Professional Documents
Culture Documents
Spis treci
Przedmowa ...................................................................................................... 7
Wstp ...............................................................................................................11
Rozdzia 1.
Spis treci
Rozdzia 14.
Kiedy uporamy si
ze wszystkimi zagroeniami bezpieczestwa? .................. 163
Spis treci
Rozdzia 29.
Spis treci
Rozdzia 45.
ROZDZIA 1.
18
Rozdzia 1.
19
20
Rozdzia 1.
ROZDZIA 2.
Bezpieczestwo
kt si tym przejmuje?
To dziwne, jak powszechne wrd uytkownikw komputerw jest niedocenianie ryku zabezpiecze. Nie tak dawno przecie, w roku 2001, wiat
usysza o robakach Code Red, Nimda i Code Red II, a wszystkie czoowe
dzienniki regularnie przecigay si, podajc nowinki o masowych infekcjach komputerw. Od tego czasu intensywno podobnych publikacji
pocza sukcesywnie male i jedynie Zotob z roku 2005 zdaje si niepodzielnie krlowa w tej materii (cho jego popularno nie moe rwna
si tej z roku 2001), mimo i Storm Worm stanowi dla uytkownikw
powaniejszy problem.
Tak byo, gdy zaczem pisa t ksik. Gdy j skoczyem, rewelacje na
temat robaka Conficker wypeniay publikacje technologiczne ostatnich
szeciu miesicy. Kady, kto zajmowa si bezpieczestwem (bd w ogle
komputerami), o nim sysza. Jednak zagadywani przeze mnie przyjaciele
i rodzina nie wiedzieli nic o Confickerze, mimo codziennego studiowania
serwisw informacyjnych musieli widzie artykuy na ten temat, ale
prawdopodobnie pomijali je. Nawet niektrzy moi koledzy po fachu nie
mieli o nim pojcia dotyczyo to szczeglnie wielu z tych, ktrzy dawno
temu przesiedli si na komputery Macintosh.
Obecnie problematyka zabezpiecze zajmuje duo miejsca na amach prasy
technicznej, natomiast reszta wiata rzadko o niej syszy, a przecie szkodliwe oprogramowanie (malware) wszelkiego autoramentu mnoy si
w tempie wykadniczym. Dlaczego tak si dzieje, mimo inwestowania coraz
22
Rozdzia 2.
wikszych nakadw w zwalczanie szkodliwego oprogramowania (jak rwnie w jego wytwarzanie)? Ot, dziennikarze nie pisz o tym, poniewa
ludzi to nie interesuje, a niepojawianie si tematyki w codziennej prasie
przekada si na dalszy spadek zainteresowania tematem i tak oto nakrca
si spirala sprzenia zwrotnego ignorancji bezpieczestwa. Istniej oczywicie i inne przyczyny nikego zainteresowania zwykego uytkownika
problemami bezpieczestwa. Oto one.
Szkodnik woli pozostawa w ukryciu
Zwykle pierwszymi objawami infekcji, jakich mona by si spodziewa, s drastyczne spowolnienie komputera i zasypywanie uytkownika strumieniem reklam. Nietrudno jednak skonstatowa, e objawy
infekcji w doprowadzenie do ktrej zainwestowano by moe mnstwo pienidzy nie mog by a tak oczywiste dla uytkownika,
ten bowiem mgby wwczas natychmiast podj rodki zaradcze.
Dzisiejsze malware jest bardziej dyskretne: jeli nawet powoduje
wywietlanie reklam, czyni to z umiarem, by moe zastpujc wasnymi reklamami te prawdziwe. W efekcie uytkownik nie wie, i jego
komputer jest zainfekowany i pozostaje w bogim przekonaniu, e
zabezpieczenia naleycie speniaj sw rol, a moliwo zaatakowania
komputera nie wydaje mu si wielkim problemem.
Uytkownicy nie interesuj si zabezpieczeniami
Jeli wszystkie zabezpieczenia funkcjonuj prawidowo (czego nie
mona bezkrytycznie zaoy), uytkownik jest naleycie chroniony
przed zagroeniami, a wielu nawet nie zdaje sobie sprawy, e w ich
komputerze funkcjonuje program antywirusowy. Po prostu nigdy nie
widzieli go w akcji i nic nie wiedz o jego roli.
Skutki infekcji nie musz by powane
Gdy zdarza si przechwycenie numerw kart kredytowych, hase, kont
i identyfikatorw na du skal, mwi si o internetowej apokalipsie.
Uytkownicy obawiaj si transakcji internetowych, wielu cakowicie
rezygnuje z dokonywania zakupw przez internet. Pozostali wykazuj
mniejsz nieufno, bo to firmy zajmujce si obsug kart kredytowych
ponosz odpowiedzialno finansow. Zreszt przechwycenie numeru
karty nastpi moe rwnie w warunkach bardziej kameralnych ni
23
sie, np. na zapleczu restauracji, gdy nieuczciwy kelner, przed woeniem karty do terminala, korzystajc z nieuwagi (ufnego) klienta, zeskanuje zawarto paska karty.
Temat zbyt nudny
Dla przecitnego czowieka nazwy Code Red, Nimda, Zotob, Storm
Worm oznaczaj mniej wicej to samo. Bezpieczestwo komputerowe
nie jest wdziczn tematyk i przy okazji nowego incydentu nagwki
gazet brzmi prawie tak samo jak poprzednio. Co prawda, inne s
nazwy szkodnikw, szybkoci i metody ich rozprzestrzeniania, skutki
destrukcji itd., lecz przecitny czytelnik nie czuje si jako szczeglnie
zagroony i artykuw na ten temat zwyczajnie nie czyta, a dziennikarze przestaj je pisywa. C, biznes to biznes.
Brak zaufania do przemysu zabezpiecze
Ludzie uwaaj, e nieciekawy jest wiat, w ktrym znajduj si wycznie rzeczy dobrze im znane, np. nie interesuj ich specjalnie programy antywirusowe, ktre przewanie dziaaj i spowalniaj komputer. Prawda to czy nie (w tym przypadku akurat tak), ale przemys zabezpiecze nie ma zbyt dobrej prasy wrd przecitnych
uytkownikw (ilu to pytao mnie, zupenie serio, czy McAfee sam
produkuje wirusy, ktre potem wykrywa jego oprogramowanie)
i wszelkie historie opowiadane przez producentw i dostawcw zabezpiecze traktowane s jako nie do koca zasugujce na zaufanie.
To, e sama tematyka bezpieczestwa komputerowego wywouje u przecitnego czowieka odruch ziewania, jest tylko spostrzeeniem socjologicznym, waniejsze s natomiast technologiczne konsekwencje tego dla przemysu zabezpiecze.
Uytkownicy nie rozrniaj poszczeglnych produktw, oczekujc
jednego, ktry wszystko zaatwi.
Uytkownicy nie s skonni paci zbyt wiele za zabezpieczenia. Oczekuj pojedynczego produktu, czuj si okradani, gdy proponuje im si
pakiety zintegrowane, nie widz zbytniej rnicy midzy darmowymi
zwykle wersjami entry-level i patnymi wersjami premium. wiadomo wartoci oferowanych przez te ostatnie jest znikoma, czsto
postrzegane s jak magazyn nikomu niepotrzebnej funkcjonalnoci.
24
Rozdzia 2.
ROZDZIA 3.
26
Rozdzia 3.
27
28
Rozdzia 3.
Dla uytkownikw Windows wywietlane komunikaty zdaj si by bardziej wiarygodne, jeli wygldaj na pochodzce od producenta, czyli
firmy Microsoft. Na rysunku 3.4 widzimy efektowny monit o zainstalowanie antywirusa, a bogactwo oferowanych opcji (rysunek 3.5) ma w monit
jeszcze bardziej uwiarygodni.
29
30
Rozdzia 3.
31
zostay przez firm UPS; podanie szczegowych danych miao spowodowa, e paczka zostanie dorczona. Jako e chwyt by na wskro nowatorski,
wielu nawet bardzo ostronych uytkownikw dao si nabra.
Pisherzy nie ustaj w poszukiwaniu nowych technik. Jedn z nich jest
phishing selektywny, tzw. spearphishing, kierowany do konkretnych firm
lub nawet osb. Uytkownik otrzymuje e-mail wygldajcy tak, jakby
wysany by z jego firmowej sieci; w treci komunikatu znajduje si proba
o zmian hasa uytkownika na firmowym serwerze, bowiem okres wanoci aktualnego hasa dobiega koca. Uytkownik loguje si za pomoc
dotychczasowego hasa, wpisuje zmienione haso to pierwsze wdruje do
rzeczywistego autora e-maila, drugie przepada bezpowrotnie, na serwerze
nic si nie zmienia.
Spearphishing sprawdza si znakomicie w portalach spoecznociowych,
gdzie atwo wykona chwyt na kartk od znajomego. Chwyt rozpoczyna
si od poznania adresu e-mail potencjalnej ofiary na podstawie imienia
i nazwiska2. Jeeli natomiast pisher dysponuje gotowym adresem e-mail,
moe wydedukowa imi jego waciciela, np. za pomoc prostego przeszukiwania internetu (co daje si atwo automatyzowa).
Gdyby wspomnianym pisherem by mj kolega, z pewnoci odnalazby
mnie na Facebooku (rysunek 3.6 na potrzeby tego eksperymentu utworzyem nowe fikcyjne konto [bez znajomych], ktre potem skasowaem).
Skoro mamy ju ofiar adresata pora na znalezienie nadawcy, ktry
wyda si mu wiarygodny. W tym celu najprociej przejrze list jego znajomych (rysunek 3.7).
Wspaniale, jest z czego wybiera. Jeeli faszywy nadawca podszyje si pod
osob mieszkajc np. w Bostonie, MA, analizujc mj yciorys zawodowy
(rysunek 3.8), z pewnoci znajdzie szczegy zdolne dostatecznie uwiarygodni tre e-maila.
32
Rozdzia 3.
Rysunek 3.7. Krok 2.: wybr potencjalnego nadawcy spord znajomych adresata
33
nie. Mog sobie na to pozwoli, bowiem ich celem jest wysanie niewielkiej
liczby ukierunkowanych e-maili, co i tak daje im wiksz szans powodzenia
ni zmasowana akcja spamerska.
Znam kilku skrajnie pewnych siebie geekw, ktrzy unikaj nawet pobierania kartek z jawnie wskazanym nadawc i adresatem, nawet tych, ktre
wygldaj na wysane przez matk czy sympati (takie te mona atwo
spreparowa, wybierajc znajomych z tego samego miasta). Czuj si
odporni na wszystkie te zagroenia, o ktrych dotd napisaem.
Czuj si absolutnie odporni na wszelkie przejawy podstpu socjotechnicznego!
34
Rozdzia 3.