Problemy wdraŝania bezpiecznych systemów informatycznych

Transkrypt

1 Problemy wdraŝania bezpiecznych systemów informatycznych Gerard Frankowski Poznańskie Centrum Superkomputerowo - Sieciowe Polski Program Narodowych Badań Nad Bezpieczeństwem Warszawa, r. 1 Witam Państwa. Nazywam się Gerard Frankowski - pracuję w Poznańskim Centrum Superkomputerowo - Sieciowym. Przedstawię Państwu krótkie wystąpienie pt. Problemy wdraŝania bezpiecznych systemów informatycznych. Polski Program Narodowych Badań Nad Bezpieczeństwem - Warszawa,

2 Agenda Waga kwestii bezpieczeństwa [teleinformatycznego] Kilka cech bezpieczeństwa Ekonomia ataku Podejmowanie środków zaradczych Podsumowanie, pytania, dyskusja... 2 Ramy czasowe prezentacji pozwalają jedynie na zasygnalizowanie pewnych spraw. PowyŜsza agenda stanowi tak naprawdę jedynie spis tematów, którymi warto zająć się dogłębniej. Proszę zwrócić uwagę, Ŝe mówiąc bezpieczeństwo podczas tej prezentacji będziemy mieli na myśli bezpieczeństwo szeroko rozumianych infrastruktur informatycznych - bezpieczeństwo teleinformatyczne. Polski Program Narodowych Badań Nad Bezpieczeństwem - Warszawa,

3 Waga bezpieczeństwa nieustannie wzrasta Techniki informatyczne są coraz bardziej wszechobecne Waga przesyłanych danych staje się większa Skutki naruszeń bezpieczeństwa mogą być zatem coraz powaŝniejsze Rośnie takŝe ich koszt 3 Najogólniej rzecz biorąc, znajdujemy się tutaj wszyscy dlatego, Ŝe bezpieczeństwo komputerowe jest coraz bardziej istotne. Dzieje się tak, poniewaŝ na naszych oczach dokonuje się nieustanny postęp techniki, a komputeryzacja dotyka coraz to nowych dziedzin naszego Ŝycia. Systemy komputerowe zaczynają przechowywać coraz większe ilości danych osobowych, biznesowych, informacji operacyjnych słuŝb bezpieczeństwa publicznego itd. Skutki wycieku lub utraty informacji z takich systemów mogą być bardzo duŝe - podobnie jak wynikające z nich straty czysto pienięŝne. Polski Program Narodowych Badań Nad Bezpieczeństwem - Warszawa,

4 Idealnym stanem byłoby bezpieczeństwo całkowite Niestety takie bezpieczeństwo w praktyce nie istnieje Stopień skomplikowania współczesnych systemów: Wersja popularnego OS sprzed kilku lat: 30 mln linii kodu = ok. 1 mln błędów ok. 5% z nich to błędy bezpieczeństwa = błędów ok. 1% pozwala przejąć kontrolę nad systeme = 500 błędów wystarczy znaleźć: 1 błąd 4 Najlepszym środkiem do zastosowania w obliczu zagroŝeń byłoby posiadanie systemu całkowicie bezpiecznego. To z gruntu dobre załoŝenie ma podstawową wadę - w rzeczywistych zastosowaniach takie systemy po prostu nie istnieją. Przyczyną tego stanu rzeczy jest stopień skomplikowania dzisiejszego oprogramowania. Kod jednego z popularnych systemów operacyjnych sprzed kilku lat to około 30 mln linii. Statystycznie w takim kodzie spotyka się 1 błąd na 30 linii kodu (w sumie mamy więc około miliona błędów). Oczywiście przewaŝająca większość z nich to drobne, niekiedy niezauwaŝalne usterki - rozsądnie jest powiedzieć, Ŝe tylko kilka - np. 5% - to błędy związane z moŝliwymi naruszeniami bezpieczeństwa. To wciąŝ pozostawia liczbę 50 tysięcy błędów. Do zaatakowania systemu potrzeba jeszcze, aby taki błąd moŝna było wykorzystać i to w sposób umoŝliwiający (najlepiej zdalną) kontrolę nad systemem. Niech tylko 1% błędów bezpieczeństwa ma takie cechy - pozostawia to nadal liczbę 500 krytycznych luk. Wystarczy, aby napastnik znalazł tylko jedną z nich, a jest w stanie zaatakować system. Oczywiście producenci oprogramowania naprawiają luki - wrócimy jeszcze do tego później. Dodatkowo naleŝy uwzględnić wpływ interfejsów między róŝnymi modułami pracującymi w systemie komputerowym, czy teŝ wnoszący zupełnie inne rodzaje zagroŝeń czynnik ludzki. Między innymi przez niego nie moŝemy wyłączyć spod naszych rozwaŝań wydzielonych, niepublicznych sieci komputerowych (mogą wystąpić - świadome bądź nie - ataki od wewnątrz sieci). Polski Program Narodowych Badań Nad Bezpieczeństwem - Warszawa,

5 Niestety, moŝemy tylko (?) utrudniać atak Dlaczego nawet to moŝe być trudne? Bezpieczeństwo: nie jest wbudowane (w poŝądanym stopniu) jest skomplikowane (skuteczna obrona jest trudna) jest kosztowne 5 JeŜeli nie jest moŝliwe bezpieczeństwo całkowite, pozostaje dąŝenie do osiągnięcia moŝliwie wysokiego poziomu bezpieczeństwa. Naturalnie, poziom bezpieczeństwa dobiera się odpowiednio do potrzeb - nie trzeba chronić komputera domowego aŝ tak dokładnie, jak np. serwera pocztowego obsługującego 3000 uŝytkowników. TakŜe ten proces moŝe nie być łatwy - wynika to z niektórych cech bezpieczeństwa, o których dowiemy się za chwilę. Bezpieczeństwo na poŝądanym poziomie nie jest wbudowane w produkt, osiąganie tego poziomu moŝe być skomplikowane, a ponadto często wymaga sporych nakładów finansowych (równieŝ zaleŝą one od wagi chronionych danych). Polski Program Narodowych Badań Nad Bezpieczeństwem - Warszawa,

6 Dlaczego bezpieczeństwo wbudowane nie wystarcza? Czynniki ściśle ekonomiczne Bezpieczeństwa nie widać - jak odróŝnić bezpieczny produkt? Wpływ środowiska działania produktu W konkurencji rynkowej liczy się przede wszystkim czas Kwestia wygody uŝytkowników 6 Dlaczego bezpieczeństwa systemu nie otrzymujemy po prostu go kupując (ewentualnie bezpieczeństwo to nie jest na poŝądanym poziomie)? Decydują o tym czynniki ściśle ekonomiczne (i trzeba powiedzieć, Ŝe z tego punktu widzenia dobrze uzasadnione). I tak - bezpieczeństwo produktu nie jest, niestety, jego widoczną na pierwszy rzut oka cechą - odmiennie niŝ np. szybsze działanie czy nowa funkcjonalność. Klient ma problem z odróŝnieniem produktu bezpiecznego od bardziej naraŝonego na atak. Istotny wpływ ma szeroko rozumiane środowisko, w jakim ma działać system. JeŜeli uŝytkownicy systemu nie mają motywacji do stosowania go w sposób bezpieczny, brak jest dodatkowego nacisku na producenta w celu przygotowania systemów z mniejszą liczbą luk. Przeprowadzono badania na temat bezpieczeństwa systemów bankowych w USA i Europie (m. in. Francja, Wlk. Brytania). W USA, jeŝeli bank nie udowodnił klientowi, Ŝe to jego błąd spowodował udany atak (np. nieautoryzowany dostęp do konta) - to właśnie bank ponosił jego koszty. W Europie to klient musiał udowadniać, Ŝe padł ofiarą ataku - jeśli się to nie udało, tracił swoje środki. Stwierdzono, Ŝe systemy bankowe w USA były daleko bezpieczniejsze. Bankowcom zaleŝało na bezpiecznym produkcie i unikaniu strat. To, co liczy się na rynku (szczególnie kiedy mamy do czynienia z ostrą konkurencją), to przede wszystkim czas. Opóźnienie, które wynika z dodatkowych prac nad bezpieczeństwem, moŝe kosztować wyprzedzenie przez konkurencję. Prace te odkłada się na później lub jedynie reaguje na wykryte luki. Istotną przeszkodą jest takŝe kwestia przetargu bezpieczeństwo / wygoda - praktycznie zawsze trudniej uŝywać bezpieczniejszego systemu. Cechuje się on takŝe wyŝszym stopniem skomplikowania. Polski Program Narodowych Badań Nad Bezpieczeństwem - Warszawa,

7 Dlaczego skuteczna obrona moŝe być trudna? Liczba potencjalnych słabych punktów obrońcy muszą zabezpieczyć wszystkie nie zawsze posiadają wystarczające zasoby napastnik musi znaleźć tylko jeden, który nie jest broniony Grafika: Najgroźniejsi napastnicy są świetnie przygotowani Ci mniej groźni mają łatwo dostępne narzędzia 7 Dlaczego jest trudno osiągnąć dobry poziom bezpieczeństwa? Powracając do rozwaŝań dotyczących liczby krytycznych luk bezpieczeństwa w kodzie systemu operacyjnego, zauwaŝmy, Ŝe tak naprawdę naleŝałoby uszczelnić je wszystkie. W praktyce nigdy nie ma wystarczających zasobów do tego celu. Być moŝe uda uszczelnić się 50%, 70% czy nawet 90% luk, ale pozostanie jeszcze 10%. Szansa, Ŝe napastnik znajdzie jedną, jedyną lukę, która została przeoczona przez osoby zabezpieczające system, jest duŝa - nawet jeŝeli atakujący dysponuje wielokrotnie mniejszymi zasobami. Obrona musi działać wszędzie, napastnik moŝe zaatakować jeden dowolny punkt. Nie naleŝy zapominać, Ŝe najgroźniejsi napastnicy są bardzo dobrze przygotowani do swoich zadań. O czymś świadczy fakt, Ŝe wiele osób odsiadujących wyroki za szkody spowodowane przestępczością komputerową niemal natychmiast po opuszczeniu więzienia znajduje pracę w renomowanych firmach sektora IT bądź zakłada własne przedsięwzięcia działające w sektorze zabezpieczeń. Z kolei napastnicy o mniejszych czy nawet szczątkowych umiejętnościach (których jest duŝo więcej) mogą w łatwy sposób uzyskać dostęp do skryptów i narzędzi pozwalających na przeprowadzanie zautomatyzowanych ataków. Na szczęście narzędzia takie (jak i sposoby ochrony przed nimi) są dobrze znane równieŝ specjalistom zajmującym się zabezpieczeniami - w pewnych sytuacjach automatyczne ataki mogą jednak okazać się prawdziwym utrapieniem. Polski Program Narodowych Badań Nad Bezpieczeństwem - Warszawa,

8 Dlaczego bezpieczeństwo jest drogie? Jak juŝ wiadomo, trudno się dobrze bronić... Bezpieczeństwo jest procesem W powaŝnych zastosowaniach wymagana jest dogłębna i specjalistyczna wiedza nieustanne kształcenie, pogoń za nowinkami dostęp do najnowszych technik i narzędzi odpowiedzialność, dyspozycyjność,... Ilość kompetentnych specjalistów nie wystarcza na zaspokojenie popytu 8 Kolejną kwestią związaną z osiągnięciem odpowiedniego poziomu zabezpieczeń jest ich cena (załóŝmy, Ŝe rozpatrujemy system teleinformatyczny przechowujący dane o istotnym znaczeniu). Jest ona wysoka dlatego, Ŝe - jak widzieliśmy - jest trudno dobrze się bronić. Bezpieczeństwo nie jest towarem, który łatwo wyprodukować. Bezpieczeństwo nie jest takŝe stanem, tylko procesem - odpowiedni poziom musi być utrzymany w obliczu ciągle zmieniającego się otoczenia (nowe wersje oprogramowania, nowatorskie techniki ataków itp.). W przypadku systemów przechowujących istotne dane poziom ochrony musi być szczególnie wysoki. Wymaga to zatrudnienia (albo wynajęcia) świetnie wykwalifikowanych specjalistów, którzy po prostu kosztują. Muszą poświęcać wiele czasu na prowadzenie nieustannego wyścigu z napastnikami (nie wystarczy tylko dotrzymywać im kroku, trzeba wyprzedzać techniki i miejsca ataku, jakie mogą dopiero być wykorzystane). Do tego potrzeba najnowszych narzędzi, pomocy naukowych, sprzętu i oprogramowania. W krytycznych sytuacjach specjaliści od zabezpieczeń mogą być zobligowani do pracy nonstop o róŝnych porach doby. Osób takich jest po prostu relatywnie niewiele i z tym wiąŝe się kolejny problem - mogą one nie zaspokoić zwiększającego się z powodu rosnącej liczby systemów do zabezpieczenia popytu na ich usługi. Polski Program Narodowych Badań Nad Bezpieczeństwem - Warszawa,

9 Ekonomia ataku Wzrost znaczenia ekonomicznych aspektów bezpieczeństwa napastnik: dopuszczalny koszt ataku obrońca: wartość posiadanych danych / wielkość strat Infrastruktura jest zagroŝona, gdy: Koszt ataku <= wartość danych Maksymalizując stopień bezpieczeństwa, zwiększamy koszt ataku np. więcej zasobów / dłuŝszy czas potrzebny na złamanie haseł 9 Ostatnimi czasy coraz więcej osób zwraca uwagę na fakt, Ŝe takŝe ekonomiczne (oprócz technicznych) aspekty bezpieczeństwa odgrywają bardzo istotną rolę. Z pewnością takŝe działania po obu stronach barykady są determinowane przez bodźce ekonomiczne. Ze strony napastnika istnieje pewien dopuszczalny limit kosztów, jakie mogą być przeznaczone na przeprowadzenie ataku (zaleŝny np. od wielkości posiadanych zasobów, od kwoty zaoferowanej mu za złamanie zabezpieczeń itp.). ZauwaŜmy, Ŝe moŝe zadziałać tu czynnik niematerialny (napastnik kogoś nie lubi, chce się zemścić lub pokazać ) - jednak obecnie większość ataków ma podłoŝe finansowe. Właściciele systemu muszą sobie odpowiedzieć na pytanie - ile są warte przechowywane przezeń dane, lub teŝ - jak wysokie straty wystąpią, jeśli system zostanie zniszczony? W zaleŝności od odpowiedzi naleŝy przeznaczyć na zabezpieczenie systemu odpowiednio wysokie środki (i co nie mniej waŝne - wykorzystać je w efektywny sposób). Często spotkać moŝna prostą definicję bezpiecznego systemu - jest to taki system, którego koszt pomyślnego zaatakowania jest większy od wartości zgromadzonych na nim danych. Sama definicja jest prosta i skuteczna - choć pozostaje problem oceny wielkości stojących po obu stronach równania. W kaŝdym razie strona zabezpieczająca system, stawiając napastnikowi na drodze do pokonania kolejne przeszkody, zwiększa jego koszty ataku (np. wymuszenie stosowania trudnych haseł w systemie powoduje, Ŝe napastnik potrzebuje więcej czasu lub szybszego komputera do ich złamania). Tym samym rośnie szansa, Ŝe powyŝsza nierówność przyjmie postać niekorzystną dla napastnika i zrezygnuje on z ataków. Polski Program Narodowych Badań Nad Bezpieczeństwem - Warszawa,

10 Podejmujemy środki zaradcze Aspekty techniczne współpraca uŝytkowników i specjalistów świadomość uŝytkowników wypracowanie odpowiednich rozwiązań IT Aspekty ekonomiczne świadomość (decydenci) wypracowanie odpowiedniego modelu środowiska dla tworzonych systemów efektywne wykorzystanie środków 10 NaleŜy postawić pytanie, jakie środki zaradcze naleŝy przedsięwziąć, aby zmienić sytuację rysowaną przewaŝnie w ciemnych barwach. Działania prowadzić trzeba zarówno od strony technicznej, jak i uwzględniając czynniki ekonomiczne. Specjaliści bezpieczeństwa muszą podnosić świadomość uŝytkowników i nakłonić ich do współdziałania, poniewaŝ wysokiego poziomu bezpieczeństwa nie da się osiągnąć środkami Ŝadnej z tych grup osobno. UŜytkownicy teŝ są specjalistami, ale w zakresie swoich dziedzin i nie są w stanie wytworzyć rozwiązań bezpieczeństwa (mogą za to podpowiedzieć, jakiej funkcjonalności związanej z bezpieczeństwem potrzebują). Z kolei specjaliści nie napiszą programu, który ochroni system np. przed atakiem socjotechnika. Muszą oni wskazać uŝytkownikom potrzebę i łatwy sposób stosowania rozwiązań bezpieczeństwa. Wreszcie do zadań specjalistów naleŝy opracowanie tychŝe rozwiązań. W aspekcie ekonomicznym świadomość jest równie waŝna, choć tu powinna być raczej skierowana do osób mających wpływ na podejmowane przez firmę czy organizację wdraŝającą system decyzje. Decydenci muszą dogłębnie rozumieć potrzebę wdroŝenia bezpieczeństwa na odpowiednio wysokim poziomie oraz poznać sposoby na efektywne wykorzystanie przeznaczonych na ten cel środków. Z drugiej strony, powinno zostać wypracowane takie otoczenie systemów informatycznych, które będzie promowało stosowanie produktów charakteryzujących się wysokim poziomem bezpieczeństwa. Polski Program Narodowych Badań Nad Bezpieczeństwem - Warszawa,

11 PPBW - jak specjaliści mogą wspierać uŝytkowników Polska Platforma Bezpieczeństwa Wewnętrznego zintegrowany zestaw narzędzi słuŝących poprawie funkcjonowania instytucji bezpieczeństwa publicznego PCSS: takŝe komponenty bezpieczeństwa Idea PPBW: jest zgodna z tematyką niniejszej konferencji, a takŝe z wytycznymi Komisji Europejskiej w zakresie badań nad bezpieczeństwem pozwala zmniejszyć koszt osiągnięcia wymaganego poziomu bezpieczeństwa dla uŝytkowników docelowych 11 Przykładem dobrej współpracy specjalistów z uŝytkownikami (w tym przypadku z przewagą kontekstu technicznego) moŝe być przedsięwzięcie pod nazwą Polska Platforma Bezpieczeństwa Wewnętrznego. Bierze w nim udział konsorcjum uczelni, firm komercyjnych i organizacji zajmujących się ochroną bezpieczeństwa i porządku publicznego w Polsce: Policji, Sądów czy Prokuratur. Zadaniem jest wytworzenie zintegrowanego zestawu narzędzi, który posłuŝy ułatwieniu funkcjonowania organów ścigania i wymiaru sprawiedliwości. PCSS zgłasza jako jedno ze swoich zadań w ramach prac konsorcjum badania nad komponentami bezpieczeństwa (system detekcji intruzów ze wsparciem mechanizmów automatycznego wnioskowania i bazy wiedzy). Idea Platformy świetnie wpisuje się w nurt tworzenia narodowych programów badań nad bezpieczeństwem. Zakłada się, Ŝe jej wyniki oprócz ściśle funkcjonalnej uŝyteczności zaowocują takŝe przeprowadzeniem szeregu nowatorskich badań badawczo - rozwojowych w sektorze IT. TakŜe Unia Europejska mocno podkreśla konieczność rozwoju narodowych programów badawczych związanych z bezpieczeństwem, postulując ich komplementarność (ale nie duplikację) z analogicznym programem unijnym. WdroŜenie PPBW pomoŝe wspomnianym grupom uŝytkowników docelowych na zmniejszenie kosztu osiągnięcia poziomu bezpieczeństwa wymaganego przez charakter danych, jakie są przechowywane w ich systemach. W tym wypadku poziom ten musi być szczególnie wysoki. Dzięki współpracy na niwie PPBW wzrośnie równieŝ świadomość bezpieczeństwa (zarówno wśród uŝytkowników, jak i decydentów), a takŝe zaistnieje moŝliwość naleŝytego kształtowania środowiska, w którym pracują systemy teleinformatyczne (np. poprzez opracowanie i wdroŝenie odpowiednich rozwiązań prawnych). Polski Program Narodowych Badań Nad Bezpieczeństwem - Warszawa,

12 Podsumowanie Bezpieczeństwo we wszystkich istotnych zastosowaniach jest waŝne......ale w niektórych waŝniejsze zaleŝy to od wartości posiadanych danych Wprawdzie nie moŝna mówić o bezpieczeństwie całkowitym, ale moŝemy tak utrudnić atak, Ŝe nie ma on sensu Bezpieczeństwo jest ciągłym procesem Ekonomiczne aspekty bezpieczeństwa zasługują na wyraźną uwagę Mimo to nie wolno zaniedbać aspektów technicznych bezpieczeństwa (pomoc specjalistów) 12 Krótko podsumowując wystąpienie, naleŝy stwierdzić, Ŝe o bezpieczeństwie nie naleŝy zapominać w Ŝadnym systemie realnie zastosowanym. Istotność bezpieczeństwa jest co prawda odmienna w zaleŝności od przeznaczenia systemu i tego, jakie dane są w nim przechowywane. I choć praktyczne osiągnięcie bezpieczeństwa całkowitego nie jest realne - nie naleŝy się zniechęcać. MoŜna bowiem tak podnieść poprzeczkę napastnikowi, aby środki, jakie musiałby uŝyć na pokonanie zabezpieczeń, były tak duŝe, Ŝe aŝ nieadekwatne do moŝliwych do osiągnięcia korzyści. Trzeba jeszcze przy tym pamiętać, Ŝe raz osiągnięte bezpieczeństwo nie jest niestety stanem permanentnym - zmieniające się otoczenie powoduje konieczność ciągłego weryfikowania szczelności zabezpieczeń. Choć ekonomiczne aspekty bezpieczeństwa zyskały sobie w ostatnich latach sporą uwagę, nie naleŝy takŝe zapominać o kwestiach ściśle technicznych, a takŝe tych leŝących gdzieś pośrodku. Podejmując temat tylko z jednej strony, moŝna wystawić się na atak napastnika, który mógł podejść do tematu bardziej wszechstronnie i znaleźć słaby punkt systemu właśnie w miejscu nie uwzględnionym po drugiej stronie barykady. Polski Program Narodowych Badań Nad Bezpieczeństwem - Warszawa,

13 Więcej informacji Gerard Frankowski, PCSS: PCSS: Zespół Bezpieczeństwa PCSS: PPBW: Economics and Security Resource Page: 13 PowyŜsze dane kontaktowe pozwalają na dostęp do następujących informacji: - adres owy autora prezentacji. Postaram się odpowiedzieć na wszystkie pytania lub przekaŝę je do osoby odpowiedzialnej w ramach PCSS za poruszone przez pytającego zagadnienie, strona internetowa Poznańskiego Centrum Superkomputerowo Sieciowego i jednocześnie poznańskiej sieci miejskiej (POZMAN). Zapraszamy do zapoznania się z zakresem prac prowadzonym w PCSS oraz z oferowanymi przezeń moŝliwościami związanymi z dostępem do światowej pajęczyny, strona internetowa Zespołu Bezpieczeństwa PCSS. Zespół zajmuje się między innymi doradztwem w zakresie zabezpieczeń sieci komputerowych oraz sprawdzaniem stanu zabezpieczeń istniejącej infrastruktury informatycznej. Zakres dostępnych materiałów jest sukcesywnie zwiększany, - strona internetowa Polskiej Platformy Bezpieczeństwa Wewnętrznego. MoŜna znaleźć tam informacje o idei leŝącej u podstaw PPBW, opis konsorcjum, historię działań Platformy czy wreszcie wykaz załoŝeń badawczych, jakich realizacja jest planowana w ramach powiązanych projektów. - strona internetowa zawierająca pokaźny zbiór dokumentów dotyczących ekonomicznych aspektów bezpieczeństwa. Do autorów opracowań naleŝą między innymi Ross Anderson, Andrew Odlyzko, Tyler Moore. Strona i materiały w języku angielskim. Polski Program Narodowych Badań Nad Bezpieczeństwem - Warszawa,

14 Dyskusja Dziękuję za uwagę! :-) 14 Dziękuję za zapoznanie się z przedstawionym materiałem. Mam nadzieję, Ŝe udało mi się przybliŝyć kilka interesujących zagadnień, które - po niezbędnym poszerzeniu wiedzy na ich temat - pomogą Państwu w wyborze, projektowaniu czy uŝywaniu odpowiednio bezpiecznych systemów. Polski Program Narodowych Badań Nad Bezpieczeństwem - Warszawa,