Bezbjednosni proizvodi i tehnike na koje se oslanjamo često nas ne čine
onoliko sigurnim koliko mislimo
Kad je IT bezbjednost u pitanju,
FUD princip (fear, uncertanity, doubt) je više od sredstva u rukama prodavaca
da prodaju sljedeći u nizu svojih prehvaljenih proizvoda. To je realnost u kojoj žive iskusni
profesionalci IT bezbjednosti,
zahvaljujući u najvećoj mjeri
nedostacima tradicionalnih pristupa u obezbjeđenju IT sistema i
podataka.
Istina je da proizvodi i tehnike
IT bezbjednosti najčešće ne rade baš onako kako su reklamirani, ostavljajući
nas mnogo izloženijima zlonamjernom kodu nego što smo toga svjesni. To je stoga
što tradicionalni pristup bezbjednosti funkcioniše po principu stalnog
ponavljanja istih obrambenih (reaktivnih) postupaka na pretnje, ostavljajući
nas da čekamo naredni talas inovativnih malvera, koji se uglavnom prvo otkriju
– na Internetu.
Dok ne riješimo taj problem – to
jest dok se ne stvori kritična masa pogođena njime da se odluči da se ide u
rješavanje – mi i dalje zavisimo od sigurnosnih rješenja koja nam ne pružaju
dovoljnu zaštiti imajući u vidu eskalaciju malicioznog softvera i metoda za
kompromitovanje sistema i krađu podataka.
U nastavku je dato 9 najčešćih
proizvoda i tehnika u IT bezbjednosti koje ne čuvaju naš sistem baš u onolikoj
mjeri koliko to mislimo.
Bezbjednosna greška 1.
Antivirusni skener neće otkriti prave ubice mreže.
Tradicionalni sve-u-jednom
antivirus skeneri, onakvi kakve ih danas poznajemo, otkriveni su kasnih
osamdesetih. Prije toga, ukoliko se sumnjalo na neku određenu malicioznu
aplikaciju, pokretao se detekcioni program pravljen isključivo za tu vrstu
virusa. Ukoliko se virus pronađe, tu je bio program za njegovo neutralisanje.
Naravno, to je moglo zadovoljiti potrebe tog
vremena. Mekafijevi ViruScan i VirexPC bili su među prvim
antivirus programima koji su pomerili granicu sa pojedinačnog virusa na “sve
poznate”.
I zaista, ranih devedesetih,
takvi sve-u-jednom antivirus skeneri bili su vrlo pouzdani u pronalaženju
(jednog od desetina tada prisutnih) virusa, crva, Trojnaca. AV industrija je
tako uspješno pronalazila načine za borbu sa malverom, da se čak vjerovalo da
će maliciozni softver biti u potpunosti uništen, odnosno da neće postojati
motivacija da se pravi. Međutim, desilo se suprotno, kako se industrija
kreiranja malicioznog softvera širila, bile su potrebne sve veće i
komplikovanije procedure za njihovo otkrivanje i neutralisanje, i to je
uslovilo da između pojave virusa i odgovora antivirus programa prolazi sve više
vremena. Realnost je da se taj period može
mjeriti danima pa i mjesecima, iako svi živimo u uvjerenju da je zaštita koju
nam pruža naš AV softver tačna i potpuna. Istina je da profesionalni “loši
momci” danas proizvode na hiljade ( ako ne i milione) novih malvera mjesečno,
što je daleko više od onoga što bilo koji AV program može otkriti. To se kosi
sa tvrdnjama proizvođača AV softvera da nude 100% pouzdanost detekcije malvera,
pokazujući brojna priznanja, nagrade, reference. Stvarnost govori drugačije.
Svi smo izloženi novom malveru koji AV programi naprosto nisu u stanju otkriti,
i to nije rijetkost. Neki od vas su sigurno imali iskustva sa postavljanjem
nekog novog malicioznog koda na sajt poput
VirusTotal, pri čemu se vidi
da pojedini virusi, crvi ili Trojanci ostaju neotkriveni danima, pa i
nedjeljama.
Ne treba kriviti prodavce. Budući da je činjenica da postoji više loših
nego legitimnih fajlova na svijetu, antivirus skeniranje je težak posao, a
liste “dobrih” i “loših” fajlova su postale predugačke. U baze se moraju smejstiti milioni “potpisa”
različitih malvera, i načini kako se otkrivaju novi virusi, za koje još ne
postoji izolovan “potpis”, a samo skeniranje se mora raditi tako da ne ometa i
ne usporava rad računara na kom se pokreće.
Internet je zaista zastrašujuće
mjesto za izlazak bez zaštite, ali isto tako, zaštita koju danas dobijamo
prestaje da bude pouzdana garancija.
Bezbjednosna greška 2. Zaštita
koju pruža Firewall je mala
Što se tiče IT bezbjednosti,
Firewall postaje još manje relevantna zaštita od antivirus programa. Zašto?
Zato što većina malicioznih programa radi tako da zavara krajnjeg korisnika da
aktivira maliciozni kod na svom računaru, pri čemu je prethodno prošao Firewall
zaštitu kao legitiman fajl ili njegov dio. Štaviše, loši programi se “provlače”
koristeći portove 80 ili 443 koji su uvijek otvoreni na Firewallu.
Mnogi su zaštićeni sa više
Firewall instanci: prema okruženju, na samoj radnoj stanici pa čak i nivou
filtriranja aplikacija. Ali, ipak izgleda da sva ta tvrđava od pokušaja
host-port izolacije naprosto ne brani kako treba. Izloženi smo i dalje.
Bezbjednosna greška 3. Pečevi
nisu lijek
Dugo godina broj jedan među
bezbjednosnim savjetima je bilo da se samo redovno primjenjuju pečevi. Svaki
softver ima ranjivosti, i pečevi su tu da se one otklone. Uprkos postojanju
desetina peč-menadžment sistema koji obećavaju savršeno ažuriranje, i nekog
razloga izgleda da to nije moguće ostvariti. Često razlog neuspjehu nije peč-menadžment softver već - menadžeri. Oni pečuju samo neke proizvode,
ali često propuštaju da to urade upravo na najpopularnijima, kao što su Java,
Adobe, Flash. Drugi je razlog što to ne rade u preporučenim intervalima, a
često izostane i provjera da li su svi njihovi ljudi primjenili posljednji
lansiran peč, i da li u tom smislu postoji možda neki procenat ranjivih
korisnika.
Čak i u najboljem slučaju,
širenje pečeva na veliki broj korisnika nikad nije momentalno, najčešće traje
danima ili nedjeljama, dok se periodi širenja novih malvera Internetom mjere u
minutima i satima.
Šta je još gore, upadi putem
socijalnog inženjeringa su upravo iskoristili ovaj savjet broj jedan. Zamislite
ovo: Ako sav softver ima nultu ranjivost (tj. nikad ne treba peč, ili je
savršeno pečovan), to bi redukovalo izloženost
malicioznim napadima za barem 10-20% , što su pokazale studije. Kad bi
se riješili napada koji koriste postojanje softvera koji zahtjeva pečeve,
hakerima koji koriste upravo ovu karakteristiku softvera bio bi zaprečen jedan
prilaz za njihove prljave poslove, i morali bi se pomeriti na drugu liniju
napada ( čitaj: socijalni inženjering), što bi opet smanjilo očekivanu redukciju sajber kriminala,
a o čemu se govori u nastavku.
Bezbjednosna greška 4. Edukacija
krajnjih korisnika je ocijenjena – nulom.
U sam osvit personalnih računara
upozoravali smo korisnike da ne pokreću računar ako je disketa u flopi drajvu,
da ne dozvoljavaju pokretanje neočekivanog makroa, da ne klikću na neočekivani
atačment, i na kraju, najnovije, da ne
pokreću nepoznate antivirus programe. Od
početka do danas – to još uvijek ne funkcioniše.
Kad bi politike edukacije
krajnjih korisnika bile uspješne, mi bismo se dosad već odbranili od hakera i
malvera. I ako je suditi po posljednjim
trendovima, svjesnost krajnjih korisnika je gora nego ikad. Upadi putem
socijalnog inženjeringa kojima se obmanjuje krajnji korisnik tako da sam pokrene
maliciozni program ili oda podatak su za sada najveća pretnja. Mnogi krajnji
korisnici spremno dijele svu privatnost putem aplikacija ili javnih socijalnih
portala; rade to bez imalo svijesti o posljedicama, što drastično povećava
izglede da postanu mete i podlegnu socijalnom inženjeringu.
Ljudi koje stoje iza edukacionih programa za krajnje korisnike
mnogo griješe: u njihovim rukama krajnji
korisnici postaju prisiljeni na neželjene, djetinjaste obuke. Edukacije se
sprovode putem opštih, loše organizovanih programa koji često ne sadrže
informacije o najnovijim napadima. Dozvolite pitanje: Ako je sad najčešći način kojim krajnji
korisnik biva napadnut Trojancem lažni antivirus program, da li je vaša
kompanija pokazala svojim zaposlenima kako taj lažni antivirus program izgleda?
Ako nije – zašto nije?
Takav pristup upravo dovodi IT sistem u opasnost. U prosjeku, prođe i po
dvije godine da se konkretan napad nađe kao primjer u obrazovnim programima za
krajnje korisnike, a samo minut je potreban napadaču da pređe na „novu temu“, što nas stavlja u zaostatak od još dvije
godine.
Šta je bolje od edukativnih programa za krajnje korisnike? Sigurniji
softver i bolje difoltne postavke. Umjesto očekivanja da krajnji korisnik
uvijek donese ispravnu odluku bolje je da mi to uradimo za njih. Makro virusi
se neće širiti ako je difoltna postavka da se ne pokreće makro. Atačmenti neće
biti tolika opasnost ako se većina njih blokira, i ako njihovo pokretanje
postane komplikovanije. Automatsko
pokretanje crva sa USB uređaja neće se desiti ako Microsoft postavi kao difolt
da je opcija „autorun“ sa USB priključka onemogućena.
Edukacija krajnjeg korisnika nikad nije kompletan posao, niti se na to
možemo osloniti, jer je potreban samo jedan korisnik i samo jedna akcija da se
zarazi cijela kompanija. Naravno, ne umanjuje se značaj ove prakse. Rizik se
može značajno smanjiti, ali potrebno je sprovoditi bolje edukacije, usmjerene
na konkretne teme i događaje.
Bezbjednosna greška 5. Jake
lozinke vas neće spasiti.
Često ponavljana mantra je:
Kreirajte jaku lozinku, dugačku i kompleksnu, i mijenjajte je često. A šta sa tim što su korisnici poznati po tome
da istu lozinku koriste na mnogim sajtovima i domenima, da često bivaju
prevareni da te “jake” lozinke unose u lažne forme za prijavu, pa čak ih i
šalju mejlom. Šokantna su bila istraživanja ( na više lokacija u više zemalja) koja su pokazala da će veliki broj ljudi dati
svoju lozinku strancu na ulici, za neveliku novčanu nadoknadu. Brojni su korisnici koji o svojim lozinkama vode mnogo
manje računa nego što je očekivano.
Veći problem je što ni hakeri ne
brinu pretjerano. Oni prevare korisnika Trojancem, uzmu administratorska prava,
pokupe heševe za lozinke i koriste ih. Kad se jednom ima heš za lozinku to je
to, isti je i isto se ponaša za “slabe” i “jake” lozinke.
Bezbjednosna greška 6. Sistem
detekcije upada (IDS) ne može da utvrdi namjeru
IDS su vrsta bezbjednosne
tehnologije kojoj želimo da vjerujemo.
Definiše se gomila “potpisa” za napade, i ako IDS detektuje neki od tih
stringova ili tipova ponašanja na mreži, proaktivno nas obavještava o tome, ili
čak zaustavlja “napad”. Ali, kao i većina tehnologija i tehnika ovdje opisanih,
jednostavno ne radi tako kao što se reklamira.
Prvo, ne postoji način da se
obezbjede validni potpisi svih napada koji
mogu biti potencijalno opasni za vašu kompaniju. Najbolji IDS mogu imati stotine potpisa dok će vaš
sistem će gađati desetine hiljada napada, a toliko potpisa ne može da se
smjesti u IDS, jer bi takav monitoring toliko usporio saobraćaj, da ne bi bilo
vrijedno truda. Nadalje IDS uvijek imaju mnogo lažnih prijava, da se na kraju
tretiraju poput firewall logova – ostaju zanemareni i nepročitani.
Ali pravi krah IDS doživljava
zbog činjenice da mnogi loši momci upadaju upravo legitimnim načinima pristupa.
Jer, nijedan IDS ne može razlikovati da li je direktor uputio zahtjev za
podacima finansijskoj bazi, ili je to uradio napadač koristeći direktorov
računar odnosno prava pristupa. To je smisao – IDS ne može da utvrdi namjeru,
niti je moguće da se izda upozorenje za akciju koja po parametrima prolazi kao
normalan, operativni posao.
Bezbjednosna greška 7. PKI je
oštećen
PKI je u svakom smislu
matematički lijep izum. U poslovnim sistemima konstantno se instalira i unapređuje
mnogo ovakvih infrastruktura. Problem je u tome što su mnogi od njih loše
konfigurisani, žalosno nesigurni, i često ignorisani, čak i kad u javnom
sektoru funkcionišu “besprekorno”. U
posljednje dvije godine nekoliko javnih certifikacionih tijela su užasno hakovani. Hakerima je dozvoljeno da
pristupe njihovim potpisanim ključevima, koji su trebali biti zaštićeni mnogo
jače nego i jedna druga informacija, i da izdaju nove lažne ključeve drugim
hakerima i moguće, zainteresovanim
vladama.
Ali, čak i kad je PKI savršen,
jak i nehakovan – ljude to ne zanima. Mnogi krajnji korisnici, kad dobiju
upozorenje da se postojećem digitalnom sertifikatu ne može vjerovati, jedva
čekaju da kliknu na “Ignore”. Srećni su kad uspiju da mimoiđu bezbjednosnu neprijatnost,
i nastave da uživaju u svom sajber životu.
Dio problema je i u tome što su
sajtovi i programi koji koriste digitalne sertifikate zapravo nezainteresovani
za njih, što za posljedicu ima da su poruke o grešci sertifikata postale
svakodnevna pojava. Tako oni korisnici koji ne žele da ignorišu ovakve poruke,
bivaju uskraćeni za veliki segment onlajn života, uključujući ponekad čak i
udaljeni pristup vlastitom poslu.
Prodavci pretraživača , ukoliko
bi strogo primjenjivali politiku sertifikata, i onemogućavali prikazivanje
nesertifikovanih sajtova mogu samo da – izgube korisnike. Potrošač će naprosto odabrati pretraživač
koji će ga “pustiti da živi”. Zaključak : Oštećen PKI sistem se olako ignoriše,
i mase uopšte ne mare za to.
Bezbjednosna greška 8. Vaši uređaji su san napadača.
Glavna prednost IT uređaja (appliances) –
povećana bezbjednost - nije se pokazala.
Sa manje izloženim OS ( obično zaključani Linux ili BSD), uređaji
obećavaju manju izloženost napadima nego što su to računarske konfiguracije sa
tradicionalnim OS. Ipak, to ne znači da
nisu izloženi. Uređaji su zapravo operativni sistemi na zatvorenim diskovima
ili sistemski softver, i upravo takav dizajn ih čini težim za primjenu pečeva.
Na primjer, jedno nedavno
testiranje 100 američkih kompanija pokazalo je da je svaki od nekoliko stotina
bežičnih mrežnih kontrolera nepečovani Apache
sa pokrenutim OpenSSH servisom. To oboje dozvoljava hakerima da preko javne
bežične mreže pristupe internim kompanijskim mrežama kao admin. Njihovi IDS i
Firewall uređaji sadržavali su skriptove davno ispoljenih ranjivosti i smiješnu
autentifikaciju. Mejl servis je pokretao nesigurni FTP servis koji je
dozvoljavao anonimne aploade.
Ovo nisu neobična otkrića.
Uređaji često sadrže isto toliko ranjivosti koliko i njihovi softverski
pandani, njih je samo teže nadograđivati i pečovati, i najčešće se to i ne
radi. I umjesto da budu sredstva snažne odbrane, oni postaju san napadača. Zato se u okruženjima sa puno uređaja
preporučuje redovno penetraciono testiranje.
Bezbjednosna greška 9. Izolovana
okruženja (sandboxes) su prav put ka osnovnom sistemu
Da li uzdahnuti svaki put kad se
najavi novi bezbjednosni sandbox? Ovakva izolovana okruženja zamišljena su da
spriječe upade, ili ih barem značajno otežaju. U stvarnosti, dešava se da svaki
novi bezbjednosni sandbox upravo privuče pažnju hakera. Najveća sigurna okruženja danas predstavili
su Java i Google Chrome, i oboje su
iskusili preko 100 upada koji su oštetili sandbox i dozvolili direktan upad u
osnovni sistem.
Ipak, to ne zaustavlja sanjare
koji maštaju o tome da pronađu sigurno okruženje koje će zaustaviti sve napade,
i ukinuti maliciozne napade zauvijek.
Nažalost, veliki dio kompjuterske
bezbjednosti danas je više performans o sigurnosti nego sigurnost sama. Vaš
posao je da između milijardu solucija izaberete one koje će zaista smanjiti vaš
rizik. Bezbjednosne prakse koje su ovdje nabrojane nisu bezvrijedne, ali su
naprosto previše nahvaljene. Kako to znamo? Pa zato što je svaka od njih implementirana,
a hakovanje i upadi su popularniji nego ikad. Ne možemo zanemariti činjenice.
