuduj ścianę, a natychmiast ktoś będzie chciał nad nią przeskoczyć. Jakiś czas temu największym zagrożeniem dla komputerów były zawirusowane dyskietki. Kiedy wyszły z użycia, nadszedł Internet i złośliwy kod przeniósł się do sieci. Po zwykłych wirusach pojawiły się trojany, aplikacje szpiegujące itd. Zagrożenia po prostu zmieniają się wraz z rozwojem rynku.

Co może ograniczyć zjawisko phishingu?

Trzeba mieć świadomość, że phishing w głównej mierze bazuje na socjotechnice. McAfee jako dostawca technologii ma kilka rozwiązań zabezpieczających przed takimi atakami. Pierwszą linią obrony są systemy inspekcji ruchu SMTP działające na sieciowych bramkach internetowych. Następna linia obrony funkcjonuje już na stacjach klienckich, gdzie filtrujemy adresy e-mail czy URL w poszukiwaniu tych wykorzystywanych w atakach phinshingowych. Niezbędne jest tutaj proaktywne podejście do problemu. Przykładowo sprawdzamy, jak długo określonemu adresowi IP przypisana jest dana nazwa domeny. W wypadku kiedy jest to tylko kilka dni, sprawa staje się podejrzana. Jeśli taki adres ma należeć do jakiegoś banku, to prawie zawsze jest to próba skierowania użytkownika na fałszywa stronę i wyłudzenia jego danych. Mamy sporo doświadczeń i informacji związanych z najczęściej "podrabianymi" witrynami - różne banki, eBay, PayPal. Możemy w łatwy sposób zestawiać schematy tych ataków i porównywać np. ze źródłami przychodzących wiadomości e-mail. McAfee oferuje bezpłatnie narzędzie SiteAdvisor, współpracujące z przeglądarką Internet Explorer. Po jego aplikacji użytkownik będzie w czytelny sposób informowany o klasyfikacji bezpieczeństwa stron internetowych podczas ich przeglądania lub wyszukiwania.

Czy są jakieś statystyki mówiące o tym jak długo przeciętnie fałszywa witryna jest dostępna w sieci?

Zazwyczaj jest to bardzo krótki okres. Za pomocą SiteAdvisora namierzyliśmy fałszywą witrynę, która podszywała się pod stronę pewnej fundacji charytatywnej. Witryna ta dostępna była tylko przez ok. godzinę, ale i w tak krótkim czasie przestępcy zdołali nabrać sporo osób. Dysponowali siecią zainfekowanych komputerów (botnet) i blisko 60 tys. adresów IP.

Polskie banki zaczynają wprowadzać nowego rodzaju certyfikaty SSL — Extended Validation. Czy Pana zdaniem SSL EV będzie w stanie wyeliminować lub istotnie ograniczyć zjawisko phishingu?

Oczywiście należy stosować tego typu rozwiązania i z pewnością ograniczy to przestępstwa w sieci. SSL EV oznacza, że właściciel danej witryny wystąpił o nadanie certyfikatu i spełnił warunki, aby go otrzymać. Sama zawartość takiej witryny nie jest jednakże bezpośrednio weryfikowana. Dopiero implementacja dodatkowego rozwiązania, które na bieżąco dokonuje inspekcji i dysponuje bazą sygnatur ataków, może zabezpieczyć użytkowników przed złośliwym kodem.

W 2006 r. firma McAfee rozpoczęła w Polsce promowanie rozwiązań przeznaczonych do ochrony, oferowanych na zasadach abonamentu. Usługi te skierowane są do małych i średnich firm. Klienci otrzymują nie tylko oprogramowanie, ale w ramach opłat abonamentowych mają zapewnione usługi zdalnej administracji aplikacjami z zakresu bezpieczeństwa. Czy ten model przyjął się na rynku?

Ten segment rozwija się bardzo dynamicznie. W naszej ofercie nazywa się to Tops for SMB. To usługa agentowa instalowana na komputerze klienta, zarządzana całkowicie z centrali McAfee. System nie pyta użytkownika czy aplikacja, która próbuje się uruchomić na kompu-terze, jest bezpieczna. Decyzje o jej ewentualnym zablokowaniu podejmuje za użytkownika McAfee. Produkt ten dedykowany jest dla firm, w których nie ma osób odpowiedzialnych za IT. Również w Polsce te usługi sprzedają się bardzo dobrze. Nie możemy jednak ujawnić konkretnych danych finansowych.

Rozmawiał Jarosław Ochab