17/04/2014

Czego nauczyła nas luka Heartbleed

Porady

Moja praca nie polega jedynie na analizowaniu szkodliwego oprogramowania i luk czy mówieniu o najnowszych zagrożeniach bezpieczeństwa. W dużej mierze jest to także wyjaśnianie i edukowanie użytkowników, w jaki sposób budować swoją politykę bezpieczeństwa. Do najważniejszych rzeczy, na które kładę nacisk, należą: konieczność tworzenia kopii zapasowych, ochrona przed szkodliwym kodem, regularne aktualizowanie systemu i instalowanie najnowszych łat oraz oczywiście używanie szyfrowania. Jestem pewien, że słyszeliście już o tym nie raz.

Ale co zrobić, gdy oprogramowanie zabezpieczające, którego używamy do zwiększenia bezpieczeństwa, jest dziurawe i umożliwia hakerom przeniknięcie do systemu?

lessons

Ostatnio jest to dość popularny temat dyskusji, szczególnie teraz, gdy publicznie ujawniono atak na OpenSSL, zwany Heartbleed. Zdecydowałem się na napisanie tego postu ze względów osobistych, chociaż wiem, że w Sieci możecie znaleźć tony artykułów na temat SSL i ataku Heartbleed. Chciałbym podzielić się z Wami swoimi osobistymi przemyśleniami, dlaczego tego typu luki są dla nas krytyczne.

Zanim zacznę opowiadać o ataku Heartbleed, muszę zaznaczyć, że obecne nastawienie ludzi do produktów i rozwiązań zabezpieczających jest skrzywione. Zazwyczaj decydujemy się na dany produkt lub rozwiązanie bezpieczeństwa po jego ocenie przez pryzmat oferowanych funkcji i dodatków, a także czy zgadzają się one z tym, co chcemy osiągnąć.

Problem w tym, że mamy tendencję do zapominania o tym wszystkim, czego produkt lub rozwiązanie bezpieczeństwa za nas nie zrobi. Musimy zrozumieć, że te produkty te są jedynie uzupełnieniem naszego zdrowego rozsądku.

Dlaczego o tym mówię w kontekście luki OpenSSL – Heartbleed? Myślę, że wszyscy ogólnie zakładamy, że internet działa i jest bezpieczną platformą. Używamy go do bardzo osobistych rzeczy, randek, zakupów, komunikowania się, zarządzania finansami i wielu innych zastosowań. Jeśli jednak coś pójdzie nie tak, nawet drobna rzecz może w szybkim tempie znacznie przybrać na sile.

Największym problemem jest to, że internet jest bardzo podzielony. Część jego zasobów posiada potężną ochronę i bardzo solidną infrastrukturę, podczas gdy inne ogniwa są bardzo kruche i dziurawe. Mamy także strony, które uważamy za bardzo bezpieczne i silne, a które tracą z powodu ogromnej liczby zależności od systemu. Nie jest możliwe jest zabezpieczenie każdej pojedynczej części naszych systemów IT.

Jeśli jednak coś pójdzie nie tak, nawet drobna rzecz może w szybkim tempie znacznie przybrać na sile.

Podczas korzystania z internetu musimy zakładać wariant najgorszy i działać zgodnie z jego teorią. Niestety często korzystamy z zasobów spoza świata internetu, którym ufamy – systemów medycznych, rządowych i innych; jednak to wszystko i tak używa internetu! I gdy pojawi się coś ważnego, takiego jak luka Heartbleed, może posiadać ogromną moc.

Trudno jest powiedzieć, jak szeroko rozprzestrzeniony jest atak Heartbleed i co się może stać, gdy złoczyńcy zaczną wykorzystywać tę lukę. Ale czy wyobrażasz sobie, że ktoś jest w stanie dorobić klucze do wszystkich skarbców bankowych na całym świecie? Na pierwszy rzut oka brzmi to może nieciekawie, ale przecież to wszystko zależy od tego, co w tych skarbcach jest.

Mam nadzieję, że w przyszłości nie zobaczymy podobnej luki bezpieczeństwa, ponieważ rozpracowywanie tej zajmie nam jakiś czas. Ale musimy pamiętać, że oprogramowanie to tylko oprogramowanie, a w nim zawsze będą luki. Musimy również zrozumieć, że nawet jeśli mamy kopię zapasową, szyfrowanie i ochronę przed szkodliwym kodem, wciąż będziemy posiadać wrażliwe dane – dane, które mogą wyciec. A jeśli tak się stanie, musimy zrobić wszystko, co w naszej mocy, aby były one bezużyteczne dla nowego posiadacza.