Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Granice paranoi#2 - potwory z szafy

W naturze ludzkiej jest się bać. Ludzie bali się piorunów, zaćmień słońca, wojny, śmierci, statków kosmicznych, teściowych i karaluchów. Równocześnie pojawiali się tacy, którzy wynajdowali niezawodne sposoby na zwalczanie zagrożeń i zyskanie dzięki temu korzyści dla siebie. Ile strachów, tyle sposobów na nie. Tylko na teściowe nie znalazł się dobry sposób.

Ale skupmy się na jednej rzeczy - niebezpieczeństwo internetowe. Jest strach - jest i grono zwalczające zagrożenie. Jak grzyby po deszczu wyrosły firmy, które deklarują, że wynajdą na naszych stronach zagrożenie, które sami sobie zgotowaliśmy. A jak już znajdą, to powiedzą jak załatać, a jak załatamy, to dadzą nam certyfikat. Albo, bardzo ostatnio popularne słowo, zrobią nam audyt bezpieczeństwa. Dla użytkowników internetu pojawiły się setki stron i poradników, jak zwiększyć swoje bezpieczeństwo robiąc przelew. Nagłówki gazet branżowych i pseudobranżowych przyciągają wzrok czcionką większą niż ta w tytule periodyka: "Uważaj zagrożenie!", "Twoje dane są już w Ekwadorze!". Histeria trwa...

A ja sam, świadomie, jej ulegam. Nie dalej niż trzy dni temu, od jednej z pracownic CallCenter w mojej firmie otrzymałem informacje, że pewien pan zadzwonił na naszą infolinię i powiedział, że chce porozmawiać z kimś z działu IT w sprawie luk bezpieczeństwa na naszej stronie. Jakich luk? - pomyślałem. Po ostatnich, intensywnych testach penetracyjnych nie znalazłem nic strasznego. Zadzwoniłem. Okazało się, że pan, który odebrał (nawiasem mówiąc - podał telefon komórkowy, zasugerowałem się i zakładałem, że to osoba prywatna) reprezentuje firmę "Krzaczek"* i że chce zaproponować swoje nam usługi. Próbowałem się wypytać o metodologię prac, o sposób prowadzenia pentestów. Dowiedziałem się, że panowie gruntownie sprawdzą podatność naszej strony na eskuel indżektczion, krossajtskript i innych. Jakich? Nie zdradzono mi. W odpowiedzi na pytanie o metodologię pentestów, usłyszałem formułkę z wikipedii o blackboxie. Chciałem się dowiedzieć o automaty, których używają, ale to podobno tajemnica firmy. Nieco zdegustowany powiedziałem, żeby mi przesłali ofertę na maila. Dostałem plik pdf. A na jego podstawie dość łatwo ustaliłem, że serwer postawiony jest na Tomcacie z 2009 roku, który podatny jest na DoSa (między innymi)...

Ale to miał być tylko wątek poboczny. Bo tak naprawdę chciałem pisać o potworach z szafy. Zastanawiałeś się kiedyś, świadomy użytkowniku internetu, czy naprawdę jesteś celem ataków złych, przebrzydłych i brudnych hackerów? I jeśli nawet doszedłeś do wniosku, że tak, to zastanawiałeś się, co tak Ci grozi?

Zacznę od końca. Co grozi przeciętnemu użytkownikowi, gdy stanie się celem ataku "hackera"**? Społeczna śmierć po utracie konta na facebook? Zmasowany atak spamem? Utrata danych karty kredytowej? A czy konta na fejsie nie da się założyć po raz drugi i przy pomocy nieinternetowych kanałów komunikacji przekazać informację o tym znajomym (o ile nieinternetowe kanały komunikacji jeszcze między zaatakowanym użytkownikiem a jego znajomymi istnieją...). To zdaje się jest wykonalne (choć nie wiem na pewno, nie miałem nigdy konta na fb).
A co ze spamem? Lubię mówić, że na każde zabezpieczenie znajdzie się jakieś obejście. Ale z drugiej strony, na każdy atak znajdzie się jakaś obrona. Spam nie jest rzeczą nową, antyspamy działają już nawet na darmowych kontach pocztowych. To nawet leży w interesie dostawców usług pocztowych, przecież w ten sposób spada load ich serwerów backendowych. No i poza tym, nie zawsze pamiętamy o tym, że konta mailowe można mieć więcej niż jedno i można sobie założyć konto tylko do rejestrowania się nim w internecie.
A karta kredytowa? To już jest bardziej skomplikowane. Po pierwsze... zastanówmy się nad realnym zasięgiem takiego zagrożenia. Ilu z czytelników tego tekstu posiada kartę kredytową? Podkreślam - kredytową. To nie jest karta, która dostajemy do konta student w banku, do wypłacania pieniędzy w każdym bankomacie w Polsce. To karta kredytowa, więc trzeba posiadać... kredyt. A nie rachunek OR. Popularny błąd. Wystarczy, że przejdę się po callcenter i usłyszę przynajmniej jedną osobę tłumaczącą różnicę. Po drugie - takie kredyty są zazwyczaj ubezpieczone. Taki sam interes ma bank, żeby to kredytobiorca płacił kartą, a nie Pedro w Chile. Przytrafiła się w mojej rodzinie sytuacja, gdy opłata kartą kredytową gdzieś w Ameryce Południowej została zablokowana przez bank. Karta faktycznie została zczytana w jakimś bankomacie. Albo setki niezrealizowanych transakcji przez moją firmę, gdy dzwonił John Smith z Wielkiej Brytanii i łamanym angielskim prosił o bilet z RPA do Londynu dla swojego przyjaciela.
Oczywiście można też stać się ofiarą podsłuchanych pakietów, poddać się sugestii phishinigowych wiadomości lub podczas rozmowy z sympatycznym panem niby z banku udzielić informacji poufnych.

Nie twierdzę, że zagrożenia dla użytkowników internetu nie ma. Twierdzę tylko, że realnie nie jest ono tak straszne, jak go przedstawiają. I że nie zawsze trzeba Van Helsinga, żeby zakołkować płaszcz w szafie.

Giganci na glinianych nogach

Na stronach dobrychprogramów można od czasu do czasu poczytać o różnych kuriozalnych lukach, albo brawurowym ataku na duże serwisy. Czy zastanawialiście się, jak to się stało, że Sony trzymał dane użytkowników plaintextem w bazie? Abstrahując od haseł - po co mi w bazie dane użytkowników zahashowane md5? Trzeba by stosować jakiś algorytm szyfrowania, który można odwrócić. Przecież nie jestem w stanie obciążyć 32 znakowego hasha md5, który kiedyś był numerem karty. Przy założeniu, że ilość operacji jest duża, a zasoby systemowe skończone, algorytm musi być realnie lekki i nieobciążający systemu, tak by w ogóle system działał. Wydaje się, że taki koncern jak Sony stać na zasoby systemów. Tylko, że dostępność tych zasobów na rynku również jest ograniczona. To tak, jakby mając wszystkie pieniądze świata chcieć zapewnić sobie nieskończone zasoby paliwa. To nie jest pójście na łatwizne, a realne i pragmatyczne podejście do zagadnienia. Czasy, gdy programista pisał co chciał, byleby działało się skończyło. Teraz zanim programista chwyci się klawiatury mijają godziny rozmów między analitykami biznesowymi, analitykami finansowymi, menadżerami działów itd. Ktoś taką decyzję podjął i na pewno miał ku temu powody. Że się wywaliło? Apollo 1 nawet nie wystartował, a mimo to kolejne kilka posłano w kosmos.

Tymczasem, bez jakiegoś większego zacietrzewienia przeszła informacja o poważnej dziurze w systemie googla, która pozwalała na usunięcie dowolnego wpisu z indeksu wyszukiwarki. W informacji na dobreprogramy padło stwierdzenie, że wykorzystanie tej luki w złej wierze mogło sparaliżować internet. Pod czym podpisuję się oboma rękoma. Ale sam przykład googla i jego dziury posłużyć ma mi za argument w tezie, że dziury zawsze istnieją, trzeba mieć tylko szczęście (jeśli się nie ma umiejętności) by je wykryć i wykorzystać. A i tak większość ze szczęśliwców podzieli się tym z właścicielem niezałatanej aplikacji (pewnie licząc na nagrodę. Swoją drogą bardzo dobra polityka firmy google). Trzeba więc mieć świadomość, że dziur w systemie prawie nie da się nie zostawiać.

Grupy, jak LulzSec, są pożywką dla tych wszystkich, którzy ogłaszają armageddon w internecie. Nie jest to dla Was jaskrawo widoczne, że gdyby nie medialne nagłośnienie sprawy ataków (przez dorobienie do tego ideologii i zbiegnięcie się w czasie z zamieszaniem wokół wikiLeaks), zostałby one znane w wąskim gronie, a panowie prezesowie nie rozpatrywaliby harakiri przed kamerami telewizyjnymi? Ile osób wie, że dane kilku tysięcy (może kilkuset) Polaków zostały wykradzione przez dwudziestopięciolatka z firmy telekomunikacyjnej? Tak, tak. Drogi użytkowniku telefonów stacjonarnych, internetu typu adsl lub dsl, możesz się bać. Dwudziestopięciolatek ma Twoje nazwisko i numer domu i nie zawaha się ich użyć.

Kończąc ten strasznie długi i chaotyczny wpis - zagrożenie atakiem hackerów istnieje, istniało i istnieć będzie. Tak samo jak zagrożenie zarażeniem się grypą typu A/H1N1. Nigdy z moich znajomych nigdy nie zachorował na tę grypę (choć w telewizji mówili, że są tacy, co chorowali), ale firmy farmaceutyczne akurat mają przygotowane miliony szczepionek.

Swoją drogą... to błędne koło... mogę stać się ofiarą ataków, ale ktoś chce o mnie zadbać i mi powtarza, że będzie o mnie dbał, bo mogę stać się ofiarą ataków, ale on o mnie...

I jeszcze cytacik na sam koniec:Wolę, gdy ludzie popierają mnie ze strachu niż z przekonania. Przekonania są zmienne, strach zawsze jest ten sam.

*Łaskawie spuszczam kurtynę milczenia na nazwę firmy.
** W cudzysłowiu, bo uważam, że atakujący w ten sposób to nie hackerzy. 

Komentarze

0 nowych
przemo_li   11 #1 31.07.2011 16:18

Tak, tak.

[ironia]Biedna Sony, chciała kupić sprzęt aby zabezpieczyć dane użytkowników, ale brakło jej kasy i jeszcze Ci beszczelni dostawcy sprzętu stwierdzili, że się nie da tyle sprzętu zdobyć.

A admini? Ci darmozjadzi chcieli takie pensje, że biedna Sony musiała zatrudnić ich za mało, to i czasu nie mieli na aktualizację oprogramowania na serwerach. [ironia]

Przytoczenie sony i "tłumaczenie" lub może "teza" jaką chciałeś udowodnić podważa wiarygodność Twojej wiedzy o IT.

przemo_li   11 #2 31.07.2011 16:20

Tak luki można znaleść we wszystkim, ale nieinstalowanie krytycznych łatek bezpieczeństwa to zwykłe proszenie się o baty. A kiedy dochodzą dane warte mln $$ na czarnym rynku....

tfl   8 #3 31.07.2011 21:33

hmm... wybacz, ale moim zdaniem to co napisales udowadnia, ze nigdy nie miales do czynienia z tworzeniem aplikacji na czas, ktora ma zarobic pieniadze. Zwlaszcza duze pieniadze.

Sony przytoczylem tylko dlatego, ze... sam sie narzuca. Jest powszechnie znanym przypadkiem. Jaskrawym, przejaskrawionym nawet. Sadzisz, ze Komisje Egzaminacyjna nie stac na wlasny serwer i wykolokowanie go gdzies poza ich struktury? Jasne, ze stac, ale postawili na jakis hosting i im walneli deface. Sony moim zdaniem lepiej sie nadaje na przyklad niz w/w komisja.

Serwery pewnego duzego polskiego hostingowca chodza na wymienianym tomcacie. Wiedza, nie poprawiaja. Dlaczego?

Ale jakbym probowal przegiac pale...czy nie powinismy sie zastanowic nad wprowadzeniem wiz dla Norwegow? Powszechnie znana jest ich niebezpieczna natura. Czy nie powinnismy zaczac pakowac manatki i konstruowac statki kosmiczne? Dobrze wiemy, jak sie skonczy historia ukladu slonecznego.

Bo to nie jest proszenie sie o baty, to czysta kalkulacja.

  #4 01.08.2011 00:41

Tu sie zgadzam. Pewne sprawy sá naglasniane bardziej bo ktos na tym zarabia/sieje panike/zbija kapital polityczny etc.
Przyklad:
W tym roku w UK byl spis powszechny. Przerobem danych zajela sie znana firma (wlascicielem jest Lockheed Martin) amerykanie majá teraz dostep do danych wszystkich obywateli UK i jeszcze na tym zarobili. Bez proszenia sie o nie MI5,MI6 i jakos nikt nad tym nie krzyczal.

matzu   5 #5 01.08.2011 01:30

Przeczytałem cały wpis i zasadniczo nie wiem o czym on miał być. Czy o zagrożeniach na jakie narażone są aplikacje web-owe (BTW to jeszcze się używa md5?), czy o zagrożeniach z jakimi musi walczyć przeciętny użytkownik internetu, czy może o czymś innym, bo przecież pojawił się też chociażby krótki wykład o kartach kredytowych, które nawiasem mówiąc nie są jedynym typem kart przy użyciu których można płacić w sieci. Że już nie wspomnę o tym jak łatwo jest teraz takowe karty dostać, pytanie po co to komu? :)

tfl   8 #6 01.08.2011 07:55

A no po to, zeby stworzyc jakas przeciwwage dla tych wszystkich, ktorzy tak strasznie pomstuja na googla, ze szpieguje, na microsoft, ze kradnie, na bezpieczenstwo, ze jest niebezpieczne i na tych wszystkich, ktorzy uwazaja sie za alfy i omegi, zadaja retoryczne pytania zaczynajace sie od "ktos jeszcze" (znasz jakis dobry sposob, by 100 tysiow hasel z md5 przerobic na sha1 za jednym zamachem ?).

matzu   5 #7 01.08.2011 15:02

Po pierwsze za alfę i omegę się nie uważam, a teraz do rzeczy ... każdy sposób będzie wymagał modyfikacji kodu odpowiedzialnego za rejestrację i uwierzytelnienie. Jeśli przez prosty sposób miałeś na myśli jedną procedurę SQL, to tak się oczywiście nie da. Najprostszy sposób jaki przychodzi mi do głowy to nowa kolumna w bazie z hasłami użytkowników, która pełniła by rolę flagi informującej o tym, czy hasło zostało już przerobione na sha-2 (sha-1 też już nie powinno się używać), czy też nie. Przy pierwszym logowaniu użytkownika generowany byłby skrót sha-2 (można by do niego przy okazji dodać sól) i tyle. Cały wprowadzony przy okazji tej modyfikacji kod może w systemie pozostać (podobnie jak ta nowa kolumna w bazie danych), bo może się przydać przy okazji przejścia na nowsze wersje funkcji skrótu. Jeśli w systemie masz wyjątkowo aktywnych użytkowników, to cały proces będzie trwał wyjątkowo krótko. Jeśli jednak są użytkownicy, którzy logują się raz na rok, to możesz zablokować ich konto z informacją, że powinni się zgłosić w sprawie nowego hasła. Ewentualnie wersja bardziej user-friendly ... wygenerować takie hasło samodzielnie.

Saskatchewan   7 #8 01.08.2011 19:42

Plusik za tekst.

Shaki81 MODERATOR BLOGA  37 #9 04.08.2011 12:06

@matzu, ale wiesz na każdy sposób zabezpieczenia prędzej czy później znajdzie się jakiś sposób, żeby to złamać...