Dyrektor Techniczny NASK Pełnomocnik ds.cert Polska. Kierownik CERT Polska NASK

Transkrypt

1 10 lat w bezpieczeństwie IT czas na przełom Krzysztof Silicki, Dyrektor Techniczny NASK Pełnomocnik ds.cert Polska Mirosław Maj Kierownik CERT Polska NASK

2 Wstęp Dziesięciolecie istnienia polskiego zespołu reagującego CERT działającego w NASK skłania do podsumowań i spojrzenia w przyszłość. Jak kształtowała się sytuacja w bezpieczeństwie komputerowym w ostatnich latach? Jakie przełomowe wydarzenia nastąpiły? Z czym będziemy mieli do czynienia w przyszłości? Specjaliści mają rozmaite odpowiedzi na te pytania. Przedstawiamy próbę spojrzenia na te zagadnienia ze strony zespołu CERT Polska.

3 Wizerunek hakera W ciągu minionych lat niewątpliwie nastąpiła zmiana wizerunku hakera. Połowa lat 90. to zmierzch kojarzenia tego pojęcia z entuzjastą systemu komputerowego, poznającym jego tajniki. W nowym znaczeniu pojęcie to najczęściej bywa utożsamiane z sieciowym chuliganem. Od początku tej dekady wizerunek hakera to coraz bardziej wizerunek przestępcy. Paradoksalnie, ostatnimi czasy Internet zaczyna być przedstawiany jako coraz bardziej bezpieczny ponieważ coraz mniej słychać o spektakularnych incydentach powodowanych przez wirusy czy robaki internetowe. To także zamierzony cel hakerów, dla których stan, w którym użytkownik sieci ma wrażenie, że jest ona bezpieczna, podczas gdy w rzeczywistości jest pożywką dla podziemnej ekonomii jest ideałem.

4 Pytanie Czy internet jest bezpieczny? Nie jest Nie jest i będzie coraz gorzej Nie jest ale idzie w dobrym kierunku Tak, jest bezpieczny Kto wygrał walkę o internet w ciągu minionych 10 lat? hakerzy administratorzy jest remis

5 Wpływ szerokopasmowego internetu Faktem wpływającym na obraz bezpieczeństwa było upowszechnienie się szerokopasmowego Internetu. Patrząc od strony niepożądanych zjawisk okazało się to pożywką dla spamerów, mających dzięki temu do dyspozycji lepsze łącza pomogło w propagowaniu zagrożeń, takich jak robaki sieciowe czy ataki DDoS. Nie przypadkiem robak Slammer z roku 2003, miał swoje źródło w Korei Południowej, kraju o dużym nasyceniu szerokopasmowego Internetu.. Okazało się, że ataki Code Red i Nimda z 2001 roku, uznawane za niezwykle groźne, były tylko przygrywką do prawdziwych, masowych zagrożeń w sieci. dzięki rozwojowi szybkiego internetu nastąpił szybki rozwój BOTnetów Idea czarnych kapeluszy - wyłączyć Internet w 15 minut - stała się realna.

6 Pytanie Co jest obecnie największym zagrożeniem w internecie? BOTnety Robaki sieciowe, wirusy Phishing Spam Kradzież tożsamości inne

7 Kanon bezpieczeństwa W międzyczasie ustalił się minimalny kanon bezpieczeństwa IT system antywirusowy, firewall konieczność łatania słabości systemowych. Stosowanie tych technik pozwala na ochronę przed większością automatycznych ataków. Można także uznać, że udostępnienie przez Microsoft Service Packa 2 dla systemu Windows, w sierpniu 2004 roku było przełomem w dziedzinie poprawy bezpieczeństwa komputerów użytkowników indywidualnych. Jednak paradoksalnie pomimo niemal powszechnego stosowania antywirusów, firewalli a nawet systemów detekcji intruzów nie można jeszcze mówić o znaczącej poprawie ogólnego bezpieczeństwa IT.

8 Where it is common and fully understood for all other classes of consumer items (cars, electrical appliances, hadrware tools, you name it) that manufacturers are essentially liable to the safety of their own products, this is strangely enough not (yet) the case for the computer area. Jacques Schuurman, SURFnet CERT

9 Pytanie końcowe Kto w największym stopniu odpowiada za słabe bezpieczeństwo w sieci? Użytkownicy indywidualni Administratorzy sieci Dostawcy internetu i usług Producenci sprzętu i oprogramowania Rządy

10 Pytanie Co najbardziej mogłoby poprawić bezpieczeństwo? więcej akcji uświadamiających lepsze wyszkolenie osób odpowiedzialnych za bezpieczeństwo bardziej powszechne używanie technik bezpieczeństwa szyfrowanie FW AV VPN patching uporządkowanie procesów bezpieczeństwa w organizacjach - poprawa organizacji

11 Pytanie Kto powinien prowadzić uświadamianie użytkowników aby nie dawali się nabierać? specjalistyczne ośrodki bezpieczeństwa media masowe szkoły Rząd inne

12 Ewolucja wirusów Skutecznie rozpropagowany w 2000 roku wirus mailowy I- Love-You siłą rażenia zaskoczył samych autorów. Na przełomie lat 1998 i 1999, po zmierzchu wirusów dyskietkowych, atak Lovelettera pokazał na nowo siłę ataków wirusowych, tym razem opartych o socjotechnikę. Od tego czasu największe i najskuteczniej dystrybuowane zagrożenia w sieci zawierają elementy socjotechniki. Skuteczność ataku sprowadza się często do namówienia ofiary do wykonania prostej czynności (np. jak kliknięcie przesłanego linku). Począwszy od 2003 roku socjotechnika, wraz z innymi technikami używanymi przez hakerów, nabrała wymiaru ekonomicznego. Stało się to wraz z rozpowszechnieniem tzw. phishingu

13 Pytanie Czy problem wirusów, robaków, koni trojańskich w internecie zostanie rozwiązany? Tak, w ciągu 10 lat Nie, pozostanie bez zmian Nie, będzie coraz większy Nie jest to problem

14 Jakość oprogramowania Czy przez ostatnie 10 lat wzrosła jakość, niezawodność, bezpieczeństwo tworzonego oprogramowania? Pewien postęp daje się zauważyć. W 2002 roku Microsoft np. wprowadził wewnętrzną inicjatywę Trustworthy Computing.. Obecne kompilatory stosowane przez programistów są lepiej napisane (programista nie musi pilnować bezpieczeństwa samodzielnie). Ale czy w masie powstającego kodu można mówić o przełomie? to pytanie pozostaje otwarte.

15 Bezpieczeństwo aplikacji Webowych Obserwujemy wzrost ataków na aplikacje Webowe. Łatwo można natrafić na słabo zabezpieczone cele. Coraz większy stopień komplikacji aplikacji sprawia, że łatwiej jest popełnić błąd w oprogramowaniu. Aplikacje Webowe w większości są domeną firm, które nie są w pełni świadome zagrożeń i rzadko uwzględniają bezpieczeństwo "od podstaw" w swoich aplikacjach. Wiele aplikacji jest dziełem amatorskich programistów.

16 Pytanie Czy niezawodność i bezpieczeństwo tworzonego oprogramowania wzrasta? Nie Nieznacznie Tak, w dużych firmach software owych Tak Trudno to ocenić

17 Nowe technologie i protokoły W ostatniej dekadzie pojawiły się technologie o rosnącej popularności które jednak wprowadziły nowe, nieznane zagrożenia. Technologia P2P. Problem dzielenia się internautów nielegalnym oprogramowaniem, Wzrost znaczenia komunikatorów wprowadził problemy z ochroną sieci firmowych dołączonych do Internetu. Klasyczne systemy firewallingu przestały być wystarczające. Komunikatory w większości nie były tworzone od początku z myślą o bezpieczeństwie. Sieci bezprzewodowe. Rozpowszechnienie się WiFi miało swój negatywny skutek w postaci np. wzrostu ataków (szczególnie rok 2004). Dla hakerów stały się metodą na osiągnięcie anonimowości w sieci. Owa anonimowość (w wielu przypadkach pozorna), przyciągnęła też nową klasę przestępców, zajmujących się dystrybucją nielegalnych treści (np. pornografii dziecięcej). VoIP technologia, która rewolucjonizuje rynek głosowy - od strony bezpieczeństwa ma swoje mankamenty. Bezpieczniejsze protokoły wcale lub niemrawo wypierają mniej bezpieczne (IPv6 vs IPv4, SNMP v1, v2,.. DNSsec).

18 Pytanie Czy tworząc nowe technologie myśli się o ich bezpieczeństwie? W większości nie W większości tworzone są z tą myślą Nie, ale nie jest to problem

19 Ataki na sieci przemysłowe Zagrożenia internetowe, takie jak Slammer czy Blaster, na początku tego wieku zaatakowały także sieci będące częścią poważnych systemów przemysłowych czy finansowych, takich jak elektrownie atomowe (Slammer) czy systemy sieci energetycznych (podejrzany Blaster). Coraz częściej mówi się o zagrożeniach bezpieczeństwa ze strony Internetu dla sieci typu SCADA (Supervisory Control And Data Acquisition).

20 Pytanie Czy w przyszłości zagrożenia internetowe będą poważnym problemem sieci przemysłowych? Tak, w ciągu najbliższych lat będzie katastrofa Nie, są to jedynie straszaki prasowe Pojawią się sporadyczne ataki (ale nie katastrofy), które uświadomią wagę tego problemu Jest to problem ale zostanie rozwiązany

21 System prawny Ostatnie 10 lat jest również okresem budowania systemu prawnego odnoszącego się do zagadnień bezpieczeństwa IT. Powstały regulacje co do ochrony informacji niejawnych, danych osobowych, transakcji elektronicznych oraz system sankcji związany z naruszeniem tych zasad, wpisany do kodeksu karnego. Nie zawsze regulacje te odnoszą zakładany skutek, a niektóre zapisy robią wrażenie martwych. Wydaje się, że w tworzeniu systemu zasad zabrakło inicjatyw promowania dobrych praktyk przez działania samoregulacyjne. Być może w przyszłości właśnie takie działania przyniosą najlepsze skutki w ograniczaniu zjawisk przestępczości w sieci.

22 Pytanie Czy system prawny nadąża za zjawiskami w sieci? Tak Nie i nie jest to realne Będzie nadążał w coraz większym stopniu Dotychczasowe prawo jest wystarczające chodzi o lepsze egzekwowanie

23 Pytanie Kiedy rząd, poprzez mechanizm regulacyjny powinien włączać się w bezpieczeństwo internetu? nigdy w wyjątkowych sytuacjach (minimalny zakres) powinien regulować większość istotnych zachowań

24 Przyszłość Dziś, w wirtualnym świecie Internetu, przestępstwa wydają się być równie wirtualne. Pozostaje pytanie o przyszłość. Czy jakaś nowa technika obronna stanie się powszechna? Czy będą to systemy wczesnego ostrzegania? Czy upowszechnią się systemy kontroli bezpieczeństwa i dopuszczania komputerów do sieci? Może będzie to inne, nieznane jeszcze rozwiązanie? Poprawę mogłoby przynieść budowanie szerokiej świadomości społecznej dotyczącej ekonomicznego wymiaru sieciowych przestępstw.

25 Przyszłość Zwróćmy uwagę, że w opisywanych zjawiskach ma udział wielu tzw. interesariuszy: producentów sprzętu i oprogramowania, dostawców rozwiązań bezpieczeństwa, operatorów Internetu, użytkowników indywidualnych i instytucjonalnych, administracji rządowych i samorządowych, wymiaru sprawiedliwości. Częstokroć spojrzenia tych stron na problem bezpieczeństwa mocno się między sobą różnią. Powoduje to istnienie wielu barier np. ekonomicznych, regulacyjnych, technicznych. Czy przełom w bezpieczeństwie IT może się dokonać bez ścisłej współpracy wszystkich zainteresowanych stron, przy uwzględnieniu ich dążeń i oczekiwań?

26 Pytanie Czy jakaś nowa technika obronna stanie się powszechna w dającej się przewidzieć przyszłości? Czy będą to systemy wczesnego ostrzegania? Czy upowszechnią się systemy obowiązkowej kontroli bezpieczeństwa i dopuszczania komputerów do sieci? Czy powstaną systemy komputerowe potrafiące przeżyć nawet przy zmasowanych atakach? Może będzie to inne, nieznane jeszcze rozwiązanie?

27 Pytanie Czy nastąpi przełom w bezpieczeństwie IT poprzez ścisłą współpracę wszystkich zainteresowanych stron, przy uwzględnieniu ich różnic, dążeń i oczekiwań? Nie, nie jest to możliwe Tak, rynek wymusi taką współpracę w ciągu 10 lat Poczekamy na to znacznie dłużej niż 10 lat Współpraca taka zostanie wymuszona przez odpowiednie regulacje

28 Pytanie Czy nastąpi pozytywny przełom w bezpieczeństwie IT? tak, nastąpi w ciągu kilku lat nie, pozostanie tak jak jest sytuacja jeszcze się pogorszy przełom już nastąpił (Jak może wyglądać przełom?: Ilość odnotowywanych słabości systemowych wyraźnie spada Użytkownicy indywidualni standardowo otrzymują bezpieczne środowisko Podziemie internetowe jest skutecznie ścigane Ryzyko korzystania z sieci jest z roku na rok coraz mniejsze)

29 Pytanie Kto w końcu wygra walkę o internet w ciągu następnych 10 lat? Hakerzy (podziemie) Użytkownicy, administratorzy Nie mam zdania

30 Pytanie końcowe Jaką pełnisz funkcję w swojej firmie/organizacji Menedżer odpowiedzialny za informatykę lub telekomunikację Menedżer odpowiedzialny za bezpieczeństwo Administrator odpowiedzialny za informatykę lub telekomunikację Administrator odpowiedzialny za bezpieczeństwo inną

31 Pytanie końcowe Twoja firma zatrudnia Mniej niż 20 osób osób osób Więcej niż 250 osób

32 Pytania z sali Na które z poniższych pytań chciałbyś znać odpowiedź?

33 Pytania z sali Którą z poniższych odpowiedzi wybierasz?