10 lat. w bezpieczeñstwie IT. 10 years. in IT security

Transkrypt

1 10 lat w bezpieczeñstwie IT 10 years in IT security Publikacja wydana z okazji 10-lecia konferencji SECURE i powstania zespo³u CERT Polska Publication on the occasion of the 10th anniversary of SECURE conference and establishment of CERT Polska team

2 Spis treœci Contents lat w bezpieczeñstwie IT - czas na prze³om 10 years in IT security - time for a breaktrough Krzysztof Silicki, Miros³aw Maj, NASK, CERT Polska 5... Liczba zagro eñ ci¹gle wzrasta Vulnerabilities continue to rise Luann Johnson, Internet Security Systems, X-Force 9... Sprawne procedury bezpieczeñstwa Responsive security policies Anton Grashion, Juniper Przysz³oœæ rynku zabezpieczeñ The future of the IT security market Jaros³aw Samonek, Symantec Inwestowaæ w ludzi Investing in people Klaus-Peter Kossakowski, DNF-CERT Services GmbH Krótka historia ochrony IT A short history of IT protection Piotr Owerski, CA Brak regulacji prawnych The lack of legal regulations Gorazd Božiè, SI-CERT Oprogramowanie nie wystarczy Software is not enough Andrzej Zaremba, Microsoft Spektakularne ataki Spectacular attacs Grzegorz Wróbel, Cisco Systems Dotrzymaæ kroku zagro eniom To keep pace with the threats Andrew Cormack, UKERNA Zmieñmy nasz sposób myœlenia Let's change the way we think Damir Rajnovic, Cisco PSIRT Model dlaczego-co-jak The why-what-how model Jacques Schuurman, SURFnet

3 10 lat w bezpieczeñstwie IT czas na prze³om KrzysztofSilicki,Miros³awMaj NASK,CERTPolska Dziesiêciolecie istnienia zespo³u reaguj¹cego CERT Polsce sk³ania do podsumowañ i spojrzenia w przysz³oœæ. Jak kszta³towa³a siê sytuacja w bezpieczeñstwie komputerowym w ostatnichlatach?jakieprze³omowewydarzenianast¹pi³y? Zczymbêdziemymielidoczynienia w przysz³oœci? Specjaliœci maj¹ rozmaite odpowiedzi na te pytania. Poni ej przedstawiamy próbêspojrzenianatezagadnieniazestronyzespo³ucertpolska. W ci¹gu minionych lat niew¹tpliwie nast¹pi³a zmiana wizerunku hakera. Po³owa lat 90. to zmierzch kojarzenia tego pojêcia z entuzjast¹ systemu komputerowego, poznaj¹cym jego tajniki. Wnowymznaczeniupojêcietonajczêœciej bywauto samianezsieciowymchuliganem. Od pocz¹tku tej dekady wizerunek hakera to coraz bardziej wizerunek przestêpcy. Paradoksalnie, w tym samym czasie Internet zaczyna byæ przedstawiany jako coraz bardziej bezpieczny, poniewa coraz mniej s³ychaæ o spektakularnych incydentach powodowanych przez wirusy czy robaki internetowe. To tak e zamierzony cel hakerów, dla których stan, wktórymu ytkowniksieci mawra enie, ejest onabezpieczna, podczasgdywrzeczywistoœci jestpo ywk¹dlapodziemnej ekonomi,jestidea³em. Faktemwp³ywaj¹cymnaobrazbezpieczeñstwaby³oupowszechnieniesiêszerokopasmowego Internetu. Patrz¹c od strony niepo ¹danych zjawisk okaza³o siê to po ywk¹ dla spamerów, maj¹cych dziêki temu do dyspozycji lepsze ³¹cza oraz pomog³o w propagowaniu zagro eñ, takich jak robaki sieciowe czy ataki DDoS. Nie przypadkiem robak Slammer z roku 2003, mia³ swoje Ÿród³o w Korei Po³udniowej, kraju o du ym nasyceniu szerokopasmowego Internetu. Okaza³osiê, eatakicoderedinimdaz2001roku,uznawaneza niezwyklegroÿne,by³ytylko przygrywk¹ do prawdziwych, masowych zagro eñ w sieci. Idea czarnych kapeluszy - wy³¹czyæinternetw15minut -sta³asiêrealna. Wmiêdzyczasieustali³siêpewienkanonbezpieczeñstwaIT:systemantywirusowy,firewalloraz koniecznoœæ³atanias³aboœcisystemowych.stosowanietychtechnikpozwalanaochronêprzed wiêkszoœci¹ automatycznych ataków. Mo na tak e uznaæ, e udostêpnienie przez Microsoft Service Packa 2 dla systemu Windows w sierpniu 2004 roku by³o prze³omem w dziedzinie poprawy bezpieczeñstwa komputerów u ytkowników indywidualnych. Jednak paradoksalnie pomimo niemal powszechnego stosowania antywirusów, firewalli czy systemów detekcji intruzówniemo najeszczemówiæoznacz¹cejpoprawieogólnegobezpieczeñstwait. Skutecznie rozpropagowany w 2000 roku wirus mailowy I-Love-You si³¹ ra enia zaskoczy³ samych autorów. Na prze³omie lat 1998 i 1999, po zmierzchu wirusów dyskietkowych, atak Lovelettera pokaza³nanowosi³êatakówwirusowych,tymrazemopartychosocjotechnikê.od tego czasu najwiêksze i najskuteczniej dystrybuowane zagro enia w sieci zawieraj¹ elementy socjotechniki. Skutecznoœæ ataku sprowadza siê czêsto do namówienia ofiary do wykonania prostej czynnoœci (np. klikniêcia przes³anego linku). Pocz¹wszy od 2003 roku socjotechnika, wraz z innymi technikami u ywanymi przez hakerów, nabra³a wymiaru ekonomicznego. Sta³o siêtowrazzrozpowszechnieniemtzw.phishingu. Ciekawym wydaje siê pytanie, czy przez ostatnie 10 lat wzros³a jakoœæ tworzonego oprogramowania? Pewien postêp daje siê zauwa yæ. W 2002 roku Microsoft np. wprowadzi³ wewnêtrzn¹ inicjatywê Trustworthy Computing. Twierdzi siê równie, e obecne kompilatory stosowane przez programistów s¹ lepiej napisane (programista nie musi pilnowaæ bezpieczeñstwa samodzielnie). Ale czy w masie powstaj¹cego kodu mo na mówiæ o prze³omie? topytaniepozostajeotwarte. 1

4 W ostatniej dekadzie pojawi³y siê technologie o rosn¹cej popularnoœci które jednak wprowadzi³y nowe, nieznane zagro enia. Przyk³adem jest technologia P2P. Pomijaj¹c problem dzielenia siê internautów nielegalnym oprogramowaniem, wzrost znaczenia komunikatorów wprowadzi³ dodatkowe problemy z ochron¹ sieci firmowych do³¹czonych do Internetu. Klasycznesystemyfirewallinguprzesta³ybyæwystarczaj¹ce.Samekomunikatorywwiêkszoœci tak enieby³ytworzoneodpocz¹tkuzmyœl¹obezpieczeñstwie. Rozpowszechnienie siê sieci bezprzewodowych mia³o tak e swój negatywny skutek w postaci np. wzrostu ataków w roku Dla wielu hakerów sta³y siê one metod¹ na osi¹gniêcie anonimowoœci w sieci, co zaowocowa³o zwiêkszeniem liczby przestêpstw. Owa anonimowoœæ (w wielu przypadkach pozorna), przyci¹gnê³a now¹ klasê przestêpców, zajmuj¹cych siê dystrybucj¹nielegalnychtreœci(np.pornografiidzieciêcej). Tak e VoIP technologia, która rewolucjonizuje rynek g³osowy- od strony bezpieczeñstwa ma swoje mankamenty. Widaæ tak e, e bezpieczniejsze protoko³y wcale lub niemrawo wypieraj¹ mniejbezpieczne(ipv6vsipv4,snmp,dnssec). Obserwujemy tak e wzrost ataków na aplikacje Webowe. Wynika to z faktu, e ³atwo mo na natrafiæ tu na s³abo zabezpieczone cele. Ponadto coraz wiêkszy stopieñ komplikacji aplikacji sprawia, e ³atwiej jest pope³niæ b³¹d w oprogramowaniu. Aplikacje Webowe w wiêkszoœci s¹ domen¹ firm, które nie s¹ w pe³ni œwiadome zagro eñ i rzadko uwzglêdniaj¹ bezpieczeñstwo "odpodstaw"wswoichaplikacjach.wieleaplikacjijesttak edzie³em programistów- amatorów. Trzeba zwróciæ uwagê na to, e zagro enia internetowe, takie jak Slammer czy Blaster, na pocz¹tku tego wieku zaatakowa³y tak e sieci bêd¹ce czêœci¹ powa nych systemów przemys³owych czy finansowych, takich jak elektrownie atomowe(slammer) czy systemy sieci energetycznych(podejrzanyblaster).corazczêœciej mówi siêozagro eniachbezpieczeñstwa zestronyinternetudlasiecitypuscada(supervisorycontrolanddataacquisition). Ostatnie 10 lat jest równie okresem budowania systemu prawnego odnosz¹cego siê do zagadnieñbezpieczeñstwait.powsta³yregulacjecodoochronyinformacjiniejawnych,danych osobowych, transakcji elektronicznych oraz system sankcji zwi¹zany z naruszeniem tych zasad, wpisany do kodeksu karnego. Nie zawsze regulacje te odnosz¹ zak³adany skutek, a niektóre zapisy robi¹ wra enie martwych. Wydaje siê, e w tworzeniu systemu zasad zabrak³o inicjatyw promowania dobrych praktyk przez dzia³ania samoregulacyjne. Byæ mo e w przysz³oœci w³aœnie takie dzia³ania przynios¹ najlepsze skutki w ograniczaniu zjawisk przestêpczoœciwsieci. Oczywiœcie pozostaje pytanie o przysz³oœæ. Czy jakaœ nowa technika obronna stanie siê powszechna? Czy bêd¹ to systemy wczesnego ostrzegania? Czy upowszechni¹ siê systemy kontroli bezpieczeñstwa i dopuszczania komputerów do sieci? A mo e bêdzie to inne, nieznane jeszcze rozwi¹zanie? Poprawê mog³oby z pewnoœci¹ przynieœæ budowanie szerokiej œwiadomoœci spo³ecznej dotycz¹cej ekonomicznego wymiaru sieciowych przestêpstw. Dziœ, w wirtualnymœwiecieinternetu,przestêpstwawydaj¹siêbyærówniewirtualne. Zwróæmy uwagê, e w opisywanych zjawiskach ma udzia³ wielu tzw. interesariuszy : producentów sprzêtu i oprogramowania, dostawców rozwi¹zañ bezpieczeñstwa, operatorów Internetu, u ytkowników indywidualnych i instytucjonalnych, administracji rz¹dowych i samorz¹dowych, czy wymiaru sprawiedliwoœci. Nierzadko spojrzenia tych stron na problem bezpieczeñstwa mocno siê miêdzy sob¹ ró ni¹. Powoduje to istnienie wielu barier (np. ekonomicznych, regulacyjnych, technicznych). Prze³om w bezpieczeñstwie IT mo e siê dokonaætylkodziêkiœcis³ejwspó³pracywszystkichzainteresowanychstron,przyuwzglêdnieniu ichd¹ eñioczekiwañ. 2

5 10 years in IT security time for a breakthrough KrzysztofSilicki,Miros³awMaj NASK,CERTPolska ThetenyearsofexistenceoftheCERTteaminPolandforcesonetosummariseandtakealook intothefuture.howhasthesituationofcomputersecuritybeenshapingupintherecentyears? What breakthroughs took place? What will we have to deal with in the nearest future? Various specialists have their answers to these questions. Below we are presenting an attempt at addressingtheseissuesfromthepointofviewofthecertpolandteam. In recent years the image of a hacker has changed dramatically. In mid 90s the hacker term stopped being associated with a computer enthusiast who sought to get to know its secrets. In its new meaning it is most often associated with a net hoodlum. From the beginning of this decade the image of a hacker is increasingly more that of a criminal. Paradoxically, the Internet is presented as an increasingly secure environment, because it is less heard of spectacular attacks caused by viruses or worms. This too is the intended goal of the hackers actions, for whom the ideal state is when a user thinks that web is very secure, while in reality it is an environmentofanunderground economy. A fact influencing the picture of security was the popularisation of broadband Internet access. When looking at the phenomenon from the side of undesirable issues this became fuel for spammers, who had better connections as their disposal and it helped in the propagation of threats, such as worms or DDoS attacks. It was no accident that the Slammer worm that appeared in January 2003 originated from South Korea, where the broadband access to the Internetwasverycommon.ItturnedoutthattheCodeRedandNimdaattacksof2001,which wereconsideredasverydangerous,werejustapreludetothe real,massthreatsontheweb. Theideaofthe BlackHats toturnofftheinternetin15minutes becamereality. Inthemeantimeasecuritycanonwasdeveloped:antivirussoftware,afirewallandthenecessity to patch system vulnerabilities. Using these techniques allows a user to protects him against most automatic attacks. A breakthrough in the domain of security improvement for individual userscamewheninaugust2004microsoftdevelopedandreleaseservicepack2forwindows. Yet paradoxically, although the use of antivirus, firewalls or intrusion detection systems constantlygrowsonecannotsaythatasignificantimprovementofitsecurityoccurs. The I-Love-You virus which spread in 2000 must have surprised even its authors with effectiveness.around the turn of 1998, after the twilight of floppy disc viruses, which at times couldbearealplague,the Loveletter attackshowedanewtheunusualpowerofvirusattacks, this time based on social engineering. From this point onward the greatest and most successfullydistributedthreatsinthenetcontaininitsarsenaltheelementofsocialengineering. The effectiveness of an attack often boils down to convincing the victim to perform a simple actions, such as clicking the sent link. Starting from 2003, social engineering, as well as other techniques used by hackers, took on an unusually economic dimension. This happened along withthepropagationoftheso-calledphishing. Thequestion,whetherthequalityofproducedsoftwarehasincreasedduringlast10years,isan interesting issue. Some progress can be noticed. In 2002 Microsoft introduces the internal initiative Trustworthy Computing. Current compilers used by the programmers are also consideredtobewrittenbetter(theprogrammerdoesnothavetolookaftersecurityhimself).but can we speak of a breakthrough in the total mass of created source code? this question remainsopen. 3

6 During the last decade several technologies of growing popularity appeared that unfortunately introducednew,previouslyunknownthreats.oneexampleis thep2p.overlookingtheproblem of sharing illegal software, the sudden growth in the significance of Internet Messengers introducednewproblemsassociatedwiththeprotectionofcorporatenetworksconnectedtothe Internet. Classical firewalling systems became insufficient. The IMs themselves were not created with the focus on security. Mass dangerous attacks were on the rise in 2004 when wireless networks became more common. For many hackers they were the perfect method for achieving anonymity in the network, which resulted in an increasing number of crimes. There are many examples proving that this anonymity, luckily only ostensible in many cases, drew a new class of dangerous criminals to the web, who distribute illegal content (e.g. child pornography). Also the VoIP the technology which is revolutionising the voice communication market- is at the same time plagued by numerous security vulnerabilities. It can be observed that safer protocolsdonotsupplantthelesssafeordoitverysluggishly(ipv6vs.ipv4,snmp,dnssec). Currently we are observing an increase in attacks on Web applications. It results from the fact that finding poorly protected targets here is very easy. Moreover, the complication degree of an application on this level makes it easier to make a mistake while programming. Web applications,ontheotherhand,mostlyremaininthedomain ofcompaniesthatareseldomfully aware of threats and rarely take security into consideration from the very beginning in their applications.manyapplicationsareevenmadebyamateurprogrammers. It is necessary to pay attention to the fact that at the beginning of this century Internet threats, suchasslammerorblaster,attackedeventhenetworksconstitutingpartsofimportantindustrial and financial systems, such as nuclear power plants(slammer) or power grid systems(blaster suspected). Security threats for SCADA(Supervisory Control And Data Acquisition) networks comingfromtheinternetarebeingmentionedincreasinglyoften. The last 10 years were also a period of developing a legal system regarding the issues of IT security. Regulations were created and entered into the penal code regarding the protection of secret information, personal data, e-transactions, and a system of sanctions enforced when theserulesarebroken.theseregulationsdonotalwaysbringthewantedresultandsomelaws seem dead. It seems that while the legal framework was being created there were no initiatives in place for promoting good practices through self-regulatory activities. Maybe in the future actionslikethesewillbringbestresultsinlimitingthenetworkcrimephenomena. Of course the question about the future remains. Will some new protection technology become available? Will it be the early warning systems? Will the systems for computer control and admittance to the network become more common? Or perhaps it will be a different, still unknown solution? A significant improvement could be brought by developing broad social awarenessregardingtheeconomicimpactofnetcrime.today,inthevirtualworldoftheinternet, crimesseemjustasvirtual. It is worth noticing that many entities influence the phenomena described: hardware and software manufacturers, security solutions providers, carriers and ISPs, individual and corporate users, government and local government authorities, the judiciary, and others. Very often their standpoints on the security issues vary a lot. This leads to the erection of many barriers (e.g. economic, regulatory, technological). The breakthrough in the ICT security may takeplaceonlyonthegroundsofco-operationofallstakeholdersandbyconsideringtheirgoals andexpectations. 4

7 Liczba zagro eñ ci¹gle wzrasta LuannJohnson Manager,X-ForceVulnerabilityDatabaseteam InternetSecuritySystems Piêæ lat temu, 11 wrzeœnia 2001 roku, wszyscy patrzyliœmy w oszo³omieniu, jak Stany Zjednoczone pad³y ofiar¹ najwiêkszego ataku terrorystycznego w historii tego kraju. Na fali tych niszczycielskich ataków ipodobnychim innychaktów terroryzmuujrzeliœmy,jakzmieniasiêkrajobrazbezpieczeñstwa. Niektóreztychzmianwp³ynê³ynanaszecodzienne ycie.rozszerzoneprocedurykontrolipasa erów na lotniskach zmuszaj¹ nas do czekania w niekoñcz¹cych siê kolejkach i przygl¹dania siê, jak zawartoœæ naszego baga u prezentowana jest wszystkim do wgl¹du. Nieco mniejszy wp³yw na nasze ycie mia³o utworzenie Departamentu Bezpieczeñstwa Wewnêtrznego oraz udostêpnianie informacji innymorganizacjomipañstwomcelemzapobieganiapotencjalnychprzysz³ychataków. Czy akty terroryzmu wp³ywaj¹ na liczbê krytycznych i wysokich zagro eñ bezpieczeñstwa? OdpowiedŸ brzmi tak.analitycy Bezpieczeñstwa Baz Danych X-Force z Internet Security Systems zbadali liczbê wyst¹pieñ krytycznych wysokich zagro eñ bezpieczeñstwa, jakie mia³y miejsce podczas znacz¹cych aktów terroryzmu i zauwa yli, e w miesi¹cu poprzedzaj¹cym atak terrorystów liczbaprzeciekówzwiêksza³asiêœrednioo33proc. X-Force definiuje krytyczne zagro enie jako kwestie bezpieczeñstwa, w przypadku których opublikowany zosta³ kod umo liwiaj¹cy atakuj¹cemu na zdalne z³amanie systemu i uzyskanie praw administratora. Mo liwe jest, e kod taki mo e zostaæ u yty do stworzenia robaka. Wysokie zagro enie definiowane jest jako ka de zagro enie, które umo liwia atakuj¹cemu bezpoœredni dostêpdourz¹dzenia,uzyskanieprawadministratoralubominiêciezaporyfirewall. Zbadane ataki W trakcie analizowania globalnych ataków terrorystycznych, uzdolnieni analitycy z zespo³u X- Force skupili siê na atakach bombowych zwi¹zanych z Wojn¹ z terroryzmem i wziêli pod uwagê nastêpuj¹ce ataki: * Ataki na World Trade Center/Pentagon, 11 wrzeœnia 2001 * Atak bombowy na Bali, Indonezja, 12 paÿdziernika 2002 * Atak bombowy w poci¹gu w Madrycie, Hiszpania, 11 marca 2004 * Atak bombowy w rosyjskim samolocie, 24 sierpnia 2004 * Atak bombowy w metrze w Londynie, Anglia, 7 lipca 2005 *Atak bombowy w poci¹gu w Bombaju, Indie, 11 lipca 2006 Fioletowes³upki proc.ca³oœci,na1miesi¹cprzedatakiem Bordowes³upki proc.ca³oœci,wmiesi¹cpoataku(zdniematakuw³¹cznie) W roku 2001, przez cztery tygodnie po ataku z 11 wrzeœnia, zespó³ X-Force okreœli³, e liczba zidentyfikowanych wysokich i krytycznych zagro eñ bezpieczeñstwa wzros³a o 3,2 proc. w porównaniu doliczbyzagro eñ, któremia³ymiejsce podczas 4tygodni atakpoprzedzaj¹cych. Tak samo w przypadku ataków bombowych na Bali (najgroÿniejszych w historii Indonezji) liczba dodatkowych przecieków wzros³a do 16,6 proc. w ci¹gu miesi¹ca nastêpuj¹cego po ataku (co stanowi zauwa alny skok w stosunku do liczby krytycznych i wysokich zagro eñ ujawnionych w ca³ym roku 2002,jeœliporównaæ go z poprzednim rokiem,kiedy to liczba ta wynios³a 10 proc.w ci¹gu ca³ych 12 miesiêcy). Zespó³ zauwa y³ równie, e po atakach bombowych w Madrycie 5

8 liczba ujawnionych zagro eñ bezpieczeñstwa wzros³a o ponad 30 proc. w ci¹gu miesi¹ca nastêpuj¹cego poatakach. Kolejne dowody na wystêpowanie tej tendencji zauwa yliœmy po atakach terrorystycznych na dwa rosyjskie samoloty pasa erskie, które eksplodowa³y podczas lotu. Po tym ataku liczba zagro eñ wysokichikrytycznychwzros³awci¹gumiesi¹cao42proc. W ci¹gu miesi¹ca nastêpuj¹cego po atakach bombowych w londyñskim metrze w 2005 roku, liczba wysokich i krytycznych zagro eñ wzros³a o 23,6 proc. w porównaniu do liczby zagro eñ, które mia³y miejsce w ci¹gu czterech tygodnia atak poprzedzaj¹cych. Ponownie jest to bardzo znacz¹cy wzrost, szczególnie jeœli porównaæ go z faktem, e do 2004 roku liczba krytycznych i wysokich zagro eñ roczniespada³ao2,5proc. Gdy zespó³ X-Force przeanalizowa³ niedawne ataki, okaza³o siê, e liczba wystêpuj¹cych po nich zagro eñbezpieczeñstwaci¹gleroœnie.wci¹gumiesi¹canastêpuj¹cegopoatakachbombowychna poci¹giwbombajuw2006rokuzespó³pracowa³nanajwy szychobrotachiodkry³o52,6proc.wiêcej wysokichikrytycznychzagro eñbezpieczeñstwani wci¹guczterechtygodniatakpoprzedzaj¹cych. Badanie liczby wysokich i krytycznych zagro eñ bezpieczeñstwa w roku 2006 do 11 wrzeœnia ujawni³o21-procentowywzrostwstosunkudotegosamegookresuwroku2005. Liczba zagro eñ bezpieczeñstwa stale wzrasta. W 2001 roku zespó³ X-Force zbada³ 1915 zagro eñ. W roku 2002 liczba ta by³a niemal dwukrotnie wiêksza: Liczba zagro eñ dodanych do bazy danychx-forcewroku2003wynios³a3154,aw kolejny,2005,rokby³jeszczebardziej pracowity zbadano i dodano do bazy danych 5186 zagro eñ bezpieczeñstwa. Do 11 wrzeœnia 2006 zespó³zbada³a 4948nowychzagro eñbezpieczeñstwa! Obecnie zespó³ X-Force pilnie pracuje, by zapewniæ, e ka de nowe zagro enie bezpieczeñstwa zostanie zbadane, przeanalizowane i wprowadzone do bazy danych do póÿniejszych odniesieñ. Taka szczegó³owa analiza zapewnia, e opracowujemy dla naszych klientów najlepsze zabezpieczeniachroni¹ceprzednajnowszymizagro eniami. Rocznaliczbazagro eñbezpieczeñstwa OœY Liczbazagro eñbezpieczeñstwa OœX Rok Choæ norm¹ sta³o siê, e z roku na rok liczba zagro eñ bezpieczeñstwa siê zwiêksza, to znaczny skok w liczbie przecieków informacji tajnych do wiadomoœci publicznej w nastêpstwie wa nych atakówterrorystycznychmadu eznaczeniedlafirmiw³adz. X-Force nadal analizuje te skoki w liczbie zagro eñ, nastêpuj¹ce po atakach terrorystycznych, poniewa zwi¹zek miêdzy nimi nie jest do koñca jasny. Nie podejrzewamy organizacji terrorystycznych o rozpowszechnianie tajnych informacji, a wzorzec nazwisk i organizacji ujawniaj¹cychteszczegó³yjestspójnyzinnymibadanymiokresami. Choæ dowody s¹ nieprzekonuj¹ce, X-Force podejrzewa, e za zagro eniami bezpieczeñstwa stoj¹ dwie przyczyny. Po pierwsze, zarówno sprzedawcy, jak i osoby zagro enia wyszukuj¹ce mog¹ czuæ siê zmuszone do rozpowszechnienia szczegó³ów tych zagro eñ po ataku terrorystycznym, by zapewniæ, e ktoœ szybciej usunie problem lub opracuje ³atê na system (tzw. syndrom dobrego Samarytanina). Oprócz tego niektórzy sprzedawcy widz¹ w atakach terrorystycznych szansê na wydanie aktualizacji zabezpieczeñ swoich produktów i jednoczesne unikniêcie niepo ¹danej uwagi mediów(np.chowaniez³ychwieœcipodjeszczegorszymi). 6

9 Vulnerabilities continue to rise LuannJohnson Manager,X-ForceVulnerabilityDatabaseteam InternetSecuritySystems Five years ago on September 11, 2001, we watched in horror as the United States became victim to the largest terrorist attack in U.S. history. In the wake of these devastating attacks, and other similar actsofterrorism,we'veseenthelandscapeofsecuritychange.someofthesechangeshaveimpacted our daily lives. Enhanced screening procedures at airportsforce us to wait endlessly in long lines and watch the contents of our luggage being displayed to the public. Somewhat less obvious impacts include the creation of the Department of Homeland Security and the sharing of information across organizationsandinternationalbordersinanattempttopreventfutureattacks. Acts of terrorism have affected many areas of our lives, but do acts of terrorism affect the number of critical and high impact vulnerabilities that are being disclosed? The answer is yes. Internet Security Systems X-Force Database Security Analysts have investigated the disclosure rate of critical and highimpactvulnerabilitiessurroundingmajorterroristactsandhavefoundthatinthemonthfollowinga terrorist attack, the number of vulnerabilities being disclosed has increased by an average of 33 percent. X-Force defines critical impact vulnerabilities as security issues for which exploit code has been published, allowing an attacker to remotely compromise a system and obtain system administrative privileges.itislikelythattheexploitcodecanbeconvertedintoaworm. Highimpactvulnerabilitiesare defined as any vulnerability that provides an attacker with immediate access into a machine, gains super-useraccess,orbypassesafirewall. AttacksStudied In our analysis of global terrorist attacks, skilled security analysts within the X-Force Database team focused on bombings associated with the 'War on Terror'andincludedthefollowingattacks: * World Trade Center/Pentagon bombing, September 11, 2001 * Bali, Indonesia bombing, October 12, 2002 * Madrid, Spain train bombing, March 11, 2004 * Russian aircraft bombing, August 24, 2004 * London, England subway bombing, July 7, 2005 * Mumbai, India train bombing, July 11, 2006 In 2001, for the four weeks following the attacks on September 11, the X-Force DatabaseTeam identified that high and critical impact vulnerabilities disclosed climbed 3.2 percent, compared to numberofvulnerabilitiesdisclosedinthepreviousfourweeks. Again, after the Bali bombing (the deadliest in Indonesian history) the number of additional disclosuresroseto16.6percentinthemonthfollowingtheattack(whichisanoticeablejumpover 7

10 the number of critical and high risk vulnerabilities disclosed for all of 2002, when compared to the previous year, which were only up 10 percent over the entire 12 months). The team also found that after the Madrid train bombings vulnerability disclosures jumped more than 30 percent in the month aftertheattack. Wesaw furtherevidenceofthistrendfollowingtheterroristattackontwodomesticrussianpassenger aircrafts, causing the aircrafts to explode in mid-flight.critical and high impact vulnerabilities increased inthemonthfollowingthisattackby42percent. The month after the London subway bombings in 2005, the number of critical and high impact vulnerabilities climbed 23.6 percent, compared to the number of high and critical impact vulnerabilities disclosed in the four weeks prior to the attack.again this stands out markedly against the number of criticalandhighriskvulnerabilitiesasawholedecreasedby2.5percentyearoveryearto2004. When the X-Force DatabaseTeam analyzed a more recent attack, it was revealed that this number of post-attackdisclosurescontinuestogrow.inthemonthafterthetrainbombingsinmumbaiin2006,the database team kicked into high gear, entering a staggering 52.6 percent more critical and high impact vulnerabilities compared to the number of high and criticalimpact vulnerabilities disclosed in the four weeks prior to the attack. Examining the number of high and critical impact vulnerabilities in 2006 throughseptember11showsacurrentincreaseof21percentoverthesametimeperiodin2005. Vulnerability disclosure as a whole continues to escalate. In 2001, the X-Force Database team researched 1,915 vulnerabilities. In 2002, that number almost doubled to 3,206. The number of vulnerabilities added to the X-Force Database in 2003 was 3,154, followed by 4,572 in 2004.The next year, 2005, proved to be even busier, with 5,186 vulnerabilities being researched and added to the database.byseptember11,2006,theteamhadalreadyresearched4,948newvulnerabilities! In the meantime, the X-Force DatabaseTeam diligently worksto ensure that every new vulnerability is researched, analyzed and entered into the database for future reference and study. This detailed analysis ensures that we are developing the best defenses for our customers; providing against the verylatestthreats. While year-on-year increases in vulnerability disclosures are unfortunately now the norm, the substantial jump in public release of vulnerabilities following an important terrorist attack stand out and areofconsiderableimportancetobusinessandgovernment. X-Force is still analyzing these spikes in disclosures following terrorist attacks as the exact relationship between them is not immediately clear. We do not expect terrorist organizations to be 'dumping' vulnerability details, and the pattern in names of researchers and organizations releasing these details isconsistentwithotherperiodsintheyear. Whilenotconclusive,X-Forcesuspectsthattwocausesmaybebehindtheup-tickindisclosures.First, both vendors and the vulnerability discoverers may feel more compelled to release details of the vulnerabilities following a terror attack to ensure that people can fix and patch systems earlier(i.e.'the GoodSamaritancomplex'). Additionally,itmaybeseenbysomevendorsasanopportunitytorelease security updates to their products and not suffer as much adverse media attention (e.g. burying bad newsinworsenews). 8

11 Sprawne procedury bezpieczeñstwa AntonGrashion SecurityStrategistforEMEA Juniper Zbiegiem okolicznoœci Juniper w³aœnie obchodzi³ 10 rocznicê za³o enia i przez ten czas obserwowaliœmy, jak miêdzy producentami z³oœliwego oprogramowania (hakerzy itp.) a sieciami w przedsiêbiorstwach rozwija siê klasyczny zwi¹zek myœliwy-zwierzyna. Obserwowaliœmy równie, jak rozwijaj¹ siê wirusy komputerowe i inne z³oœliwe oprogramowanie.w ci¹gu ostatniej dekady uda³o nam siê zaobserwowaærównie, w jaki sposób przedsiêbiorstwa zmieniaj¹ swoje praktyki prowadzenia dzia³alnoœci przez wdra anie nowych technologii i protoko³ów, co z kolei umo liwi³o wykorzystanie tych nowychaplikacjidoczynieniaszkód.cyklwdra ania,rozwojuzagro eniaiopracowywania œrodkówzaradczychid¹ramiêwramiê. Co do prognozy na przysz³oœæ, nie przewidujê adnych radykalnych zmian. Zawsze tam, gdzie znajdujesiê zwierzyna,trafi siê te myœliwy- a raczej jest ma³o prawdopodobne, e zamkniemywszystkienaszesieci,ograniczymyliczbêpo³¹czeñ,zabronimypracyzdalnej, pozamykamynaszeoddzia³yiu ywaæbêdziemymniejszejliczbyaplikacji! Takwiêcwkontekœciewszechobecnychzagro eñnale yd¹ yædouproszczeniaprocedur bezpieczeñstwaprzy jednoczesnymzachowaniuskutecznoœci.u ytkownicykoñcowi nie powinni sami podejmowaæ decyzji o tym, w jaki sposób w³aœciwie zabezpieczaæ swój dostêp do sieci. Nie chodzi tu o kontrolê u ytkowników, ale o zwolnienie ich od takiej odpowiedzialnoœci, by mogli skupiæ siê na tym, co jest naprawdê wa ne dla ich pracodawców przy jednoczesnym zapewnieniu, e sieæ jest bezpieczna. Kontynuuj¹c temat ewolucji, musimy siê upewniæ, e posiadamy w³aœciwe geny, które umo liwi¹ naszym organizacjom na elastycznoœæ i mutacje, dziêki którym bêdziemy zawsze wyprzedzaæ szkodniki okrok. Sprzedawcy musz¹ pomóc przedsiêbiorstwom sformu³owaæ i opracowaæ sprawne procedury bezpieczeñstwa, zgodne z ich celami biznesowymi. Dlatego wa na jest otwartoœæ i przyjmowanie standardów. Musimy zapewniæ, e podstawowe wartoœci bezpieczeñstwa (przewidywalna praca, jakoœ us³ugi, prostota zarz¹dzania itp.) s¹ zakorzenione w naszych rozwi¹zaniach, aby umo liwiæ przyjêcie nowatorskich aplikacji, które pomog¹ kszta³towaæ procesy biznesowe przysz³oœci. Musimy równie zapewniæ elastyczne, ale sprawne systemy, które bêd¹ w stanie pracowaæ w zró nicowanych œrodowiskach i bêd¹ mia³y odpowiedni¹ konstrukcjê genetyczn¹, umo liwiaj¹c¹ inteligentn¹ i jednolit¹ eksploatacjê swoich wyj¹tkowych funkcji oraz zalet. Dlatego te przedsiêbiorstwa musz¹ wykazaæ siê starannoœci¹ podczas oceny technologicznych obietnic sk³adanych przez licznych sprzedawców oraz, opieraj¹c siê na rzetelnych partnerach, analitykach i integratorach, poczyniæ strategiczne inwestycje we w³asn¹ infrastrukturê zamiast w niespójne aplikacje oparte o niemo liwe do zintegrowania technologie. 9

12 Responsive security policies AntonGrashion SecurityStrategistforEMEA Juniper CoincidentlyJuniperhasjustcelebratedits10thanniversaryandinthattimewehaveseen developmentofaclassicpredator-preyrelationshipbetweenmaliciousagencies(hackers, etc.)andenterprisenetworks. WehavealsoseentheadventofthebloomingofPC-based viruses and other malware into the thousands. Over the past decade we have also observedenterpriseschangingtheirbusinesspracticesbyadoptingnewtechnologiesand protocols, which in turn have led to opportunities to exploit these new applications for negative purposes. The cycle of adoption, threat development and adaptive countermeasureshavekeptpacewitheachother. As far as predictionsabout the future are concerned,i don't see radical changes, after all therewill alwaysbe predatorswherethereis prey-and we are unlikelyto shut up all our networks,reduce connectivity, forbid remote working,close our branchesand deploy less applications! So in the contextthat threatswill alwaysbe present,securityhas to becomemuchsimpler to apply, while continuing to be highly effective. End-users should not be left to be responsiblefor makingdecisionsabouthowto securetheirownaccessproperly.thisisn't aboutcontrollingourusersbutliberatingthemto concentrateon whatis reallyimportantto their employers whilst ensuring that the network is protected.to continue the evolution themewe haveto makesurethatwe havethe right genetics in placethatempowerour organisationstobeagileandmakethosemutativeadaptationsthatkeepusonestepahead ofthemalefactors. It is important for vendors to take a leading role in helping enterprises to formulate and deliver responsive and agile security policies that support their business goals. So, openness and standards adoption are important. We must strive to make sure that the fundamental values of security, (predictable performance, quality of service, ease of management, etc.) are baked-in to our solutions to enable the adoption of new and innovative applications that will help to shape the business processes of the future. We must also provide flexible yet robust systems that are capable of operating in diverse environmentsand having the right genetic makeup which allows intelligent and seamless exploitationof their unique features and benefits. Enterprisestherefore must do their due diligence when assessing the welter of technological promises from a large number of vendors and, by relying on trusted partners, analysts, and integrators, make strategic investment in their infrastructure rather than piecemeal application of non-integrated or unintegratabletechnologies. 10

13 Przysz³oœæ rynku zabezpieczeñ Jaros³awSamonek CountryManager Symantec W ci¹gu ostatnich10 lat na polskim rynku zabezpieczeñzasz³y znaczne zmiany. Jeszcze kilka, czy te kilkanaœcie lat temu do rozwi¹zywania problemów zwi¹zanych z bezpieczeñstwemsystemów informatycznych stosowano niespójne rozwi¹zania, które nie by³y zintegrowane w ramach jednej warstwy zarz¹dzania zabezpieczeniami. Przedsiêbiorstwa nie tworzy³y strategii w dziedzinie zabezpieczeñ, a œwiadomoœæ zagro eñ i niebezpieczeñstw by³a znikoma. Jednak na przestrzeni ostatnich kilku lat ta œwiadomoœæ stale wzrasta. Na rynku oprogramowania i us³ug zwi¹zanych zzabezpieczeniamistalepojawiaj¹siênowiproducenciinowerozwi¹zaniazapobiegaj¹ce najnowszym zagro eniom takim, jak wirusy, konie trojañskie, programy szpieguj¹ce, czy te polimorficzneplikiwykonywalne. Ponadto zagro enia objê³y nowe platformy. Pojawi³y siê wirusy atakuj¹ce komputery kieszonkowe, makrowirusy osadzone w dokumentach, a tak e wirusy zagra aj¹ce telefonomkomórkowymorazsystemomlinuxisolaris.wci¹guostatnichkilkulatzmieni³o siê tak e nastawienie sprawców. O ile wczeœniej dokonywali oni ataków dla zabawy lub w celupochwaleniasiêposiadanymiumiejêtnoœciami,o tyleobecniecorazczêœciejcelem ich dzia³alnoœci jest kradzie lub wandalizm (np. kradzie informacji dotycz¹cych kart kredytowych lub niszczenie danych). Stale rosn¹ca iloœæ niepo ¹danej poczty elektronicznej, czyli spamu sprawi³a, e jest to obecnie najwiêksze zagro enie dla przedsiêbiorstw. Z tego powodu gwa³townieroœnie liczba klientów w sektorachinnych ni bankowoœæ i finanse, telekomunikacja czy administracja pañstwowa. Dodatkowo dynamiczny rozwój Internetu wymusza stosowanie zabezpieczeñ nie tylko wprzedsiêbiorstwach,alerównie nakomputerachdomowych. Obecnie spam jest uznawany za najwiêksze zagro enie z punktu widzenia wydajnoœci pracy, dlatego te coraz czêœciej stosuje siê filtry antyspamowe integrowane z klientami poczty oraz oferowane w ramach urz¹dzeñ brzegowych. Skutecznym narzêdziem w rêkach przestêpców, przed którym obecnie nale y siê szczególnie chroniæ, s¹ wiadomoœcimaj¹ce na celu wy³udzaniedanych osobowych,tzw. phishing. Ma³e i œrednie firmy nadal zaopatruj¹ siê w rozwi¹zania o w¹skim zakresie dzia³ania, natomiast du e przedsiêbiorstwa staraj¹ siê wdra aæ strategie bezpieczeñstwa i tworzyæ zintegrowan¹ warstwê zarz¹dzania zabezpieczeniami. Sektorami, które wykorzystuj¹ najbardziej zaawansowane rozwi¹zania w tym zakresie, s¹ nadal bankowoœæ i finanse oraz telekomunikacja. Najwa niejszymizagadnieniamiwdziedziniezabezpieczeñz punktuwidzeniaklientóws¹ miêdzy innymi: zapewnieniezgodnoœciz przepisamiustawowymii wszelkimiregulacjami bran owymi,automatyczneudostêpnianiezabezpieczeñna ¹danie w formie us³ug oraz stworzenie centralnie zarz¹dzanego portalu zabezpieczeñ korzystaj¹cego ze zdefiniowanychregu³, oferuj¹cegorozszerzonemo liwoœciw dziedziniesamoobs³ugi.ze wzglêdu na gwa³towny wzrost popularnoœci komunikatorów internetowych, niezwykle wa ne staje siê wprowadzanie rozwi¹zañ do zarz¹dzania dostêpem pracowników do Internetu.Pozwol¹one ograniczyækorzystaniez komunikatorów, sieci P2P i multimediów przesy³anych strumieniowo, bêd¹cych, obok przegl¹dania stron WWW niezwi¹zanych z dzia³alnoœci¹ przedsiêbiorstwa, najwiêksz¹ bol¹czk¹ pracodawców, a tym samym umo liwi¹ unikniêcie spadku wydajnoœci pracy, odpowiedzialnoœci prawnej oraz nadmiernegoobci¹ eniasieci. 11

14 Zagro enia, które zyskaj¹ na znaczeniu w ci¹gu najbli szych kilku lat i na które ju teraz warto zwróciæ szczególn¹ uwagê, to z pewnoœci¹ rosn¹ca iloœæ destrukcyjnego kodu wykorzystuj¹cegomechanizmy maskowania, rosn¹ca komercjalizacjabadañ nad lukami wzabezpieczeniachorazzwiêkszenieliczbywiadomoœciwykorzystywanychdophishingu idestrukcyjnegokodurozpowszechnianegozapoœrednictwemkomunikatorów. Z pewnoœci¹ zaczn¹ siê tak e pojawiaæ nowe zagro enia dla nowych platform, czy te technologii takich, jak: telewizja IP, konsola Xbox 360, konsola PSP, komputery kieszonkowe,czyte us³ugivoip. Przewiduje siê, e roczny wzrost polskiego rynku zabezpieczeñ przekroczy 21 proc., a wartoœæ tego rynku siêgnie do 2008 r. kwoty 110 mln USD. Najwa niejsze kategorie rozwi¹zañto: -bezpiecznezarz¹dzanietreœci¹(ponad23proc.wzrost); -oprogramowaniedowykrywaniaw³amañianalizylukwzabezpieczeniach(25proc.); -oprogramowaniedouwierzytelniania,autoryzacjiidostêpu(23proc.). Wybraneinformacje dotycz¹ce polskiego rynku: * Oprogramowanie do bezpiecznego zarz¹dzania treœci¹ (ang. Secure Content Management, SCM) stanowi ponad 43 proc. polskiego rynku zabezpieczeñ - sprzeda w tym obszarze roœnie szybciej ni winnychobszarach funkcjonalnych zabezpieczeñ. * Symantec od wielu lat jest najwiêkszym dostawc¹ zabezpieczeñ - udzia³ firmy w polskim rynku wynosiok.30proc. * Telekomunikacja (20 proc.) oraz bankowoœæ i finanse (31 proc.) s¹ uwa ane za najwa niejsze sektory polskiego rynkuzabezpieczeñ. The future of the IT security market Jaros³awSamonek CountryManager Symantec Significant changes have taken place on the Polish IT security market during the last ten years.justa fewyearsago,or evenovertenyearsago,incoherentsolutionswereusedto solve problems connected with the security of information systems, solutions which were not integrated within a single level of security management. Businesses did not create strategies for the security sphere, and awareness of threats and dangers was minimal. However this awareness has risen constantly in the space of the last few years. New producers and new solutions are continually appearing on the market for programs and services connected with security, aimed at preventing the latest threats such as viruses, Trojans,spywareandalsomulti-form.exefiles. Moreover, these threats have taken over new platforms; we have recently seen viruses which attack pocket computers, macro-viruses located in documents, and also viruses which threaten mobile phones and the Linux & Solaris systems. Also during the last few years, the attitude of the perpetrators has changed; whereas previously they had carried outattacksjustforfun,ortoshowofftheirskills,nowmoreandmoreoftentheaimoftheir activities is theft or vandalism (such as stealing information concerning credit cards, or destroying personal data). The constantly growing amount of unwanted , known as spam, has led to it currently being the greatest threat to businesses. For this reason, the 12

15 number of clients in sectors other than banking and finance, telecommunicationor state administration is also rising dramatically. In addition, the dynamic development of the Internet demands that security measures be applied not just in businesses, but also in homecomputers. Currentlyspam is regardedas the greatest threat to the efficiency of work, which is why anti-spamfilters integratedwith post clients and offered as part of edge devices are being ever more frequently used. Another tool which criminals are using effectively, and which requires protection especially now, is s aimed at swindling personal data from people, a process known as phishing. Small and medium-sized firms still use protection with narrow ranges, whereas big businesses are trying to get used to extended security strategies,and createan integratedlayer of securitymanagement.the sectorswhichuse the most advanced solutions in this field are still banking & finance, as well as the telecommunications industry. From the customers point of view, the most important questions in the field of security include ensuring that a product conforms to legal regulations and all industrial controls, offers automatic access of security on request in the form of services, and creates a centrally-administeredsecurityportalwhichuses specifiedrulesand offers extensiveselfserviceoptions.becauseof therapidincreasein thepopularityof internetcommunicators, ithasbecomeespeciallyimportanttofindsolutionsformanagingemployees'accesstothe internetwhich will allow the use of communicators,peer-to-peernetworksand multimedia streaming to be limited; next to looking at webpages not connected with the company's operations, these are the greatest headache for employers.this solution also prevents a fall-off in the efficiency of work, and avoids legal prosecution as well as overloading the network. The threatswhichwill gain in importanceover the next few years,and whichit is already worth payingparticularattentionto now, definitelyincludethe growingamountof malware which uses masking mechanisms, the increasing commercialisation of research into securityloopholes,andtheincreasein thenumberof mailsusedforphishingandmalware distributedviacommunicators. New threats for new platforms will also definitely begin to appear, as well as for such technologiesasiptelevision,thexbox360console,pocketcomputers,andvoipservices. It is predictedthat the annualgrowthof the Polish IT securitymarketwill exceed21%, and that the value of this market will reach US$110 million by The most important categoriesofsolutionare: -securecontentmanagement(withagrowthofover23%), -programsfordiscoveringbreak-insandanalysingsafetyloopholes(25%),and -verification,authorisationandaccessprograms(23%). Someselected information concerning thepolishmarket: * Programs for secure content management (SCM) comprise more than 43% of the Polish IT security market; salesinthisfieldwillgrowfasterthaninotherfunctional security areas. * Symantec has been the biggest IT security provider for many years; its participation on the Polishmarketamounts toabout30%. * Telecommunication (20%) and banking & finance (31%) are considered the most important sectors ofthepolishitsecurity market. 13

16 Inwestowaæ w ludzi Klaus-PeterKossakowski ManagingDirector DFN-CERTServicesGmbH Jak ewoluowa³a kwestia bezpieczeñstwa w Internecie? Jak zwykle w bran y zabezpieczeñ,niektóre rzeczy poprawiaj¹siê, inne siê psuj¹. Mo na by³o zaobserwowaæ wyœcig zbrojeñ pomiêdzy atakuj¹cymi a obroñcami. Najwiêcej k³opotów sprawia zmiana motywacji po stronie napastników. Robienie pieniêdzy i odnoszenie korzyœci w sposób nielegalny lub nieetyczny staje siê powszechne. Niektóre tradycyjne przestêpstwa nabieraj¹nowegocharakteru wzetkniêciuzinternetem,niemniejzdobywaj¹popularnoœæ. Grawielkichliczbzwodziwieleosób.Jeœliludzieniewierz¹, espamlubinneoszustwasiê nie op³acaj¹,najczêœciejnie uwzglêdniaj¹wielkich liczb. Sprzedaæcoœ nieistniej¹cegoza 10eurotobyæmo enic,alejeœlisiêtosprzeda10000razy,tonale ysiêju zastanowiæ! Jestem mocno rozczarowany, w jak ma³ym stopniu stosowanejest szyfrowanie.czasami zdaje mi siê, e ludzie stawiaj¹ swoje ycie na ulicy Internetu, chocia du o bardziej przejmowaliby siê, robi¹c to na w³asnym osiedlu czy mieœcie. Nie maj¹ wyrobionego instynktuwobecinternetu;mo emytylkomieænadziejê, ebêd¹gomia³ynaszedzieci... Drugie rozczarowanie wywo³ane jest prywatnoœci¹. Choæ obecnie wiele przepisów ustanawia prywatnoœæ, niektóre podwa aj¹ j¹ w imiê bezpieczeñstwa narodowego. Jednak jeszcze bardziej irytuj¹cy jest fakt, e spo³ecznoœæ internetowa jako ca³oœæ nie kwapisiêdowykrywaniaÿróde³ataków.niektóreugrupowaniau ywaj¹tuprywatnoœcijako g³ównego argumentu, ale w zasadzie, jeœli nic nie wiemy na temat adresu IP, z którego pochodziatak, to nie mo emypomócorganizacjiczy administratorowiodpowiedzialnemu za rozwi¹zanielokalnegoproblemu.jeœli zadzwonimypod 110- czy 999, czy inny numer alarmowy- musimypodaæmiejsce,w którympotrzebnajest pomoc.inaczejkaretkanigdy nieprzyjedzie... Jakie bêd¹ najwiêksze zmiany w œwiecie bezpieczeñstwa IT? Jak zwykle droga bêdzie wyboista. Bêd¹ opóÿnienia, niektórzy zostan¹ pokrzywdzeni, bardziej od strony psychologicznej jeszcze przez kilka lat, ale rosn¹ i szkody materialne... Pomyœlcie o nowych zastosowaniach imformatyki: historie chorób zawsze dostêpne na wszystkich urz¹dzeniach, samochody wyposa one w sieci bezprzewodowe steruj¹ce hamulcami i systemami takimi, jak ABS? Jest to tylko kwestia czasu, kiedy zginie pierwsza osoba zpowoduinternetuilukwzabezpieczeniach... Inne moje obawy dotycz¹ rosn¹cych zagro eñ - jeszcze niestwierdzonych - niesionych przez nanotechnologiê lub bezpoœrednie interfejsy ³¹cz¹ce mózg z komputerem. Czy nanourz¹dzenie bêdzie mia³o adres IP, bêdzie pod³¹czone bezprzewodowo i czy bêdzie nios³o wirusa, kiedy lekarz bêdzie bada³ nasze y³y? Czy interfejs pomiêdzy mózgiem a komputerem bêdzie mia³ mo liwoœæ przepe³nienia bufora i zacznie wysy³aæ strumienie ch³amu donaszychszarychkomórek? 14

17 Uganiam siê ju od ponad 18 lat, nawo³uj¹c do wprowadzania poprawek technicznych, odpowiadanianazdarzenia,wykrywaniaw³amañ,systemówwczesnegoostrzegania,pkii czego tam jeszcze i uwa am, e jest jedno proste rozwi¹zanie: œwiadomoœæ. Wszyscy powiedz¹, e maj¹ œwiadomoœæ zagro eñ, jednak najtrudniejsz¹ rzecz¹ jest zamieniæ uwagênapodjêciedzia³añ.jak eczêstomówi¹ tomisiênieprzydarzy³o albo nigdytego niewidzia³em? Tacyludzieniebêd¹dzia³aæ... Nawetjeœli ludzieznaj¹jakieœhistorie,zamianaich w wiedzê,co nale yrobiæ,jest trudna. Ludziemyœl¹, eimsiêupieczealboniebêdzietomia³otakdrastycznychskutków.dopiero kiedytosiêwydarzy,s¹zdruzgotaniiwstrz¹œniêci. Najwa niejszymiczynnikami,które pomagaj¹,to œwiadomoœæoraz zinstytucjonalizowane procesy. Szkolenie,szkolenie,szkolenie...organizacjamusi mieæ wdro oneodpowiednie zabezpieczenia, zapory ogniowe, wirtualne sieci prywatne, a tak e politykê bezpieczeñstwa i zabezpieczenia fizyczne, ale procedury s¹ sednem wszystkiego. Jeœli ludzieznaj¹siê na swojejrobocie,reaguj¹instynktowniei robi¹w³aœciwerzeczy, to nawet nie maj¹c najnowszych narzêdzi mog¹ bardzo skutecznie zareagowaæ na zagro enie. Prawdopodobieñstwo, e taka organizacja przetrwa atak, jest wiêksze ni w przypadku organizacji, która w³aœnie zakupi³a najnowsz¹, najwspanialsz¹ maszynê rozwi¹zuj¹c¹ wszelkie problemy, ale nie ma nikogo, kto by poj¹³, e wszystko, co mo e pójœæ nie tak, pójdzienietak... Investing in people Klaus-PeterKossakowski ManagingDirector DFN-CERTServicesGmbH HowdidInternetsecurityevolve?Asalwaysinthesecuritybusinesssomethingsgetbetter, some things get worser. Overall we have seen an arms race between offenders and defenders- thiswasto beexpected.butwhatcausemoretroublearethechangesin the motivationontheoffenderside.makingmoneyandachievebenefitsinillegalornon-ethical ways becomes common practice. Some traditional crimes get a twist if they come to the Internet,butneverthelessgainpopularity. The big numbersgame is fouling many. Even if people believe that some spam or some scamdoesnotpayoff, theyoftendonotconsiderthebignumbers.sellingsomethingnonexistingforeur10ismaybenothing,ifyoudoit10.000times,startthinking! Iamdisappointedhowweaktheadoptionofencryptionstillis,sometimesIthinkpeopleput theirlife ontheinternetstreet,althoughtheywouldbemuchmoreconcernediftheywould do that in their local neighbourhood or city. People just don't have the instincts for the Internet,andallwecanhopeforisthatyourchildrenwillhavethem... 15

18 Another dissappointing look goes towards privacy. While many legal rules now establish privacy,somelegislationunderminesitontheothersideinneedformorenationalsecurity. But then it is even more irritatingthat the Internetcommunityas a whole is not too much forthcoming by tracking down attacks. Privacy is used here as a killer argument by some groups,butinessence,ifyoudonotknowaboutanattackingipyouwillnotbeabletohelp theresponsibleorganizationoradministratortoresolvethelocalproblem.ifyoucall110-or 911, whateverworksin your neighbourhood- you have to say wherethe help is needed. Otherwisetheambulancewillnevercome... What are my predictionsabout the future? We will stumble along as we always do. There will be slowdowns,peoplewill get hurt, for some years more on the psychologicalside but financial damage is on the raise... Think of the new applications of IT: health records, always on of all devices, cars with wireless networks to control breaks and systems like ABS?ItisjustamatteroftimewhenthefirstpersonwilldieduetotheInternetandgapsinits security... AnotherconcernI have is the relatedto the growingthreats- which are yet unheardof- of nano technologies or direct brain <-> computer interfaces. Will a nano device have an IP address,be connectedvia wirelessand will it carry a bot while the doctor tries to see your veins? Will the brain <-> computer interface be allowed to have a buffer overflow sending streamsofjunkinputtoyourgreycells? Running around since more then 18 years now trying to preach technological improvements, incident response, intrusion detection, early warning, PKI, you name it, I believe it is something rather simple:awareness. Everyone will say, but I know that there arethreats,it is themostdifficultthingtoturnattentionintotakingaction.howoftenpeople say"itdidnothappentome"or"ihaveneverseenthat"?andtheywillnotact... Even if people know some stories, turning that into knowledge what actually needs to be doneisdifficult.peoplethinktheymightgetawaywithitoritmightnotthatdramatic...onlyif ithappenstheyaredevastetedandshocked. Awareness and institutionalized processes are the most important factors that help. Training, training, training... the organization needs to have proper security measures, firewalls, VPNs, but security policies and physical security as well, but processes are the heartof everything.if the peopleknowtheir job, if they reactout of instinctand do the right thinks, they can even with not the newest, fancy geek tool do a tremendous job of respondingtothethreat.andthelikelyhoodthatthisorganizationwillsurviceisgreaterthen thatofanorganizationthatjustboughtthebest,gloriestnewsolveitallmachinebuthasno oneleftthatgetagripofeverythingthatcangowrongwillgowrong... 16

19 Krótka historia ochrony IT PiotrOwerski SeniorConsultant CA Prace podejmowane w latach 60., 70. i znacznej czêœci 80. XX w. da³y podstawy dla rozwojukomputerówodmainframepoprzezserweryvax,systemyunixdopierwowzorów dzisiejszychmikrokomputerówpc. Operatorzy przy u yciu linii komend wydawali polecenia - jeœli pojawia³ siê problem, by³ natychmiast analizowany, a poprawka niejednokrotnie polega³a na zmianie kodu programu. Istotnym krokiem w rozwoju systemów informatycznych by³ rozwijany pod koniec lat 60. projekt Multics, który co prawda nie zakoñczy³siê sukcesem,ale prace nad nim usystematyzowa³y aspekty wielopoziomowych polityk kontroli dostêpu. W tamtym okresiestworzonopierwszemodeleochronyit:bell-lapadula,biba,clark-wilsonitd. DostêpdoMainframeby³bardzoograniczony,ama³ychfirmnieby³ostaænatakkosztowne systemy. Wymusi³o to popularyzacjê systemów rozproszonych, co spowodowa³o przybli enie mocy przetwarzania do u ytkowników. W ten sposób rozpoczê³a siê era mikrokomputerów,wtymkomputerówosobistych. W krótkim czasie wiêkszoœæ firm zaczê³a byæ zale na od technologii informatycznej, niezale nie od sektora gospodarki (banki, firmy telekomunikacyjne, organizacje po ytku publicznego, wojsko, instytucje medyczne itd.). Ten poziom zale noœci po³¹czony z wymaganiami integracji zacz¹³ stanowiæ prawdziwe wyzwanie w realizacji ochrony. SprawazabezpieczeñIT sta³a siê praktycznieod pocz¹tkulat 90. problememwszystkich, a nie tylko najbogatszych. Przestano postrzegaæ j¹ jako grê, któr¹ mo na wygraæ i zakoñczyæ. Sta³a siê d³ugoterminow¹ prac¹, w któr¹ trzeba zainwestowaæ œrodki, ludzi iczas. W latach 90. ataki ze strony hakerów sta³y siê du ym problemem. Ostatnie 5 lat by³o prawdziw¹ plag¹ oprogramowania szpiegowskiego (spyware, adware, trojan), którego celem jest zbieranie informacji o aktywnoœci u ytkownika. Natychmiast te jako œrodki zaradcze pojawi³y siê odpowiednie narzêdzia przeciwdzia³aj¹ce, takie jak np. etrust PestPatrol,Spybot. Popularyzacja sieci i pod³¹czenie ich do Internetu wymusi³o wrêcz rewolucjê w rozwoju metodzabezpieczeñ, szczególnienapoziomietechnologicznym. Najnowsze rozwi¹zania w dziedzinie zarz¹dzania to samoœci¹ (Identity and Access Management) s¹ zestawem narzêdzi i procesów, które umo liwiaj¹ organizacji zarz¹dzanie u ytkownikami, ich skojarzonymi danymi identyfikacyjnymi, parametrami uwierzytelniania i poziomem dostêpu do zasobów, wymaganymi do wykonywania pracy. Œcis³a kontrola kont oraz uprawnieñ u ytkownika minimalizuje ryzyko nadmiernego dostêpu i b³êdnego przydzia³u praw dla niew³aœciwych ludzi. Rozwi¹zania takich firm jak CAczyIBMpozwalaj¹zarz¹dzaæwszystkimiaspektamiprocesukontrolito samoœciipraw dostêpu. Zastosowanie np. CA Identity Manager pozwala kontrolowaæ proces tworzenia kont, przydzia³u praw, zatwierdzania, migracji oraz odbierania przywilejów w ca³ym œrodowiskuz punktuwidzeniabiznesowego.kontas¹ tworzone/likwidowanenatychmiast po podjêciu biznesowejdecyzji przez managera,np. po zdefiniowaniuakcji przeniesienia pracownikanainnestanowisko(bezudzia³uadministratora). 17

20 Zewzglêdunato, eniemamodelubezwzglêdnegozapewnieniabezpieczeñstwa,mo na jedynie minimalizowaæ zagro enia. Obecne podejœcie do zabezpieczenia IT daleko odbiega od prostych modeli opracowanychw latach 60. i 70. Tak zwana dobra ochrona nie jest w adnym wypadku oparta wy³¹cznie o technologiê. Wrêcz odwrotnie, wg. analityków tylko w proc. zale y od rozwi¹zañ technologicznych. To od w³aœciwego przygotowania polityki bezpieczeñstwa przedsiêbiorstwa, zdefiniowania proceduri przyjêtychstandardówzale yprzedewszystkimstanochrony. Jakonajwiêksze zagro enie od pocz¹tku okreœlono cz³owieka. Od jego edukacji i œwiadomoœci zale y, na ile bêdzie on nie tylko Ÿród³em b³êdów, ale równie na ile bêdzie podatny np. na ataki socialengineering,przedktórym adnatechnologianiejestwstanieochroniæ. Nie mniej wa ne jest sprawne i nad¹ aj¹ceza rozwojem wydarzeñ prawo odnosz¹cesiê do karania za przestêpstwa pope³nione w cyberprzestrzeni. Przez d³ugi czas mieliœmy w Polsce do czynienia z bezkarnoœci¹ cyberprzestêpców. Ich inwencja w wymyœlaniu ipope³nianiukolejnychnadu yæprzewy szamo liwoœciszybkiejreakcjizestronynaszych prawodawców. Obecnie w Polsce dzia³a ju ca³kiem sprawnie specjalna komórka policji zajmuj¹casiêprzestêpstwamiwcyberprzestrzeni,wspó³pracuj¹cazpodobnymiorganami zinnychkrajów. Z technologicznegopunktuwidzeniarozwi¹zaniastosowanew Polscemo nazaliczyædo najlepszych w tej dziedzinie. Polska ma dostêp do wszelkiej technologii, w tym przoduj¹cych rozwi¹zañ firm z ca³ego œwiata. Najwa niejsze jest, aby aspekty technologiczne nie przes³oni³y w³aœciwego podejœcia do spraw ochrony, w tym koniecznoœci edukacji personelu oraz po prostu zdrowego rozs¹dku. A short history of IT protection PiotrOwerski SeniorConsultant CA The work undertakenin the 1960s,1970sand a significantpart of the 1980slaid the basis for thedevelopmentof computersfrommainframes,via VAX serversandunixsystems,to theprototypesoftoday'spcmicrocomputers. Operators entered instructions using command lines; if a problem appeared it was analysed immediately, and corrections were often based on changing the program code itself. Asignificantstepin thedevelopmentof computersystemswastakenin themulticsproject at the end of the 1960s;while admittedlyit was not a success,the work on it systematised certain aspects of multi-level policies for monitoring access. The first models of IT protection were also created in this period, such as those by Bell-LaPadula, Biba, Clark- Wilson,etc. Access to mainframes was very limited, and small firms could not afford such expensive systems. This forced the popularisation of simplified systems, which in turn brought the power of transformation closer to the users. In this way the era of microcomputers, includingpersonalcomputers,began. 18