black hat
W swojej mowie otwierającej konferencję Black Hat 2017 Alex Stamos, dyrektor ds. bezpieczeństwa pracujący dla Facebooka, poruszył temat zapobiegania realnym szkodom i skłonności do kompromisów — czyli kwestie, które dotyczą każdego specjalisty ds. IT. Trzeba przyznać, że wie, co mówi: jego ludzie chronią naprawdę skomplikowany system IT oraz dane należące do 2 miliardów użytkowników.
Według Stamosa branża zabezpieczeń wciąż cierpi z powodu kilku problemów typowych dla wieku nastoletniego, a największym z nich jest nihilizm. Specjaliści wolą skupić się na „nietypowych”, technicznie skomplikowanych problemach i lukach w bezpieczeństwie, a nie na tych, które mogą spowodować prawdziwe szkody i stanowią zagrożenie dla wielu ludzi. Specjaliści ci mają także tendencję do nieakceptowania żadnych kompromisów, a bezpieczeństwo informacji jest ich jedynym celem. Jednocześnie zakładają oni, że każda osoba będzie ofiarą najstraszliwszych ataków przeprowadzonych przez najbardziej niebezpiecznych twórców zagrożeń.
Jednym z najlepszych przykładów podanych przez Stamosa był rzekomy backdoor w aplikacji WhatsApp. Aby zapewnić miliardom użytkowników tej aplikacji bezpieczne połączenie, zespół projektowy wpadł na całkiem przyzwoity pomysł, jak poinformować uczestników rozmowy, że jedna z osób otrzymała właśnie nowy klucz szyfrowania: w czacie pojawia się dodatkowe powiadomienie, a uczestnicy rozmowy nie muszą podejmować żadnych dodatkowych działań.
Nihiliści bezpieczeństwa informacji założyli, że ten backdoor został utworzony dla służb specjalnych, aby mogli oni uzyskiwać dostęp do rozmów i historii konwersacji. Jednak cel był zgoła inny — rozwiązanie to umożliwiało ludziom kontynuowanie rozmowy w sytuacji, gdy jedna osoba zmieniła smartfona lub przeinstalowała WhatsAppa. W ten sposób jest on używany przez znacznie więcej ludzi, nie tylko przez siły specjalne.
Przykład z aplikacją WhatsApp łączy wszystkie aspekty związane z nihilizmem: wszyscy użytkownicy mają analizować system szyfrowania i porównywać klucze szyfrowania z partnerami rozmowy, a każdy z użytkowników będzie dokładnie obserwowany przez służby specjalne, które z pewnością będą mieć wgląd w ruch internetowy dzięki skomplikowanemu atakowi man-in-the-middle. Paranoja wyszła poza skalę.
Gdy uwaga specjalistów jest zwrócona na najbardziej złożone ataki i zastosowanie najbardziej pracochłonnych środków zabezpieczających, nie dostrzegają oni problemów, które stwarzają rzeczywiste zagrożenie. W zaprezentowanym przez Stamosa wykresie „piramidy zagrożeń” na szczycie można było dostrzec słabo widoczny punkt odzwierciedlający luki dnia zerowego i złożone ataki sponsorowane przez rząd. Pozostałą część piramidy zajmowały problemy „przyziemne”: związane z hasłami i kradzieżą danych osobowych (w tym danych bankowych), phishingiem, zagrożeniami finansowymi i socjotechniką.
Stamos zasugerował, aby podczas rozwiązywania problemów nie bać się kompromisów. Jeśli produkt nie jest doskonały lub jest skuteczny tylko częściowo, lecz użyje go 10 razy więcej osób, jest on znacznie lepszy niż ten, które ochroni zaledwie garstkę najbardziej zaawansowanych użytkowników, pozostawiając resztę bez ochrony.
Wielkie umysły myślą podobnie, dlatego w Kaspersky Lab stosowaliśmy tę zasadę jeszcze przed wystąpieniem Stamosa. Dzięki naszemu darmowemu antywirusowi Kaspersky Free, który został udostępniony niedawno (polska wersja pojawi się w październiku), każda osoba może korzystać z wysokiej jakości ochrony przed phishingiem, trojanami bankowymi i innymi „nudnymi” zagrożeniami. Dodatkowo nasz inny produkt, Kaspersky Internet Security for Android, który także jest za darmo, chroni miliard użytkowników, którzy w ciągu najbliższych 10 lat staną się częścią populacji internetu i będą używać głównie urządzeń mobilnych.
Porady