Granice paranoi#2 - potwory z szafy
31.07.2011 14:00
W naturze ludzkiej jest się bać. Ludzie bali się piorunów, zaćmień słońca, wojny, śmierci, statków kosmicznych, teściowych i karaluchów. Równocześnie pojawiali się tacy, którzy wynajdowali niezawodne sposoby na zwalczanie zagrożeń i zyskanie dzięki temu korzyści dla siebie. Ile strachów, tyle sposobów na nie. Tylko na teściowe nie znalazł się dobry sposób.
Ale skupmy się na jednej rzeczy - niebezpieczeństwo internetowe. Jest strach - jest i grono zwalczające zagrożenie. Jak grzyby po deszczu wyrosły firmy, które deklarują, że wynajdą na naszych stronach zagrożenie, które sami sobie zgotowaliśmy. A jak już znajdą, to powiedzą jak załatać, a jak załatamy, to dadzą nam certyfikat. Albo, bardzo ostatnio popularne słowo, zrobią nam audyt bezpieczeństwa. Dla użytkowników internetu pojawiły się setki stron i poradników, jak zwiększyć swoje bezpieczeństwo robiąc przelew. Nagłówki gazet branżowych i pseudobranżowych przyciągają wzrok czcionką większą niż ta w tytule periodyka: "Uważaj zagrożenie!", "Twoje dane są już w Ekwadorze!". Histeria trwa...
A ja sam, świadomie, jej ulegam. Nie dalej niż trzy dni temu, od jednej z pracownic CallCenter w mojej firmie otrzymałem informacje, że pewien pan zadzwonił na naszą infolinię i powiedział, że chce porozmawiać z kimś z działu IT w sprawie luk bezpieczeństwa na naszej stronie. Jakich luk? - pomyślałem. Po ostatnich, intensywnych testach penetracyjnych nie znalazłem nic strasznego. Zadzwoniłem. Okazało się, że pan, który odebrał (nawiasem mówiąc - podał telefon komórkowy, zasugerowałem się i zakładałem, że to osoba prywatna) reprezentuje firmę "Krzaczek"* i że chce zaproponować swoje nam usługi. Próbowałem się wypytać o metodologię prac, o sposób prowadzenia pentestów. Dowiedziałem się, że panowie gruntownie sprawdzą podatność naszej strony na eskuel indżektczion, krossajtskript i innych. Jakich? Nie zdradzono mi. W odpowiedzi na pytanie o metodologię pentestów, usłyszałem formułkę z wikipedii o blackboxie. Chciałem się dowiedzieć o automaty, których używają, ale to podobno tajemnica firmy. Nieco zdegustowany powiedziałem, żeby mi przesłali ofertę na maila. Dostałem plik pdf. A na jego podstawie dość łatwo ustaliłem, że serwer postawiony jest na Tomcacie z 2009 roku, który podatny jest na DoSa (między innymi)...
Ale to miał być tylko wątek poboczny. Bo tak naprawdę chciałem pisać o potworach z szafy. Zastanawiałeś się kiedyś, świadomy użytkowniku internetu, czy naprawdę jesteś celem ataków złych, przebrzydłych i brudnych hackerów? I jeśli nawet doszedłeś do wniosku, że tak, to zastanawiałeś się, co tak Ci grozi?
Zacznę od końca. Co grozi przeciętnemu użytkownikowi, gdy stanie się celem ataku "hackera"**? Społeczna śmierć po utracie konta na facebook? Zmasowany atak spamem? Utrata danych karty kredytowej? A czy konta na fejsie nie da się założyć po raz drugi i przy pomocy nieinternetowych kanałów komunikacji przekazać informację o tym znajomym (o ile nieinternetowe kanały komunikacji jeszcze między zaatakowanym użytkownikiem a jego znajomymi istnieją...). To zdaje się jest wykonalne (choć nie wiem na pewno, nie miałem nigdy konta na fb). A co ze spamem? Lubię mówić, że na każde zabezpieczenie znajdzie się jakieś obejście. Ale z drugiej strony, na każdy atak znajdzie się jakaś obrona. Spam nie jest rzeczą nową, antyspamy działają już nawet na darmowych kontach pocztowych. To nawet leży w interesie dostawców usług pocztowych, przecież w ten sposób spada load ich serwerów backendowych. No i poza tym, nie zawsze pamiętamy o tym, że konta mailowe można mieć więcej niż jedno i można sobie założyć konto tylko do rejestrowania się nim w internecie. A karta kredytowa? To już jest bardziej skomplikowane. Po pierwsze... zastanówmy się nad realnym zasięgiem takiego zagrożenia. Ilu z czytelników tego tekstu posiada kartę kredytową? Podkreślam - kredytową. To nie jest karta, która dostajemy do konta student w banku, do wypłacania pieniędzy w każdym bankomacie w Polsce. To karta kredytowa, więc trzeba posiadać... kredyt. A nie rachunek OR. Popularny błąd. Wystarczy, że przejdę się po callcenter i usłyszę przynajmniej jedną osobę tłumaczącą różnicę. Po drugie - takie kredyty są zazwyczaj ubezpieczone. Taki sam interes ma bank, żeby to kredytobiorca płacił kartą, a nie Pedro w Chile. Przytrafiła się w mojej rodzinie sytuacja, gdy opłata kartą kredytową gdzieś w Ameryce Południowej została zablokowana przez bank. Karta faktycznie została zczytana w jakimś bankomacie. Albo setki niezrealizowanych transakcji przez moją firmę, gdy dzwonił John Smith z Wielkiej Brytanii i łamanym angielskim prosił o bilet z RPA do Londynu dla swojego przyjaciela. Oczywiście można też stać się ofiarą podsłuchanych pakietów, poddać się sugestii phishinigowych wiadomości lub podczas rozmowy z sympatycznym panem niby z banku udzielić informacji poufnych.
Nie twierdzę, że zagrożenia dla użytkowników internetu nie ma. Twierdzę tylko, że realnie nie jest ono tak straszne, jak go przedstawiają. I że nie zawsze trzeba Van Helsinga, żeby zakołkować płaszcz w szafie.
Giganci na glinianych nogach
Na stronach dobrychprogramów można od czasu do czasu poczytać o różnych kuriozalnych lukach, albo brawurowym ataku na duże serwisy. Czy zastanawialiście się, jak to się stało, że Sony trzymał dane użytkowników plaintextem w bazie? Abstrahując od haseł - po co mi w bazie dane użytkowników zahashowane md5? Trzeba by stosować jakiś algorytm szyfrowania, który można odwrócić. Przecież nie jestem w stanie obciążyć 32 znakowego hasha md5, który kiedyś był numerem karty. Przy założeniu, że ilość operacji jest duża, a zasoby systemowe skończone, algorytm musi być realnie lekki i nieobciążający systemu, tak by w ogóle system działał. Wydaje się, że taki koncern jak Sony stać na zasoby systemów. Tylko, że dostępność tych zasobów na rynku również jest ograniczona. To tak, jakby mając wszystkie pieniądze świata chcieć zapewnić sobie nieskończone zasoby paliwa. To nie jest pójście na łatwizne, a realne i pragmatyczne podejście do zagadnienia. Czasy, gdy programista pisał co chciał, byleby działało się skończyło. Teraz zanim programista chwyci się klawiatury mijają godziny rozmów między analitykami biznesowymi, analitykami finansowymi, menadżerami działów itd. Ktoś taką decyzję podjął i na pewno miał ku temu powody. Że się wywaliło? Apollo 1 nawet nie wystartował, a mimo to kolejne kilka posłano w kosmos.
Tymczasem, bez jakiegoś większego zacietrzewienia przeszła informacja o poważnej dziurze w systemie googla, która pozwalała na usunięcie dowolnego wpisu z indeksu wyszukiwarki. W informacji na dobreprogramy padło stwierdzenie, że wykorzystanie tej luki w złej wierze mogło sparaliżować internet. Pod czym podpisuję się oboma rękoma. Ale sam przykład googla i jego dziury posłużyć ma mi za argument w tezie, że dziury zawsze istnieją, trzeba mieć tylko szczęście (jeśli się nie ma umiejętności) by je wykryć i wykorzystać. A i tak większość ze szczęśliwców podzieli się tym z właścicielem niezałatanej aplikacji (pewnie licząc na nagrodę. Swoją drogą bardzo dobra polityka firmy google). Trzeba więc mieć świadomość, że dziur w systemie prawie nie da się nie zostawiać.
Grupy, jak LulzSec, są pożywką dla tych wszystkich, którzy ogłaszają armageddon w internecie. Nie jest to dla Was jaskrawo widoczne, że gdyby nie medialne nagłośnienie sprawy ataków (przez dorobienie do tego ideologii i zbiegnięcie się w czasie z zamieszaniem wokół wikiLeaks), zostałby one znane w wąskim gronie, a panowie prezesowie nie rozpatrywaliby harakiri przed kamerami telewizyjnymi? Ile osób wie, że dane kilku tysięcy (może kilkuset) Polaków zostały wykradzione przez dwudziestopięciolatka z firmy telekomunikacyjnej? Tak, tak. Drogi użytkowniku telefonów stacjonarnych, internetu typu adsl lub dsl, możesz się bać. Dwudziestopięciolatek ma Twoje nazwisko i numer domu i nie zawaha się ich użyć.
Kończąc ten strasznie długi i chaotyczny wpis - zagrożenie atakiem hackerów istnieje, istniało i istnieć będzie. Tak samo jak zagrożenie zarażeniem się grypą typu A/H1N1. Nigdy z moich znajomych nigdy nie zachorował na tę grypę (choć w telewizji mówili, że są tacy, co chorowali), ale firmy farmaceutyczne akurat mają przygotowane miliony szczepionek.
Swoją drogą... to błędne koło... mogę stać się ofiarą ataków, ale ktoś chce o mnie zadbać i mi powtarza, że będzie o mnie dbał, bo mogę stać się ofiarą ataków, ale on o mnie...
I jeszcze cytacik na sam koniec: Wolę, gdy ludzie popierają mnie ze strachu niż z przekonania. Przekonania są zmienne, strach zawsze jest ten sam.
*Łaskawie spuszczam kurtynę milczenia na nazwę firmy. ** W cudzysłowiu, bo uważam, że atakujący w ten sposób to nie hackerzy.