Bezpieczeństwo

Bezpieczeństwo coraz mniej niszowe

Bezpieczeństwo coraz mniej niszowe

Rozmowa z Guillaume Lovet, menedżerem ds. badań w laboratoriach Fortinet w Sophia-Antipolis we Francji. Dyskutujemy o zagrożeniach z perspektywy stojącego za nimi rynku wartego wiele miliardów dolarów rocznie, omawiamy współczesne metody płatności i leżące u ich podstaw techniki szyfrowania, rozmawiamy o urządzeniach elektronicznych stanowiących coraz częściej realne zagrożenie dla biznesu, a także o systematycznym zarządzaniu bezpieczeństwem w kontekście rodzącego się na naszych oczach Internetu Rzeczy.

 
Ciągle słychać, że hakerzy osiągają ogromne korzyści finansowe ze swojego procederu… prawda to?

W ujęciu globalnym to naprawdę duże kwoty. Roczna wartość tego rynku szybkim krokiem zbliża się do 100 mld dolarów, przy czym mówimy tu tylko o bezpośrednich stratach finansowych tj. włamaniach na konta bakowe, kradzieżach numerów kart kredytowych itp. Jeśli doliczyć do tego kradzież własności intelektualnej, piractwo komputerowe, podróbki i inne obszary, zbliżamy się do 600 mld dolarów.

Kim są ludzie, którzy za tym stoją i jak konkretnie wyglądają ich metody zarobkowania?

Ci ludzie występują w wielu rolach. Każdy z nich ma swoją specjalizację i odpowiada za pewien fragment łańcucha powiązań kryminalnych. Są ludzie tworzący narzędzia hakerskie, są ci, którzy używają ich do włamań na konta bankowe, a nawet tacy, którzy specjalizują się w czyszczeniu tych kont w taki sposób, by nikt się nie zorientował, np. przez zakupy w Internecie. Mało tego, są nawet ludzie, zwani mułami, którzy trudnią się odbieraniem zakupionych w nielegalny sposób towarów pod adresami, które są uważane za bezpieczne z punktu widzenia e-handlu, zwykle gdzieś w Europie Zachodniej. Później wysyłają je do jeszcze innych osób, które z kolei zajmują się sprzedażą tych towarów na EBAY-u albo innymi kanałami. Na konta bankowe mułów w Europie Zachodniej i w USA wpływają także pieniądze z kont bankowych, na które włamali się wcześniej hakerzy. Środki są wypłacane w bankomatach i przekazywane w gotówce e-kryminalistom na Wschodzie.

To co Pan opisuje to istny przemysł. Czy może Pan omówić szerzej narzędzia i metody wykorzystywane do przejmowania kontroli nad kontami bankowymi i innymi instrumentami finansowymi?

Część rynku kryminalnego związana bezpośrednio z hakerstwem również jest bardzo różnorodna. Są hakerzy-badacze, którzy poszukują luk w powszechnie używanym oprogramowaniu i usługach internetowych oraz tacy, którzy skupują informacje na ten temat. Inni tworzą zautomatyzowane narzędzia umożliwiające wykorzystanie za jednym razem wielu różnych luk, zarówno tych znanych od dawna, jak i tych niedawno odkrytych. Te narzędzia są bardzo zaawansowane, a wizualnie przypominają narzędzia CRM do zarządzania kampaniami marketingowymi. Mają graficzny interfejs użytkownika, rozwijane menu, listy opcji i inne funkcje, które można znaleźć w dziedzinowych aplikacjach biznesowych. To o tyle ważne, że te narzędzia można później przekazać osobom niemającym dogłębnej wiedzy na temat bezpieczeństwa, ale godzących się na ryzyko wynikające z ‘bycia hakerem’ w zamian za udział w zyskach. Dzięki nim, prawdziwi hakerzy są relatywnie bezpieczni.


„Są ludzie tworzący narzędzia hakerskie, są ci, którzy używają ich do włamań na konta bankowe, a nawet tacy, którzy specjalizują się w czyszczeniu tych kont w taki sposób, by nikt się nie zorientował, np. przez zakupy w Internecie. Mało tego, są nawet ludzie, zwani mułami, którzy trudnią się odbieraniem zakupionych w nielegalny sposób towarów pod adresami, które są uważane za bezpieczne z punktu widzenia e-handlu (…) Są hakerzy-badacze, którzy poszukują luk w powszechnie używanym oprogramowaniu i usługach internetowych oraz tacy, którzy skupują informacje na ten temat. Inni tworzą zautomatyzowane narzędzia umożliwiające wykorzystanie za jednym razem wielu różnych luk”

Guillaume Lovet


W jaki sposób można by ograniczyć ten rynek usług kryminalnych? Czy lepiej było by zająć się deweloperami narzędzi hakerskich, czy też może zacząć od tych, którzy te narzędzia wykorzystują do włamania na konta bankowe? Jedni z pewnością potrzebują drugich, i odwrotnie…

Dopóki główni sprawcy przebywają w krajach poza zasięgiem międzynarodowej jurysdykcji, np. w Rosji, na Ukrainie czy w krajach Azji Centralnej, skuteczność prób położenia kresu temu procederowi będzie raczej mała. Kluczowe grupy hakerskie – ci, którzy wyszukują luki w oprogramowaniu i tworzą eksploity są pod ochroną szerszych organizacji przestępczych, dla których włamania informatyczne to tylko jedna z wielu odnóg biznesu. Oprócz tego mają jeszcze przecież narkotyki, wymuszenia, kradzieże tradycyjne, przemyt itd. Z drugiej strony, aby cała sieć przynosiła zysk, potrzebują przedstawicieli na Zachodzie, i jest to jakaś wskazówka. Ale, znów, krajobraz bezustannie zmienia się. Ostatnio sieci przestępcze coraz częściej zastępują lokalnych przedstawicieli swoimi ‘wysłannikami’, co utrudnia przeniknięcie do sieci. Poza tym, po tym gdy amerykańskiemu FBI udało się przyciągnąć karderów na założone przez Biuro forum kartowe, przestępcy stali się ostrożniejsi. Również operatorzy usług finansowych stają się sprawniejsi w wykrywaniu i zapobieganiu ‘przekrętom’ i praniu brudnych pieniędzy. Poprawia się także jakoś zabezpieczeń informatycznych oraz mechanizmów kontrolnych wbudowanych w systemy obsługujące poszczególne produkty finansowe.

Ma Pan na myśli nowe standardy płatności wprowadzane przez Visa i MasterCard? Osobiście wątpię, czy są bardziej bezpieczne. Na przykład współczesne metody płatności oparte na telefonach komórkowych w praktyce niwelują dwuczynnikowe uwierzytelnienie. Mógłby Pan to skomentować?

Wszystko zależy od tego, jak definiujemy bezpieczeństwo. Karta kredytowa to w sumie ciąg cyfr, który można bardzo łatwo skopiować bez zgody właściciela. Na tej słabości zbudowany został cały przemysł kryminalny, o którym właśnie rozmawiamy. Nowe systemy wprowadzają nowy poziom złożoności.

Ale to nie zmienia faktu, że samartfon podłączony do Internetu w trybie ciągłym staje się de facto terminalem płatniczym… co w szerszym kontekście nie jest dobrym kierunkiem. Jeśli chodzi o kryptografię, lepsze rozwiązania zawsze są mile widziane. W praktyce nie liczy się jednak pojedynczy algorytm, ani nawet szyfr jako całość, ale jego implementacja i środowisko, w którym jest uruchamiana.

To prawda, ale nic nie jest w pełni doskonałe. To ciągły wyścig. Te obawy można by pociągnąć dalej i powiedzieć, że cały czas istnieje ryzyko, że kryptografia, na której opiera się współczesne bezpieczeństwo informatyczne, może zostać złamana w każdej chwili. Wszystkie zainteresowane strony inwestują jednak dużo czasu i środków, aby znaleźć coraz większe liczby pierwsze. Choć w praktyce jest to nieco bardziej skomplikowane, przemnożenie dwóch takich liczb daje klucz publiczny, a ich złożenie – klucz prywatny. Nie da się tych liczb odgadnąć na podstawie wyniku mnożenia, ale z pewnością da się ich poszukiwać używając obliczeń równoległych. Jeżeli potencjalną nagrodą jest dostęp do konta bankowego bardzo bogatej osoby, nawet bardzo duże wydatki na poszukiwania mogą być opłacalne.

Mówimy tu o dużych ‘trafieniach’. Aby włamać się na czyjeś konto trzeba jednak zacząć od małych rzeczy i poruszać się ku coraz bardziej wartościowym celom. Czy nie jest tak, że często zaczyna się od czegoś, co ludzie uważają za sprzęt, który obecnie zawsze posiada jakąś formę oprogramowania, np. drukarka, myszka itp. Większość tzw. systemów wbudowanych jest zabezpieczonych słabo, jeśli w ogóle…

Zgadza się. Nie tak dawno uczestniczyłem konkursie dla etycznych hakerów, podczas którego trzeba było włamać się do typowego domu i wejść do niego bez użycia kluczy. Dom miał zainstalowane kamery wideo z łącznością po Wi-Fi. Okazało się, że przełamanie ich zabezpieczeń było trywialne. Gdy już byłem w domowej sieci Wi-Fi, było w sumie po zabawie. Po pierwsze, mając dostęp do kamer można obejrzeć cały dom, więc wejście niezauważonym jest dużo łatwiejsze. A jeśli zamek podłączony jest do sieci w jakikolwiek sposób, dostanie się do środka jest tylko kwestią czasu. Generalnie, kamery z Wi-Fi są łatwymi celami, wręcz idealnymi punktami startu. Nawet nie wchodząc do domu, można osiągnąć korzyści. Gdy kontroluje się kamery, można dostać się do innych podłączonych urządzeń – telewizora, dekodera telewizji kablowej, drukarki, dysku sieciowego itp. Od komputera czy smartfona dzieli nas wtedy tylko jeden skok. A jeśli nasłuchuje się ruch sieciowy dostatecznie długo, można w końcu dowiedzieć się wszystkiego.


„Nie tak dawno uczestniczyłem konkursie dla etycznych hakerów, podczas którego trzeba było włamać się do typowego domu i wejść do niego bez użycia kluczy. Dom miał zainstalowane kamery wideo z łącznością po Wi-Fi. Okazało się, że przełamanie ich zabezpieczeń było trywialne. Gdy już byłem w domowej sieci Wi-Fi, było w sumie po zabawie. Po pierwsze, mając dostęp do kamer można obejrzeć cały dom, więc wejście niezauważonym jest dużo łatwiejsze. A jeśli zamek podłączony jest do sieci w jakikolwiek sposób, dostanie się do środka jest tylko kwestią czasu. Generalnie, kamery z Wi-Fi są łatwymi celami, wręcz idealnymi punktami startu”

Guillaume Lovet


Dlaczego hakowanie domowych urządzeń jest taki łatwe? Można by spodziewać się, że producenci zaczęli traktować bezpieczeństwo poważnie. Czy chodzi o koszty?

Głównym powodem jest to, że urządzenia są projektowane i produkowane jako gadżety o krótkim cyklu życia. Producenci spodziewają się, że bieżące urządzenia będą wkrótce zastąpione nowymi modelami, więc ich zabezpieczenia nie są projektowane z myślą o długofalowym użytkowaniu. Mają wystarczyć w okresie przewidywanego cyklu życia urządzenia, ale faktyczny cykl życia bywa znacznie dłuższy, niż przewidywany. Czas biegnie szybko i niejednokrotnie zabezpieczenia firmware czy systemu operacyjnego stają się niewystarczające nawet zanim nastanie przewidywany koniec życia produktu. W wielu przypadkach prosta metoda aktualizacji zabezpieczeń w ogóle nie jest dostępna, w każdym razie nie da się tego zrobić bez posiadania zacięcia do takich rzeczy. Czasem w ogóle nie ma takiej możliwości, a gdy nawet jest, użytkownicy i tak jej nie wykorzystają, ponieważ nie rozumieją jak to wszystko działa albo boją się, że namieszają w konfiguracji. To był powód, dla którego mogłem włamać się do kamer – to były produkty sprzed dwóch lat i tyle samo miał ich firmware. W dziedzinie bezpieczeństwa dwa lata to bardzo dużo czasu.

Brzmi to bardzo alarmująco. To oznacza, że nie powinniśmy kupować urządzeń, którym producent nie zapewnia prostej metody aktualizacji oprogramowania. Jeszcze gorzej to wygląda, jeśli wizja Internetu Rzeczy miała by zmaterializować się za jakiś czas. To będzie duży problem…

Problemem nie jest tylko świadomość, ale także łatwość użytkowania urządzeń. Zawsze, gdy bezpieczeństwo wchodzi w drogę łatwości użytkowania, funkcje bezpieczeństwa są wyłączane. W związku z tym chciałbym wreszcie zobaczyć urządzenia, które nie wymagają manualnej aktualizacji, lecz aktualizują się same. To jedyne sensowne rozwiązanie. Zmuszanie użytkowników do zarządzania bezpieczeństwem prowadzi na manowce…

…Zwłaszcza, że wielu użytkowników nie wie, że kupuje produkt zawierający w sobie oprogramowanie, którym trzeba się zajmować. Sądzą, że urządzenie będzie działać tak, jak w reklamie…

Dokładnie…


„Producenci spodziewają się, że bieżące urządzenia będą wkrótce zastąpione nowymi modelami, więc ich zabezpieczenia nie są projektowane z myślą o długofalowym użytkowaniu. Mają wystarczyć w okresie przewidywanego cyklu życia urządzenia, ale faktyczny cykl życia bywa znacznie dłuższy, niż przewidywany. Czas biegnie szybko i niejednokrotnie zabezpieczenia firmware czy systemu operacyjnego stają się niewystarczające nawet zanim nastanie przewidywany koniec życia produktu. W wielu przypadkach prosta metoda aktualizacji zabezpieczeń w ogóle nie jest dostępna, w każdym razie nie da się tego zrobić bez posiadania zacięcia do takich rzeczy”

Guillaume Lovet


Skoro tak, to jeśli z użytkownika będziemy chcieli na siłę zrobić administratora bezpieczeństwa obietnice związane z Internetem Rzeczy przestają być takie atrakcyjne. Z drugiej strony, wyobrażam sobie, że da się stworzyć aplikację lub usługę internetową, za pomocą której można by zarządzać urządzeniami domowymi, włączając w to bezpieczeństwo.

Scentralizowane zarządzanie bezpieczeństwem jest koniecznością i musi zostać poddane standaryzacji. Uważam, że bezpieczeństwo powinno być bardzo mocną częścią standardu, który, mam nadzieję, w końcu powstanie. Jeśli chodzi o zarządzanie bezpieczeństwem, niezależnie od mechanizmu, o którym Pan przed chwilą powiedział, automatyzacja i tak jest kluczowa. Jedyną forma interakcji z użytkownikiem powinno być uzyskanie zgody na zastosowanie aktualizacji. Bezpieczeństwo musi działać w modelu plug and play.

Guillaume Lovet, Fortinet
Guillaume Lovet