@tfl
Blog (65)
Komentarze (803)
Recenzje (0)

Granice paranoi#2 - potwory z szafy

@tflGranice paranoi#2 - potwory z szafy31.07.2011 14:00

W naturze ludzkiej jest się bać. Ludzie bali się piorunów, zaćmień słońca, wojny, śmierci, statków kosmicznych, teściowych i karaluchów. Równocześnie pojawiali się tacy, którzy wynajdowali niezawodne sposoby na zwalczanie zagrożeń i zyskanie dzięki temu korzyści dla siebie. Ile strachów, tyle sposobów na nie. Tylko na teściowe nie znalazł się dobry sposób.

Ale skupmy się na jednej rzeczy - niebezpieczeństwo internetowe. Jest strach - jest i grono zwalczające zagrożenie. Jak grzyby po deszczu wyrosły firmy, które deklarują, że wynajdą na naszych stronach zagrożenie, które sami sobie zgotowaliśmy. A jak już znajdą, to powiedzą jak załatać, a jak załatamy, to dadzą nam certyfikat. Albo, bardzo ostatnio popularne słowo, zrobią nam audyt bezpieczeństwa. Dla użytkowników internetu pojawiły się setki stron i poradników, jak zwiększyć swoje bezpieczeństwo robiąc przelew. Nagłówki gazet branżowych i pseudobranżowych przyciągają wzrok czcionką większą niż ta w tytule periodyka: "Uważaj zagrożenie!", "Twoje dane są już w Ekwadorze!". Histeria trwa...

A ja sam, świadomie, jej ulegam. Nie dalej niż trzy dni temu, od jednej z pracownic CallCenter w mojej firmie otrzymałem informacje, że pewien pan zadzwonił na naszą infolinię i powiedział, że chce porozmawiać z kimś z działu IT w sprawie luk bezpieczeństwa na naszej stronie. Jakich luk? - pomyślałem. Po ostatnich, intensywnych testach penetracyjnych nie znalazłem nic strasznego. Zadzwoniłem. Okazało się, że pan, który odebrał (nawiasem mówiąc - podał telefon komórkowy, zasugerowałem się i zakładałem, że to osoba prywatna) reprezentuje firmę "Krzaczek"* i że chce zaproponować swoje nam usługi. Próbowałem się wypytać o metodologię prac, o sposób prowadzenia pentestów. Dowiedziałem się, że panowie gruntownie sprawdzą podatność naszej strony na eskuel indżektczion, krossajtskript i innych. Jakich? Nie zdradzono mi. W odpowiedzi na pytanie o metodologię pentestów, usłyszałem formułkę z wikipedii o blackboxie. Chciałem się dowiedzieć o automaty, których używają, ale to podobno tajemnica firmy. Nieco zdegustowany powiedziałem, żeby mi przesłali ofertę na maila. Dostałem plik pdf. A na jego podstawie dość łatwo ustaliłem, że serwer postawiony jest na Tomcacie z 2009 roku, który podatny jest na DoSa (między innymi)...

Ale to miał być tylko wątek poboczny. Bo tak naprawdę chciałem pisać o potworach z szafy. Zastanawiałeś się kiedyś, świadomy użytkowniku internetu, czy naprawdę jesteś celem ataków złych, przebrzydłych i brudnych hackerów? I jeśli nawet doszedłeś do wniosku, że tak, to zastanawiałeś się, co tak Ci grozi?

Zacznę od końca. Co grozi przeciętnemu użytkownikowi, gdy stanie się celem ataku "hackera"**? Społeczna śmierć po utracie konta na facebook? Zmasowany atak spamem? Utrata danych karty kredytowej? A czy konta na fejsie nie da się założyć po raz drugi i przy pomocy nieinternetowych kanałów komunikacji przekazać informację o tym znajomym (o ile nieinternetowe kanały komunikacji jeszcze między zaatakowanym użytkownikiem a jego znajomymi istnieją...). To zdaje się jest wykonalne (choć nie wiem na pewno, nie miałem nigdy konta na fb). A co ze spamem? Lubię mówić, że na każde zabezpieczenie znajdzie się jakieś obejście. Ale z drugiej strony, na każdy atak znajdzie się jakaś obrona. Spam nie jest rzeczą nową, antyspamy działają już nawet na darmowych kontach pocztowych. To nawet leży w interesie dostawców usług pocztowych, przecież w ten sposób spada load ich serwerów backendowych. No i poza tym, nie zawsze pamiętamy o tym, że konta mailowe można mieć więcej niż jedno i można sobie założyć konto tylko do rejestrowania się nim w internecie. A karta kredytowa? To już jest bardziej skomplikowane. Po pierwsze... zastanówmy się nad realnym zasięgiem takiego zagrożenia. Ilu z czytelników tego tekstu posiada kartę kredytową? Podkreślam - kredytową. To nie jest karta, która dostajemy do konta student w banku, do wypłacania pieniędzy w każdym bankomacie w Polsce. To karta kredytowa, więc trzeba posiadać... kredyt. A nie rachunek OR. Popularny błąd. Wystarczy, że przejdę się po callcenter i usłyszę przynajmniej jedną osobę tłumaczącą różnicę. Po drugie - takie kredyty są zazwyczaj ubezpieczone. Taki sam interes ma bank, żeby to kredytobiorca płacił kartą, a nie Pedro w Chile. Przytrafiła się w mojej rodzinie sytuacja, gdy opłata kartą kredytową gdzieś w Ameryce Południowej została zablokowana przez bank. Karta faktycznie została zczytana w jakimś bankomacie. Albo setki niezrealizowanych transakcji przez moją firmę, gdy dzwonił John Smith z Wielkiej Brytanii i łamanym angielskim prosił o bilet z RPA do Londynu dla swojego przyjaciela. Oczywiście można też stać się ofiarą podsłuchanych pakietów, poddać się sugestii phishinigowych wiadomości lub podczas rozmowy z sympatycznym panem niby z banku udzielić informacji poufnych.

Nie twierdzę, że zagrożenia dla użytkowników internetu nie ma. Twierdzę tylko, że realnie nie jest ono tak straszne, jak go przedstawiają. I że nie zawsze trzeba Van Helsinga, żeby zakołkować płaszcz w szafie.

Giganci na glinianych nogach

Na stronach dobrychprogramów można od czasu do czasu poczytać o różnych kuriozalnych lukach, albo brawurowym ataku na duże serwisy. Czy zastanawialiście się, jak to się stało, że Sony trzymał dane użytkowników plaintextem w bazie? Abstrahując od haseł - po co mi w bazie dane użytkowników zahashowane md5? Trzeba by stosować jakiś algorytm szyfrowania, który można odwrócić. Przecież nie jestem w stanie obciążyć 32 znakowego hasha md5, który kiedyś był numerem karty. Przy założeniu, że ilość operacji jest duża, a zasoby systemowe skończone, algorytm musi być realnie lekki i nieobciążający systemu, tak by w ogóle system działał. Wydaje się, że taki koncern jak Sony stać na zasoby systemów. Tylko, że dostępność tych zasobów na rynku również jest ograniczona. To tak, jakby mając wszystkie pieniądze świata chcieć zapewnić sobie nieskończone zasoby paliwa. To nie jest pójście na łatwizne, a realne i pragmatyczne podejście do zagadnienia. Czasy, gdy programista pisał co chciał, byleby działało się skończyło. Teraz zanim programista chwyci się klawiatury mijają godziny rozmów między analitykami biznesowymi, analitykami finansowymi, menadżerami działów itd. Ktoś taką decyzję podjął i na pewno miał ku temu powody. Że się wywaliło? Apollo 1 nawet nie wystartował, a mimo to kolejne kilka posłano w kosmos.

Tymczasem, bez jakiegoś większego zacietrzewienia przeszła informacja o poważnej dziurze w systemie googla, która pozwalała na usunięcie dowolnego wpisu z indeksu wyszukiwarki. W informacji na dobreprogramy padło stwierdzenie, że wykorzystanie tej luki w złej wierze mogło sparaliżować internet. Pod czym podpisuję się oboma rękoma. Ale sam przykład googla i jego dziury posłużyć ma mi za argument w tezie, że dziury zawsze istnieją, trzeba mieć tylko szczęście (jeśli się nie ma umiejętności) by je wykryć i wykorzystać. A i tak większość ze szczęśliwców podzieli się tym z właścicielem niezałatanej aplikacji (pewnie licząc na nagrodę. Swoją drogą bardzo dobra polityka firmy google). Trzeba więc mieć świadomość, że dziur w systemie prawie nie da się nie zostawiać.

Grupy, jak LulzSec, są pożywką dla tych wszystkich, którzy ogłaszają armageddon w internecie. Nie jest to dla Was jaskrawo widoczne, że gdyby nie medialne nagłośnienie sprawy ataków (przez dorobienie do tego ideologii i zbiegnięcie się w czasie z zamieszaniem wokół wikiLeaks), zostałby one znane w wąskim gronie, a panowie prezesowie nie rozpatrywaliby harakiri przed kamerami telewizyjnymi? Ile osób wie, że dane kilku tysięcy (może kilkuset) Polaków zostały wykradzione przez dwudziestopięciolatka z firmy telekomunikacyjnej? Tak, tak. Drogi użytkowniku telefonów stacjonarnych, internetu typu adsl lub dsl, możesz się bać. Dwudziestopięciolatek ma Twoje nazwisko i numer domu i nie zawaha się ich użyć.

Kończąc ten strasznie długi i chaotyczny wpis - zagrożenie atakiem hackerów istnieje, istniało i istnieć będzie. Tak samo jak zagrożenie zarażeniem się grypą typu A/H1N1. Nigdy z moich znajomych nigdy nie zachorował na tę grypę (choć w telewizji mówili, że są tacy, co chorowali), ale firmy farmaceutyczne akurat mają przygotowane miliony szczepionek.

Swoją drogą... to błędne koło... mogę stać się ofiarą ataków, ale ktoś chce o mnie zadbać i mi powtarza, że będzie o mnie dbał, bo mogę stać się ofiarą ataków, ale on o mnie...

I jeszcze cytacik na sam koniec: Wolę, gdy ludzie popierają mnie ze strachu niż z przekonania. Przekonania są zmienne, strach zawsze jest ten sam.

*Łaskawie spuszczam kurtynę milczenia na nazwę firmy. ** W cudzysłowiu, bo uważam, że atakujący w ten sposób to nie hackerzy.

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.