Obyś żył w ciekawych czasach, czyli co Tarot pokazał w kwestii bezpieczeństwa IT na nadchodzący rok

Przepowiadanie przyszłości dla dziedziny takiej jakbezpieczeństwo IT to niewdzięczna sprawa – najlepiej posłużyćsię w tym celu jelitami czarnego kozła. Żyjąc w mieście trudnojednak takiego kozła sobie kupić, zostają zużyte karty Tarota. Porozłożeniu ich na wiele różnych sposobów, redaktor Golańskiujrzał w rozkładach trzynaście powtarzających się wzorów –trzynaście wizji z zakresu bezpieczeństwa, które dotykać będąświata IT w 2013 roku. Oto one, w kolejności zupełnieprzypadkowej.HTML5 pokaże, że luki w bezpieczeństwie Flash Playera byłymałym piwem. Jeśli ktoś wątpił jeszcze, że przeglądarki togłówny dziś wektor ataku na desktopowe systemy operacyjne, to w2013 roku przestanie. Te wszystkie nowe interfejsy programowania,wprowadzone przez technologie znane pod zbiorczą nazwą HTML5wyglądają w dokumentacji (niedawno ukończonej) pięknie, ale ichimplementacje, wprowadzane w pospiechu przez producentówprzeglądarek, już takie piękne nie będą, zapewniając nierzadkonapastnikom bezpośredni dostęp do warstwy sprzętowej przez zwykłyJavaScript. Szczególnie chętnie wykorzystywany będzie w tym celuWebGL,ujawniający webowym szkodnikom zasoby karty graficznej, orazWebSockets, dzięki któremu złośliwe skrypty ze stron WWW będąmogły obchodzić ograniczenia polityk dostępu i np. skanować sieciużytkownika.Rozwój kryptograficznych walut (przede wszystkim Bitcoina)sprawi, że trend HaaS (Hacking-as-a-Service) ulegniewzmocnieniu. Coraz więcej będzie w darknetach, ale też i wclearnecie witryn, oferujących zaufanym klientom możliwośćwynajęcia za opłatą swojej hakerskiej grupy, celem przeprowadzeniasabotażu czy wykradzenia informacji, przy jednoczesnym dbaniu oanonimowość nabywcy. Rosnące zaufanie do takiego czarnego rynkusprawi też, że dostęp do exploitów czy gotowego złośliwego kodustanie się bardziej powszechny – dojdzie do egalitaryzacji całegoprocesu obiegu informacji i obniżenia jej kosztów. Wraz z tymdojdzie do rozkwitu malware'u, tworzonego przez całe zespołyprofesjonalistów – CitadelRain będzie przy nim zabawką.Już nie desktopy, ale smartfony i tablety, szczególnie te ziOS-em i Androidem, staną się ulubionym celem cyberprzestępców.Mierne mechanizmy zabezpieczeń najpopularniejszych systemówmobilnych, gotowość użytkowników do przechowywania na swoichurządzeniach ogromnej ilości poufnych danych, łatwośćwykorzystania inżynierii społecznej dozachęceniaużytkowników do ryzykownych zachowań (o, mój bank wysłał miSMS-a z linkiem do promocyjnej oferty pożyczki!) – to wszystkosprawi, że wielu użytkowników smartfonów zapłacze jeszcze zastarą Nokią 3210. Najczęściej płakać będą ci, którzy stalisię ofiarami złośliwego oprogramowania typu ransomware,przejmującego kontrolę nad urządzeniem i oddającego je (wnajlepszym razie) dopiero po uiszczeniu opłaty za uwolnienie.Narzędzia do budowy takiego kodu są już dostępne na rynku, narazie dla desktopowego Windows, ale wspomniany iOS i Android tylkoczekają na swoją kolej.ICANN już nie będzie tak bardzocieszył się z upowszechnienia protokołu DNSSEC. To prawda,skutecznie chronić on będzie przed atakami typu cache-poisoningi phishingiem w wykorzystującychgo domenach najwyższego poziomu. Sęk w tym, że DNSSEC jest bardzopodatny na ataki typu reflection– czyli wymuszaniaodpowiedzi na serwerze, prowadzących do jego przeciążenia.Jego odpowiedzi są dziesięciokrotnie większe, niż odpowiedzi DNS,a przecież nawet dla DNS-u możliwe jest, przy odpowiednim doborzepytań i odpowiedzi osiągnięcie stosunku 60:1. 600 bajtów za bajtwysłany przez napastnika? Trudno wyobrazić sobie serwer, który nie zadławiłby się czymś takim.[img=wrozka2013]Anonimowi będą dalej schodzilina psy. Ostatni rok pokazał, że wśród Anonimowych, niegdyśprawdziwego legionu chaosu, dla jaj (for teh lulz)i w fantazyjny sposób obchodzącegozabezpieczenia Sony czy HBGary, nie ma już zbyt utalentowanychhakerów. Zostali hałaśliwi haktywiści, oddający sięumiarkowanie zabawnym aktom politycznie i moralnie umotywowanegowandalizmu (vide akcje wymierzone w darknety), które jednaktechnicznie nie były w stanie wyjść poza DDoS. Potencjalne ofiaryAnonimowych coraz lepiej wiedzą, jak radzić sobie z tego typuatakami, zaś i nowe generacje inteligentnych zapór sieciowych będąw stanie wytrzymać więcej, niż haktywizujący Anonimowi będą wstanie rzucić. Nie oznacza to, że w Sieci zabraknie spektakularnychcyberataków – tylko że stać za nimi będą bądź to komercyjniezorientowane grupy hakerskie, bądź sponsorowani przez państwa (abyć może i korporacje?) cybersabotażyści i cyberszpiedzy.Coraz częściej celami atakówbędą stawały się systemy wbudowane (embedded).Nie ma co udawać – te wszystkie miniaturowe urządzenia, służącedo kontrolowania procesów przemysłowych czy nawet sprzętumedycznego, nigdy nie były projektowane z myślą o bezpieczeństwie.Gdy zaczynają się nimi interesować hakerzy, okazuje się, żetrywialne wręcz techniki ataku, od dawna nieskuteczne na desktopachczy serwerach, tu wciąż zbierają żniwo. Sterowniki pompinsulinowych, rozruszniki serca czy nawet zamki hotelowych drzwi– to tylko pierwsze z brzegu systemy typu embedded, któreskutecznie zaatakowano. 2013 rok przyniesie takich ataków znaczniewięcej, być może nawet z pierwszymi ofiarami śmiertelnymi.Użytkownicy mobilnych urządzeńz Windows 8 będą mieli wreszcie powód do zadowolenia – ichtelefony i tablety okażą się sporo bezpieczniejsze od urządzeń ziOS-em (nie mówiąc już o Androidzie). Niestety to nie zasługaSecure Boot czy ulepszonej architektury Windows. Pozostaną sprzętemniszowym, i jako takim niespecjalnie interesującym cyberprzestępców,skupionych na tym co popularne. Security through obscurity czasemmoże działać. Oczywiście zawsze pozostaje problem zmultiplatformowymi atakami wykorzystującymi HTML5… Chmury obliczeniowe okażą sięmniej bezpieczne, niż to obiecywano, a wielu klientów Amazona,Rackspace czy Microsoftu odkryje, że może jednak lepiej byłotrzymać fizyczny, dedykowany serwer u tradycyjnego dostawcy. Pojawiąsię techniki ataku pozwalające na wykradaniedanych z sąsiednich maszyn wirtualnych, a liczne serweroweinstancje będą stawały się częściami botnetów, iwykorzystywane m.in. do ataków DDoS.Coraz więcej adresów sieciowychbędzie nieodwracalnie rujnowanych przez spamerów. Taktyka spalonejziemi – kupujesz VPS-a, zamieniasz go w spamiarkę wysyłającąmiliony reklamowych e-maili dziennie, gdy jego adres IP trafi narozmaite czarne listy, przenosisz spamiarkę na inny adres. A co zadresem? Z czasem trafi w ręce nowych, niewinnych właścicieli,którzy odkryją, że są w Internecie traktowani jak trędowaci. W2013 roku ten problem stanie się na tyle dotkliwy, że lokalniregistrarzy IP (RIPE, IANA i inni) będą zmuszeni stworzyć politykizarządzania czarnymi listami – o ile nie przerażą ich groźbypozwów o zniesławienie od firm zajmujących się spamowaniem,jakich doczekali się już pierwsi badacze próbujący analizowaćich praktyki.Nie tylko Chiny i Iranzainteresują się blokowaniem szyfrowanego ruchu sieciowego.Ponownie przywołując wyświechtane już nieco hasła walki zterrorystami, pedofilami czy piratami, państwa Zachodu zaczną łożyćznaczne środki na blokowanie, a może nawet łamanie protokołówkryptograficznych, wykorzystywanych do poufnej komunikacji. Tam gdzieto będzie możliwe (Skype),sprawę rozwiąże się przez polityczne naciski, tam gdzie będzieto niemożliwe (Tor), uderzy się w infrastrukturę, blokując np.węzły wyjściowe tej sieci.Cóż, życzę i Wam i sobie, byjak najmniej z tych przepowiedni się spełniło, a w 2013 roku waszesystemy operacyjne były równie bezpieczne co aktualne OpenBSDuruchomione na odciętej od sieci maszynie wirtualnej.

Źródło artykułu:www.dobreprogramy.pl
Wybrane dla Ciebie
Komentarze (48)