wtorek, 14 stycznia 2014

Co przyniesie rok 2014 w dziedzinie bezpieczeństwa IT

Jakie zmiany w bezpieczeństwie systemów informatycznych przyniesie nam rok 2014 trudno jest jednoznacznie stwierdzić, ponieważ przewidywanie na następne 12 miesięcy w tak szybko rozwijającym się środowisku jest wręcz niemożliwe. Kto by pomyślał rok temu, że polityka będzie odgrywała jedna z głównych ról w bezpieczeństwie. A wszystko przez Edwarda Snowdena, który zaserwował światu informacje o szpiegostwie i inwigilacji jakiej dopuszcza sie NSA i prawdopodobnie w 2014 roku dowiemy sie więcej o NSA i jej władzy absolutnej. Oczywiście jak wyjdą na jaw kolejne afery szpiegowskie, takie jak podsłuch komórki Angeli Merkel czy przechwytywanie "zaszyfrowanych" faksów Unii Europejskiej, to możemy spodziewać się głośnego politycznego bełkotu domagającego sie ogólnych przeprosin, zmian w procedurach wewnętrznych i propozycje nowych ustaw. Czy poprowadzi to do prawdziwych zmian, czy będzie tylko przysłowiowa kiełbasa wyborcza zobaczymy wkrótce.

Czy szyfrowanie wszystkiego to jedyny sposób na inwigilację rządu? Wydaje się, że na razie tak. Giganci udostępniający usługi internetowe zapowiadają, że będą szyfrować w 2014 roku na potęgę. Microsoft zapowiedział że będzie posiadał "best-in-class industry cryptography" i do końca roku będzie szyfrował wszystkie informacje przesyłane w ramach jego usług takich jak Outlook.com, Office 365 czy SkyDrive, natomast Yahoo do końca pierwszego kwartału 2014 wdroży szyfrowanie transmisji i w ten sposób wszystkie dane użytkownika będą bezużyteczne dla amerykańskiej NSA. Mniejsze firmy też powinny zacząć szyfrować swoje dane nie ze względu na inwigilacje rządowe ale na ataki hakerskie.




Ciekawe podejście do szyfrowania przedstawia Dave Frymier (Unisys CIO) w którym proponuje żeby firmy zamiast szyfrować wszystko jak leci, powinny zidentyfikować 5-15% wszystkich danych, które tak naprawdę są poufne i zabezpieczyć je poprzez zastosowanie szyfrowania. Dostęp do zaszyfrowanych danych powinien być ograniczony tylko do użytkowników którzy korzystaja ze specjalnie zabezpieczonych (hardened) komputerów, dzięki temu urządzenia, które są bardzo podatne na infekcje malware takie jak standardowe desktopy, laptopy, smartfony czy tablety są odcięte od dostępu do szyfrowanych danych. Z drugiej strony szyfrując wszystko utrudniamy intruderowi określenie jakie dane sa dla nas ważne, a jakie nie ponieważ wszystko jest zaszyfrowane.

Kolejnym argumentem za szyfrowaniem danych jest ilość wykradzionych danych w 2014. Wystarczy podać jako przykład Target (70 milionów kart kredytowych), Adobe (38 milionów kont użytkowników) czy Snapchat (4.6 milionów numerów telefonicznych). Można się spodziewać, że w 2014 roku firmy zaczną kłaść większy nacisk na szyfrowanie danych ponieważ będą wymagać tego właściciele, klienci oraz regulacje, a administrator będzie mógł powiedzieć "nie straciliśmy danych ponieważ używamy szyfrowania". Większość firm posiada wdrożone systemy szyfrowania, które szyfrują dane, transmisje pomiędzy klientem, centrami danych oraz danych procesowancyh czy przechowywanych w chmurze. Bardzo czesto jednak są to systemy wdrożone na potrzeby spełnienia standardów bezpieczeństwa, a nie żeby chronić dane przed kradzieżą. Zazwyczaj uważa się, że szyfrowanie jest zwyczajowym "check boxem" dla audytorów, a nie bierze się pod uwagę w jaki sposób jest ono wdrożone. Dane kart płatniczych wykradzionych z firmy Target były szyfrowane wiec w jaki sposób znalazły się na cyberprzestepczych forach i sklepach na sprzedaż za 20$-100$ za sztukę? Posiadając dane karty złodzieje mogą sklonować kartę i używać w sklepie, a jeżeli posiadają nr PIN mogą wypłacać taką kartą gotówkę z bankomatów. Prawdopodobnie hakerzy wykorzystali lukę w urządzeniach POS (point of sale) i zainfekowali je złośliwym kodem, który zbierał dane kart kredytowych z czytników paska magnetycznego. Po raz kolejny okazuje się ze bezpieczeństwo "końcówki kryptograficznej" jest czesto najsłabszym ogniwem w całym łańcuchu komunikacyjnym.

Następnym pytaniem na jakie firmy muszą odpowiedzieć sobie jest jaki algorytm szyfrowania i szyfr powinien być użyty do szyfrowania danych, ponieważ niektóre stare szyfry mogą być złamane dość szybko używając nawet zwykłego desktopa. Co da nam jednak szyfrowanie skoro NSA może świadomie wykorzystywać swoje wpływy aby obejść systemy szyfrowania. (http://www.theguardian.com/world/2013/sep/05/nsa-gchq-encryption-codes-security) lub zaimplementować backdoora, który zapewni dostęp do zaszyfrowanych danych. Poprzez sprawdzanie kodu źródłowego na pewno nie natkniemy się na takiego backdoora, wiec bardzo ważne jest skąd pochodzą takie produkty. Kupując software czy hardware trzeba mieć na względzie że nie wszystkie kraje maja dobre intencje i to może okazać się ryzykiem które podejmujemy przy zakupie. Trzeba wiedzieć komu można zaufać i dowiedzieć się gdzie producent produkuje bądź kupuje części do swoich produktów.

Ostatnie pytanie jakie powinny zadać sobie firmy jest jak silne powinno być szyfrowanie. Zastosowanie dłuższych kluczy spowoduje że hakerzy czy organizacje rządowe będą miały większy problem ze złamaniem szyfru, ale do zarządzania dłuższymi kluczami potrzebny jest odpowiedni sprzęt który wymaga większej mocy obliczeniowej. Powinno się używać tak długich kluczy na jakie pozwala nam software czy hardware, ale zazwyczaj używa się dwu czy czterokrotnie krótszych kluczy niż pozwalają nam na to nasze zasoby, a koszt jaki poniesiemy podczas wymiany klucza na dłuższy jest o wiele niższy, niż jaki ponieślibyśmy w przypadku utraty danych.

Z raportu Symantec "A Manifesto for Cyber Resilience" wynika że obecnie 15% ruchu w Internecie na świecie jest wykonywane poprzez telefony komórkowe i liczba ta stale rośnie, ponieważ 1/3 z wszystkich 5 bilionów telefonów komórkowych na świecie to smartfony, a że trend BOYD (bring your own device) rośnie, to możemy się spodziewać większej ilości ataków typu mobile malware. Ryzyko staje się coraz większe ze względu na wewnętrzne i zewnętrzne zagrożenia wliczając złe zarządzanie urządzeniem mobilnym, zewnętrzne zagrożenia w manipulacji oprogramowania, oraz słabo testowane i zawodne aplikacje biznesowe. Jeżeli ryzyko BYOD jest za duże dla firmy to z pewnością trzeba unikać takiego wdrażania, a jeżeli ryzyko jest akceptowane warto zwrócić uwagę na dobrze zaplanowane i zorganizowane wdrożenie. Należy pamiętać, że źle realizowana strategia może zniwalować granicę pomiędzy osobistymi a biznesowymi danymi i w ten sposób informacje biznesowe mogą być przechowywane w sposób niezabezpieczony na urządzeniu.

W raporcie Symantec znajdziemy bardzo ciekawą informację odnośnie Cyberatakow jakie są skierowane na ponad milion osób dziennie, co daje średnia 12 osób na sekundę. Roczne straty jakie ponoszą organizacje wynoszą 110 bilionów dolarów. Ataki malware wzrosły o 30% w stosunku do 2012 roku, a mobile malware aż o 139%. Najgorsze jest jednak to, że 62% wszystkich ataków zostało przeprowadzonych z zaufanych stron, które zostały zhakowane. Nie tylko korporacje czy organizacje rządowe są ofiarami cyberprzestepców, 31% ze wszystkich cyberataków sa celowane w organizacje w których pracuje mniej niż 250 osób. Korporacje są w miarę dobrze zabezpieczone ponieważ wiedzą, że nadszarpnięty wizerunek może ich sporo kosztować. Można się spodziewać ze w 2014 roku liczby te zostaną zwiększone a cyberprzestepcy będą tylko zwiększali zyski jakie będą osiągać w skali światowej. Cyberterroryzm, sponsorowane cyber armie, haktiwisci czy tego również możemy się spodziewać w 2014? Zobaczymy.

Pod koniec 2013 roku zauważyliśmy pewien ruch w strone biometrii, ruch który pozwoli nam zapomnieć o hasłach, które albo są za słabe, albo za trudne, a zazwyczaj przechowywane w niezbyt bezpieczny sposób. Bardzo czesto najprostszym sposobem na włamanie się do sytemu jest próba złamania hasła poprzez zgadywanie inteligentne, ataki słownikowe lub silowe ataki automatyczne sprawdzające wszystkie możliwe kombinacje ataków. Klienci Barclays dzwoniąc do banku nie muszą odpowiadać na zadne pytania sprawdzające ich tożsamość. Wystarczy porozmawiać z konsultantem banku, a system automatycznie zweryfikuje głos klienta za pomocą biometrycznej weryfikacji i to bez potrzeby wypowiadania żadnych haseł. Apple wprowadziło pierwszy czytnik linii papilarnych Touch ID, który zastąpił klasyczną metodę blokowania urządzeń. Samsung i inni producenci prawdopodobnie podażą w tym samym kierunku w 2014 roku.

Co będzie tematem numer jeden w bezpieczeństwie w 2014 roku dopiero się dowiemy, jednak jedno jest pewne, że przyszły rok przyniesie nam dużo radykalnych zmian i nowych technologii w bezpieczeństwie systemów informatycznych.

Brak komentarzy:

Prześlij komentarz