r   e   k   l   a   m   a
r   e   k   l   a   m   a

Obyś żył w ciekawych czasach, czyli co Tarot pokazał w kwestii bezpieczeństwa IT na nadchodzący rok

Strona główna Aktualności

Przepowiadanie przyszłości dla dziedziny takiej jak bezpieczeństwo IT to niewdzięczna sprawa – najlepiej posłużyć się w tym celu jelitami czarnego kozła. Żyjąc w mieście trudno jednak takiego kozła sobie kupić, zostają zużyte karty Tarota. Po rozłożeniu ich na wiele różnych sposobów, redaktor Golański ujrzał w rozkładach trzynaście powtarzających się wzorów – trzynaście wizji z zakresu bezpieczeństwa, które dotykać będą świata IT w 2013 roku. Oto one, w kolejności zupełnie przypadkowej.

HTML5 pokaże, że luki w bezpieczeństwie Flash Playera były małym piwem. Jeśli ktoś wątpił jeszcze, że przeglądarki to główny dziś wektor ataku na desktopowe systemy operacyjne, to w 2013 roku przestanie. Te wszystkie nowe interfejsy programowania, wprowadzone przez technologie znane pod zbiorczą nazwą HTML5 wyglądają w dokumentacji (niedawno ukończonej) pięknie, ale ich implementacje, wprowadzane w pospiechu przez producentów przeglądarek, już takie piękne nie będą, zapewniając nierzadko napastnikom bezpośredni dostęp do warstwy sprzętowej przez zwykły JavaScript. Szczególnie chętnie wykorzystywany będzie w tym celu WebGL, ujawniający webowym szkodnikom zasoby karty graficznej, oraz WebSockets, dzięki któremu złośliwe skrypty ze stron WWW będą mogły obchodzić ograniczenia polityk dostępu i np. skanować sieci użytkownika.

Rozwój kryptograficznych walut (przede wszystkim Bitcoina) sprawi, że trend HaaS (Hacking-as-a-Service) ulegnie wzmocnieniu. Coraz więcej będzie w darknetach, ale też i w clearnecie witryn, oferujących zaufanym klientom możliwość wynajęcia za opłatą swojej hakerskiej grupy, celem przeprowadzenia sabotażu czy wykradzenia informacji, przy jednoczesnym dbaniu o anonimowość nabywcy. Rosnące zaufanie do takiego czarnego rynku sprawi też, że dostęp do exploitów czy gotowego złośliwego kodu stanie się bardziej powszechny – dojdzie do egalitaryzacji całego procesu obiegu informacji i obniżenia jej kosztów. Wraz z tym dojdzie do rozkwitu malware'u, tworzonego przez całe zespoły profesjonalistów – Citadel Rain będzie przy nim zabawką.

Już nie desktopy, ale smartfony i tablety, szczególnie te z iOS-em i Androidem, staną się ulubionym celem cyberprzestępców. Mierne mechanizmy zabezpieczeń najpopularniejszych systemów mobilnych, gotowość użytkowników do przechowywania na swoich urządzeniach ogromnej ilości poufnych danych, łatwość wykorzystania inżynierii społecznej do zachęcenia użytkowników do ryzykownych zachowań (o, mój bank wysłał mi SMS-a z linkiem do promocyjnej oferty pożyczki!) – to wszystko sprawi, że wielu użytkowników smartfonów zapłacze jeszcze za starą Nokią 3210. Najczęściej płakać będą ci, którzy stali się ofiarami złośliwego oprogramowania typu ransomware, przejmującego kontrolę nad urządzeniem i oddającego je (w najlepszym razie) dopiero po uiszczeniu opłaty za uwolnienie. Narzędzia do budowy takiego kodu są już dostępne na rynku, na razie dla desktopowego Windows, ale wspomniany iOS i Android tylko czekają na swoją kolej.

ICANN już nie będzie tak bardzo cieszył się z upowszechnienia protokołu DNSSEC. To prawda, skutecznie chronić on będzie przed atakami typu cache-poisoning i phishingiem w wykorzystujących go domenach najwyższego poziomu. Sęk w tym, że DNSSEC jest bardzo podatny na ataki typu reflection – czyli wymuszania odpowiedzi na serwerze, prowadzących do jego przeciążenia. Jego odpowiedzi są dziesięciokrotnie większe, niż odpowiedzi DNS, a przecież nawet dla DNS-u możliwe jest, przy odpowiednim doborze pytań i odpowiedzi osiągnięcie stosunku 60:1. 600 bajtów za bajt wysłany przez napastnika? Trudno wyobrazić sobie serwer, który nie zadławiłby się czymś takim.

Anonimowi będą dalej schodzili na psy. Ostatni rok pokazał, że wśród Anonimowych, niegdyś prawdziwego legionu chaosu, dla jaj (for teh lulz) i w fantazyjny sposób obchodzącego zabezpieczenia Sony czy HBGary, nie ma już zbyt utalentowanych hakerów. Zostali hałaśliwi haktywiści, oddający się umiarkowanie zabawnym aktom politycznie i moralnie umotywowanego wandalizmu (vide akcje wymierzone w darknety), które jednak technicznie nie były w stanie wyjść poza DDoS. Potencjalne ofiary Anonimowych coraz lepiej wiedzą, jak radzić sobie z tego typu atakami, zaś i nowe generacje inteligentnych zapór sieciowych będą w stanie wytrzymać więcej, niż haktywizujący Anonimowi będą w stanie rzucić. Nie oznacza to, że w Sieci zabraknie spektakularnych cyberataków – tylko że stać za nimi będą bądź to komercyjnie zorientowane grupy hakerskie, bądź sponsorowani przez państwa (a być może i korporacje?) cybersabotażyści i cyberszpiedzy.

Coraz częściej celami ataków będą stawały się systemy wbudowane (embedded). Nie ma co udawać – te wszystkie miniaturowe urządzenia, służące do kontrolowania procesów przemysłowych czy nawet sprzętu medycznego, nigdy nie były projektowane z myślą o bezpieczeństwie. Gdy zaczynają się nimi interesować hakerzy, okazuje się, że trywialne wręcz techniki ataku, od dawna nieskuteczne na desktopach czy serwerach, tu wciąż zbierają żniwo. Sterowniki pomp insulinowych, rozruszniki serca czy nawet zamki hotelowych drzwi – to tylko pierwsze z brzegu systemy typu embedded, które skutecznie zaatakowano. 2013 rok przyniesie takich ataków znacznie więcej, być może nawet z pierwszymi ofiarami śmiertelnymi.

Użytkownicy mobilnych urządzeń z Windows 8 będą mieli wreszcie powód do zadowolenia – ich telefony i tablety okażą się sporo bezpieczniejsze od urządzeń z iOS-em (nie mówiąc już o Androidzie). Niestety to nie zasługa Secure Boot czy ulepszonej architektury Windows. Pozostaną sprzętem niszowym, i jako takim niespecjalnie interesującym cyberprzestępców, skupionych na tym co popularne. Security through obscurity czasem może działać. Oczywiście zawsze pozostaje problem z multiplatformowymi atakami wykorzystującymi HTML5…

Chmury obliczeniowe okażą się mniej bezpieczne, niż to obiecywano, a wielu klientów Amazona, Rackspace czy Microsoftu odkryje, że może jednak lepiej było trzymać fizyczny, dedykowany serwer u tradycyjnego dostawcy. Pojawią się techniki ataku pozwalające na wykradanie danych z sąsiednich maszyn wirtualnych, a liczne serwerowe instancje będą stawały się częściami botnetów, i wykorzystywane m.in. do ataków DDoS.

Coraz więcej adresów sieciowych będzie nieodwracalnie rujnowanych przez spamerów. Taktyka spalonej ziemi – kupujesz VPS-a, zamieniasz go w spamiarkę wysyłającą miliony reklamowych e-maili dziennie, gdy jego adres IP trafi na rozmaite czarne listy, przenosisz spamiarkę na inny adres. A co z adresem? Z czasem trafi w ręce nowych, niewinnych właścicieli, którzy odkryją, że są w Internecie traktowani jak trędowaci. W 2013 roku ten problem stanie się na tyle dotkliwy, że lokalni registrarzy IP (RIPE, IANA i inni) będą zmuszeni stworzyć polityki zarządzania czarnymi listami – o ile nie przerażą ich groźby pozwów o zniesławienie od firm zajmujących się spamowaniem, jakich doczekali się już pierwsi badacze próbujący analizować ich praktyki.

Nie tylko Chiny i Iran zainteresują się blokowaniem szyfrowanego ruchu sieciowego. Ponownie przywołując wyświechtane już nieco hasła walki z terrorystami, pedofilami czy piratami, państwa Zachodu zaczną łożyć znaczne środki na blokowanie, a może nawet łamanie protokołów kryptograficznych, wykorzystywanych do poufnej komunikacji. Tam gdzie to będzie możliwe (Skype), sprawę rozwiąże się przez polityczne naciski, tam gdzie będzie to niemożliwe (Tor), uderzy się w infrastrukturę, blokując np. węzły wyjściowe tej sieci.

Cóż, życzę i Wam i sobie, by jak najmniej z tych przepowiedni się spełniło, a w 2013 roku wasze systemy operacyjne były równie bezpieczne co aktualne OpenBSD uruchomione na odciętej od sieci maszynie wirtualnej.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.