14/07/2015

Witalij Kamliuk odpowiada na pytania związane ze szkodliwym oprogramowaniem i kwestiami bezpieczeństwa

Informacje Zagrożenia

Witalij Kamliuk posiada ponad 10 lat doświadczenia w branży bezpieczeństwa IT i obecnie jest głównym badaczem ds. bezpieczeństwa w Kaspersky Lab. Specjalizuje się w inżynierii wstecznej szkodliwego oprogramowania, informatyce śledczej oraz w prowadzeniu dochodzeń w związku z cyberprzestępstwami. Obecnie Witalij mieszka w Singapurze. Jako członek Digital Forensics Lab pracuje wspólnie z Interpolem, analizując szkodliwe oprogramowanie i pomagając w śledztwach.

ask-expert-ad2-square

Zachęciliśmy naszych czytelników do zadania Witalijowi pytań. Było ich tyle, że musieliśmy podzielić je na kilka części. Dzisiaj Witalij odpowie na pytania ogólnie związane z problemami bezpieczeństwa i możliwych rozwiązaniach.

Czy możliwe jest stworzenie systemu odpornego na szkodliwe oprogramowanie?

Wprawdzie jest to możliwe, ale bardzo prawdopodobne, że nie byłoby na nim Facebooka. Obawiam się, że jesteśmy tak przyzwyczajeni do systemów, które można łatwo zaktualizować i rozszerzyć, że trudno byłoby zaakceptować coś skrajnie odmiennego, nawet jeśli zapewniałoby doskonałą ochronę. Innymi słowy: taki system nie byłby lubiany.

Które miejsca są najbardziej podatne na cyberataki i jak one działają?

Moi koledzy zwykli żartować, że najbardziej dziurawy element znajduje się pomiędzy ekranem monitora a krzesłem. Wiele skutecznych ataków odbyło się dzięki zabiegom socjotechnicznym: dając szkodliwym użytkownikom otwarty dostęp do atakowanych systemów, gdy tylko zapragną. To smutna statystyczna prawda.

pshis

Jakie są zagrożenia związane ze stosowaniem w firmach polityki BYOD (Bring Your Own Device, przynieś swoje własne urządzenie)? Jakie rozwiązania pomagają ich unikać?

Zależy, co masz na myśli, mówiąc polityka BYOD: wprowadzenie ograniczeń czy niższych uprawnień. Z jednej strony można myśleć, że ograniczenie używania urządzeń zewnętrznych nie niesie ze sobą żadnych niebezpieczeństw. Jest jednak coś, o czym warto pamiętać – frustracja pracowników, którzy mogą się czuć niezadowoleni z ograniczenia ich środowiska pracy. A część z nich może niestety potraktować taką sytuację jako wyzwanie.

Aby tego uniknąć, upewnij się, że Twoje  środowisko pracy jest wygodne, szybkie, nowoczesne i przyjemne w użyciu. Wyjaśnij, że korzystanie z urządzeń zewnętrznych nie jest dozwolone ze względu na wysokie standardy bezpieczeństwa w Twojej firmie. Niech to zostanie powiedziane w sposób czytelny, aby pracownikom łatwiej było zaakceptować takie podejście. Spraw, by poparli tę strategię, a nie cierpieli z jej powodu.

Jak pogodzić przystępność systemu z jego cyberbezpieczeństwem?

Każdy system znajduje się gdzieś pośrodku drogi między całkowitym bezpieczeństwem a nieograniczoną wolnością. Im bliżej absolutnego bezpieczeństwa, tym mniej funkcji posiada Twój system.

Każdy system znajduje się gdzieś pośrodku drogi między całkowitym bezpieczeństwem a nieograniczoną wolnością (wolę nazywać to elastycznością). Im bliżej absolutnego bezpieczeństwa, tym mniej funkcji posiada Twój system.

Jeśli zmierzasz w kierunku całkowitego bezpieczeństwa, bardzo prawdopodobne, że stracisz swoich użytkowników, ponieważ mogą oni nie być gotowi na utratę dostępu do używanych funkcji. Z drugiej strony bez względu na to, co zrobisz, ludzie przyzwyczają się do wszystkiego. Zatem jeśli planujesz osiągnąć punkt, w którym bezpieczeństwo jest stuprocentowe, lepiej rób to stopniowo i delikatnie, aby nie zafundować użytkownikom szoku.

Czy wciąż istnieją jakieś ukryte kanały w internecie?

Zależy, co masz na myśli, pisząc ukryte kanały. Można przesłać jakąś informację w sposób zawoalowany, używając do tego celu protokołu, który nie jest rozpoznawalny przez większość narzędzi i metod analitycznych. Na przykład ktoś może użyć filmu w serwisie YouTube do przesłania zaszyfrowanych bitów pod postacią widocznych danych. Jest jeszcze wiele innych możliwości, a ograniczyć je może tylko Twoja wyobraźnia.

Czy Facebook faktycznie szpieguje użytkowników?

Facebook szpieguje użytkowników nie bardziej niż użytkownicy szpiegują siebie nawzajem. Takie jest moje zdanie.

Jaki jest najlepszy sposób, aby zabezpieczyć swoje konto na Facebooku i pocztę e-mail?

W zwiększeniu swojego bezpieczeństwa może pomóc kilka prostych reguł:

  1. Do wszystkich swoich zasobów używaj silnych i unikatowych haseł.
  2. Nie używaj prostych pytań i oczywistych odpowiedzi w mechanizmie przywracania haseł.
  3. Login i hasło wprowadzaj jedynie na swoim własnym komputerze, unikaj komputerów znajomych, a tym bardziej tych publicznie dostępnych.
  4. Używaj rzetelnego oprogramowania bezpieczeństwa, które pomoże zapobiegać kradzieży haseł.

Czy rządy posiadają specjalne systemy do nagrywania rozmów telefonicznych, czy robią to firmy telekomunikacyjne?

Nie reprezentuję żadnego rządu ani jego części. Jednak moim zdaniem rządy raczej wolą zlecić takie zadanie niż nauczyć się niestandardowych protokołów, utrzymywać duże magazyny danych i stosować skuteczne silniki wyszukiwania. Mam nadzieję, że udzieliłem odpowiedzi na Twoje pytanie.

Jakiś czas temu firma Kaspersky Lab wykryła w oprogramowaniu dysków twardych implant cyberszpiegowski. Jeśli pracuję daleko od Waszej firmy, jak mogę sprawdzić firmowe urządzenia do przechowywania danych? Jak ten implant dostał się do oprogramowania i czy mogę przed nim ochronić swoje urządzenia?

Tak, nasza firma opublikowała artykuł o szkodliwych implantach mających na celu modyfikowanie oprogramowania dysków twardych ofiar. Obawiam się, że nawet jeśli mieszkasz w pobliżu naszego biura, nie rozwiąże to problemu. Obecnie prawie niemożliwe jest sprawdzenie oprogramowania dysku twardego pod kątem infekcji wirusem.

malware

Większość dysków posiada funkcje zapisu do obszaru oprogramowania systemowego, jednak nie istnieją metody pozwalające na odczytywanie go.

Jednak sytuacja nie jest taka zła, jak to się może wydawać. Stworzenie stabilnych modyfikacji oprogramowania nie jest ani tanie, ani łatwe, dlatego w najbliższej przyszłości nie zobaczymy podobnego ataku na skalę masową.

Jak byś zareagował, jeśli byś podejrzewał, że Twój komputer jest zainfekowany lub doszło do wycieku?

Przede wszystkim muszę powiedzieć, że dobrze jest mieć podejrzenia, ale należy unikać obsesji. Aby sprawdzić, czy jesteś zarażony szkodliwym oprogramowaniem:

  1. Przeskanuj swój system rzetelnym rozwiązaniem antywirusowym — pozwoli to zaoszczędzić Ci wiele czasu. Pamiętaj jednak, że automatycznie skanowanie nie daje 100% wiarygodności, więc bądź czujny.
  2. Sprawdź listę procesów pod kątem podejrzanych i niechcianych gości. Według mnie użytkownicy powinni znać wszystkie procesy działające w ich systemie na pamięć.
  3. Sprawdź listę programów uruchamianych automatycznie. Możesz pobrać darmową aplikację dla systemu Windows – Sysinternals Autoruns.
  4. W ostateczności możesz połączyć swój komputer z innym (połączonym z internetem) oraz rejestrować cały ruch sieciowy, który przez niego przechodzi. Takie działanie powinno wykazać podejrzaną aktywność, szczególnie jeśli nie jest ona widoczna z poziomu zhakowanego systemu.

Które pliki systemu Windows są dziurawe?

Duże i grube, małe i chude — wszystkie mogą być podatne. Ale odkładając żarty na bok, Microsoft naprawdę robi, co może, jednak Windows to ogromny system i prawie niemożliwe jest przetestowanie go ze wszystkich stron. Ponadto oliwy do ognia dodają zawodne rozwiązania firm trzecich.

Google ogłosił lukę w systemie Windows, zanim Microsoft opublikował łatę – czy możesz to skomentować?

Nie znam szczegółów tej historii, ale uważam, że czasami ludzie zapominają, że mają wspólnego wroga. Wspólnym przeciwnikiem Microsoftu i Google’a jest świat cyberprzestępców, którzy mogą użyć tej luki do zaatakowania niewinnych użytkowników. Zamiast rozpoczynać wewnętrzną wojnę, obie firmy powinny spróbować zrozumieć się wzajemnie, znaleźć konsensus i walczyć po tej samej stronie.

Jak mogę chronić przed wirusami swoją pocztę e-mail czy blogi na komputerze PC i urządzeniu mobilnym?

Możesz je chronić, ale nigdy nie zapewnisz im 100% bezpieczeństwa. Podaję pięć prostych zasad:

  1. Usuń lub zablokuj nieużywane aplikacje i oprogramowanie, aby zmniejszyć powierzchnię potencjalnego ataku.
  2. Aktualizuj swój system i zainstalowane oprogramowanie.
  3. Do każdego zasobu używaj solidnych i unikatowych haseł.
  4. Podczas instalowania nowego oprogramowania zachowaj czujność: sprawdź, kto jest autorem aplikacji, skąd ją pobierasz (ze strony dostawcy czy szemranej firmy trzeciej) i co mówią o niej użytkownicy. Należy także postępować zgodnie z instrukcjami swojego rozwiązania antywirusowego.
  5. Postaw maszynę wirtualną bez połączenia z internetem, aby otwierać na niej podejrzane wiadomości z załącznikami.