Mity bezpieczestwa IT.

Czy na pewno nie masz

si czego ba?
Autor: John Viega
Tumaczenie: Andrzej Grayski
ISBN: 978-83-246-2588-8
Tytu oryginau: The Myths of Security: What the
Computer Security Industry Doesnt Want You to Know
Format: A5, stron: 280
Poznaj najlepsze niekonwencjonalne sposoby zabezpieczania Twojego komputera
Czy potrafisz rozpozna, e Twj komputer zosta zainfekowany?
Czy wiesz, jakiego rodzaju zabezpiecze antywirusowych potrzebujesz?
Czy umiesz obroni si przed wirtualn kradzie tosamoci?
Jeli Twoja odpowied na powysze pytania bya przeczca i nie masz pojcia, czy
w Twoim komputerze dziaa jakikolwiek program antywirusowy, powiniene natychmiast
przeczyta ten podrcznik. A jeli odpowiedziae twierdzco i z racji wykonywanej
pracy doskonale znasz si na zabezpieczeniach komputerw ta ksika jest rwnie
dla Ciebie. Oto masz przed sob miao wyoone kontrowersyjne pogldy (dotyczce
zarwno bezpieczestwa, jak i odpowiedzialnoci za jego brak), ktre raz na zawsze
zmieni Twoj opini na ten temat i zainspiruj do niekonwencjonalnych dziaa w tym
zakresie.
W ksice Mity bezpieczestwa IT. Czy na pewno nie masz si czego ba? znajdziesz
niebanalne i kontrowersyjne informacje nie tylko na temat zabezpiecze, ale take
sposobw ich amania, dziki czemu zyskasz wiedz, skd moe nadej zagroenie
i w jaki sposb je rozpozna. Dziki temu podrcznikowi poznasz konkretne problemy
i niedoskonaoci systemw zabezpiecze oraz sposoby wprowadzania zmian i nowych
rozwiza. Dowiesz si, jak sprawnie zarzdza aktualizacjami, przeciwdziaa
kradzieom tosamoci, a przede wszystkim szybko zidentyfikowa grob ataku
i moliwo zainfekowania Twojego komputera.
Testy dobrego zabezpieczenia
Antywirusy
Systemy antywamaniowe
Bezpieczestwo open source
Sprawniejsze zarzdzanie aktualizacjami
Przeciwdziaanie kradzieom tosamoci
Optymalne uwierzytelnianie
Niebezpieczestwo sieci VPN
Dowiedz si, czego naprawd naley ba si w sieci i jak zapewni
bezpieczestwo Twojego komputera!

Spis treci

Przedmowa ...................................................................................................... 7
Wstp ...............................................................................................................11
Rozdzia 1.

Uomny przemys zabezpiecze .............................................................17

Rozdzia 2.

Bezpieczestwo kt si tym przejmuje? .....................................21

Rozdzia 3.

Trafi Ci atwiej, ni mylisz ....................................................................25

Rozdzia 4.

Dobrze by zym ..........................................................................................35

Rozdzia 5.

Test dobrego zabezpieczenia: czy warto go uywa? ....................39

Rozdzia 6.

AV Microsoftu strachy na Lachy .......................................................43

Rozdzia 7.

Czy Google jest zy? ....................................................................................47

Rozdzia 8.

Dlaczego antywirusy nie funkcjonuj (naleycie)? ..........................55

Rozdzia 9.

Czemu antywirusy s tak wolne? ...........................................................65

Rozdzia 10.

Cztery minuty do infekcji? ........................................................................71

Rozdzia 11.

Problemy z osobistymi firewallami .......................................................75

Rozdzia 12.

Nazwij to antywirus .................................................................................81

Rozdzia 13.

Systemy antywamaniowe czy dla wszystkich? ..........................87

Spis treci

Rozdzia 14.

Zapobieganie wamaniom problemy ........................................91

Rozdzia 15.

Rybek ci u nas dostatek ........................................................................97

Rozdzia 16.

Kult Schneiera ............................................................................................ 105

Rozdzia 17.

Pom innym, by pozostali bezpieczni ............................................ 109

Rozdzia 18.

Wowy olej pochodzcy take

od renomowanych producentw .......................................... 113
Rozdzia 19.

yjc w strachu .......................................................................................... 117

Rozdzia 20.

Apple czy faktycznie bardziej bezpieczny? ............................... 123

Rozdzia 21.

Czy mj telefon te jest zagroony? .................................................. 127

Rozdzia 22.

Czy producenci antywirusw sami tworz wirusy? ...................... 131

Rozdzia 23.

Pewna propozycja dla brany .............................................................. 133

Rozdzia 24.

Bezpieczestwo open source odwracanie uwagi ................... 139

Rozdzia 25.

Dlaczego SiteAdvisor by takim dobrym pomysem? .................. 149

Rozdzia 26.

Czy moemy przeciwdziaa kradzieom tosamoci

i jak to robi? .................................................................................. 153
Rozdzia 27.

Wirtualizacja sposb na bezpieczestwo hosta? .................... 159

Rozdzia 28.

Kiedy uporamy si
ze wszystkimi zagroeniami bezpieczestwa? .................. 163

Spis treci

Rozdzia 29.

Bezpieczestwo aplikacji a budet .................................................... 169

Rozdzia 30.

Odpowiedzialne ujawnianie nie zawsze odpowiedzialne ..... 179

Rozdzia 31.

Czowiek porodku mit czy zagroenie? ................................. 191

Rozdzia 32.

Atak na certyfikaty .................................................................................... 195

Rozdzia 33.

Precz z HTTPS! ............................................................................................ 199

Rozdzia 34.

C(r)AP-TCHA kompromis midzy wygod

a bezpieczestwem ..................................................................... 203
Rozdzia 35.

Nie bdziemy umiera za hasa ........................................................... 209

Rozdzia 36.

Spamu ju nie ma? ................................................................................... 215

Rozdzia 37.

Sprawniejsze uwierzytelnianie ............................................................ 221

Rozdzia 38.

(Nie)bezpieczestwo chmur? ............................................................... 229

Rozdzia 39.

AV 2.0 co powinnimy zrobi? ....................................................... 235

Rozdzia 40.

Niebezpieczne sieci VPN ........................................................................ 245

Rozdzia 41.

Bezpieczestwo a wygoda uytkowania ......................................... 247

Rozdzia 42.

Prywatno .................................................................................................. 249

Rozdzia 43.

Anonimowo ............................................................................................ 251

Rozdzia 44.

Sprawniejsze zarzdzanie aktualizacjami ........................................ 253

Spis treci

Rozdzia 45.

Przemys otwartego bezpieczestwa ................................................ 257

Rozdzia 46.

Naukowcy .................................................................................................... 259

Rozdzia 47.

Zamki elektroniczne ................................................................................ 263

Rozdzia 48.

Krytyczna infrastruktura ......................................................................... 265

Epilog ............................................................................................................ 267
Skorowidz .................................................................................................... 269

ROZDZIA 1.

Uomny przemys zabezpiecze

Jako ucze collegeu wsptworzyem projekt Alice, kierowany przez

Randyego Pauscha znanego ze swego Ostatniego wykadu1. System Alice
by systemem trjwymiarowego symulowania rzeczywistoci wirtualnej
praca nad nim nauczya mnie kilku mdrych rzeczy. Pierwotne zaoenia
Alice nie miay wiele wsplnego z rzeczywistoci wirtualn ani efektami 3D,
a skierowane byy na atwo budowania programw. Randy chcia opracowa narzdzie umoliwiajce uczniom tworzenie programw, bez koniecznoci uprzedniego zgbiania arkanw programowania pisaliby programy
komputerowe, nawet o tym nie wiedzc.
Po pocztkowej euforii wywoanej walk wietlistym mieczem z robotami
(trzymae w rku latark, lecz w rzeczywistoci wirtualnej rzucany przez
ni snop wiata wyglda jak wietlisty miecz) skonstatowaem, e raczej
nie jestem szczeglnym entuzjast grafiki komputerowej, zafascynowaa
mnie jednak atwo, z jak przecitny uytkownik mg tworzy zaawansowane efekty graficzne.
Z Randym spotkaem si po raz pierwszy na zajciach z inynierii uytecznoci (Usability Engineering), ktre prowadzi; ich tematem byo tworzenie oprogramowania atwego w obsudze. W tamtym czasie zastanawiaem
si, czy w ogle chc si zajmowa informatyk. Wiedziaem, e jestem w tym
dobry, ale niektre przedmioty mnie odstrczay, a wrcz zasypiaem
1

Patrz m.in. http://www.ostatni-wyklad.pl/ przyp. tum.

18

Rozdzia 1.

na zajciach z Fortranu czy matematyki dyskretnej. A tu Randy na pierwsze

zajcia przynis odtwarzacz wideo i pokaza, jak trudne mog stawa si
rzeczy banalne, w rodzaju ustawiania czasu w odtwarzaczu. Nacinicie
wszystkich przyciskw na raz powoduje, e trudno okreli zamiary uytkownika; podobnie frustrujce mog okaza si wyczniki owietlenia
sterujce nie tymi sekcjami wiate, co powinny, albo drzwi otwierane
do siebie zamiast od siebie, jak mona by si spodziewa.
Po czym Randy zaoy okulary ochronne i rozbi motem wspomniany magnetowid oraz inne (podarowane) urzdzenia z tandetnymi interfejsami
uytkownika.
To byo naprawd inspirujce wtedy uwiadomiem sobie, e waciwie
cay przemys elektroniki uytkowej jest uomny, poniewa nie dostarcza
ludziom rozwiza dobrych, a zaledwie akceptowalne. Projektanci zdaj
si wiedzie a priori, czego chc ich klienci, ale naprawd o nic tych klientw nie pytaj. Podobnie ma si rzecz z przemysem oprogramowania dla
komputerw. Mino prawie 15 lat i waciwie niewiele si w tym wzgldzie
zmienio przecitni uytkownicy nadal traktowani s po macoszemu.
Znam wielu menederw projektu majcych doskona koncepcj samego
produktu, lecz tylko niewielu z nich stara si konfrontowa swe wyobraenia z opiniami przecitnych uytkownikw. Wikszo przywizuje nadmiern wag do rzeczy, ktre powinny by mniej znaczce od zadowolenia
uytkownika np. do intensyfikacji sprzeday czy te tworzenia materiaw
reklamowych.
Po ukoczeniu collegeu zajem si zawodowo tematyk bezpieczestwa
i od 10 lat wci si ni zajmuj. To dziedzina niezmiernie pasjonujca,
choby z tego wzgldu, e wszelkie niedostatki zabezpiecze wyranie
negatywnie odbijaj si na wszelkich dziedzinach ludzkiej dziaalnoci,
majcych wiksze lub mniejsze zwizki z komputerami i informatyk. Uytkownicy Windows, niemal wszyscy, jakich znam, dowiadczyli cho raz
infekcji wirusa i w efekcie uszkodzenia wanych plikw, zaamania systemu
czy innych objaww skutkujcych zmniejszeniem produktywnoci. Ju
w collegeu mogem si przekona, jak luki w oprogramowaniu komputerw podczonych do internetu umoliwiaj hakerom zdalne manipulowa-

Uomny przemys zabezpiecze

19

nie zawartoci tych komputerw i w konsekwencji ich unieruchomienie.

Wszystko przez niewiarygodnie subtelne (wydawaoby si) luki w oprogramowaniu pochodzcym od dostawcw trzecich.
Bardzo szybko zgbiem ju istniejce technologie i zaczem si przygotowywa do swojego pierwszego uderzenia. Wraz z Garym McGrawem
napisaem pierwsz ksik o tworzeniu oprogramowania wolnego od
bdw bezpieczestwa Building Secure Software (Addison-Wesley)
a potem kilka innych; szczeglnie dumny jestem z Secure Programming
Cookbook (OReilly; http://oreilly.com/catalog/9780596003944/). Zaoyem
te firm o nazwie Secure Software, zajmujc si tworzeniem narzdzi do
automatycznego wyszukiwania potencjalnych problemw z zabezpieczeniami przy uyciu analizy kodu tworzonego przez programistw (firma
ta zostaa wchonita przez Fortify Software, gdzie obecnie jestem czonkiem komitetu doradczego). Kolejny szczebel mojej kariery zawodowej to
stanowisko wiceprezesa i gwnego architekta zabezpiecze (Chief Security
Architect) w McAfee, znanego na caym wiecie lidera w zakresie dedykowanej produkcji rodkw bezpieczestwa IT (co prawda, Symantec jest
kilkakrotnie wikszy, lecz zajmuje si take sprawami innymi ni zabezpieczenia, co McAfee pozwala dziery palm pierwszestwa w zakresie
zabezpiecze sensu stricto). Po kilku latach, podczas ktrych zajmowaem
si przejciami i fuzjami oraz zarzdzaniem technologiami bazowymi dla
wikszoci produktw McAfee, m.in. silnikiem antywirusowym, odszedem
do nowo tworzonej firmy IT. Po rocznej przerwie wrciem do McAfee jako
dyrektor techniczny dziau Software-as-a-Service.
Po dziesiciu latach mojego dyrektorowania wiat zabezpiecze nie wydaje
si lepszy, a pod wieloma wzgldami sprawy maj si nawet gorzej. Wszak
spoeczno internautw rozrosa si niepomiernie, a waciwa realizacja
zabezpiecze jest spraw niewiarygodnie trudn.
I faktycznie, rozgldajc si po wiecie zabezpiecze, widz to, co mj
przyjaciel Mark Curphey zwyk okrela jako security bullshit. Producenci
zabezpiecze nie koncentruj si na dostarczaniu swoim klientom dobrych
rozwiza. Co gorsza, nie s te zainteresowani sprzedawaniem bezpieczniejszych rozwiza, mimo e to wanie sugeruj.

20

Rozdzia 1.

Wemy jako przykad podstaw wszelkich zabezpiecze programy

antywirusowe wikszo uytkownikw zdaje sobie spraw z koniecznoci ich posiadania. Jednak wielu uwaa, e nie speniaj one naleycie
swej roli i trudno temu odczuciu odmwi racji, a przecie dostawcy oprogramowania AV wci doskonal swe produkty. Rozwizania antywirusowe czsto maj 15-letni histori i zdaj si by adekwatne wanie do swych
pocztkw, a nie wspczesnoci. Wikszo gwnych graczy na rynku
mogaby przez ten czas wyprodukowa co znacznie lepszego, ale za spraw
inercji mamy do czynienia z oprogramowaniem zuywajcym zbyt wiele
zasobw systemu i zdolnym powstrzymywa bodaj nie wicej ni poow
potencjalnych infekcji.
Podobnie jak Randy Pausch obnaa wady koncepcyjne konstrukcji magnetowidu, tak ja zamierzam przyczyni si do lepszego zrozumienia, co zego
dzieje si w przemyle zabezpiecze; czyni to z zamiarem uwiadomienia
przynajmniej wskiej grupie ludzi, e potrzeby klientw powinni traktowa
jako nadrzdne.
Motywem przewodnim tej ksiki jest przedstawienie obecnego obrazu
przemysu zabezpiecze z mojej perspektywy. Staram si, jak tylko to moliwe, nie tylko wskazywa konkretne problemy, lecz take przedstawia
konkretne propozycje koniecznych zmian. Mj krytycyzm odnosi si do
wikszoci firm, lecz nie jest to regua, np. bardzo ciesz si z osigni
McAfee na przestrzeni kilku ostatnich lat. Osignicia te s przede wszystkim owocem bacznego suchania zdania klientw oraz wielu innych inteligentnych ludzi. Nie chc tu nadmiernie eksponowa samej firmy McAfee,
jednak w wikszoci przypadkw opisywane problemy maj z ni zwizek
dla kadego problemu albo znalelimy ju rozwizanie, albo go poszukujemy. Nie wierz w adne cudowne rozwizania w zakresie bezpieczestwa, jestem natomiast przekonany, e uytkownicy nie powinni aowa
pienidzy na narzdzia zapewniajce im zarwno komfort pracy (np. oprogramowanie antywirusowe, ktre nie spowalnia komputera zbyt drastycznie), jak i wystarczajcy stopie bezpieczestwa (czyli oprogramowanie na
poziomie lepszym, ni dyktowany li tylko przez elementarn przyzwoito).
Niestety, wiele podstawowych rzeczy zrobiono zdecydowanie le, co odcisno swe negatywne pitno na caym przemyle zabezpiecze przemys
ten jest uomny, bo uomne s jego podstawy.

ROZDZIA 2.

Bezpieczestwo
kt si tym przejmuje?

To dziwne, jak powszechne wrd uytkownikw komputerw jest niedocenianie ryku zabezpiecze. Nie tak dawno przecie, w roku 2001, wiat
usysza o robakach Code Red, Nimda i Code Red II, a wszystkie czoowe
dzienniki regularnie przecigay si, podajc nowinki o masowych infekcjach komputerw. Od tego czasu intensywno podobnych publikacji
pocza sukcesywnie male i jedynie Zotob z roku 2005 zdaje si niepodzielnie krlowa w tej materii (cho jego popularno nie moe rwna
si tej z roku 2001), mimo i Storm Worm stanowi dla uytkownikw
powaniejszy problem.
Tak byo, gdy zaczem pisa t ksik. Gdy j skoczyem, rewelacje na
temat robaka Conficker wypeniay publikacje technologiczne ostatnich
szeciu miesicy. Kady, kto zajmowa si bezpieczestwem (bd w ogle
komputerami), o nim sysza. Jednak zagadywani przeze mnie przyjaciele
i rodzina nie wiedzieli nic o Confickerze, mimo codziennego studiowania
serwisw informacyjnych musieli widzie artykuy na ten temat, ale
prawdopodobnie pomijali je. Nawet niektrzy moi koledzy po fachu nie
mieli o nim pojcia dotyczyo to szczeglnie wielu z tych, ktrzy dawno
temu przesiedli si na komputery Macintosh.
Obecnie problematyka zabezpiecze zajmuje duo miejsca na amach prasy
technicznej, natomiast reszta wiata rzadko o niej syszy, a przecie szkodliwe oprogramowanie (malware) wszelkiego autoramentu mnoy si
w tempie wykadniczym. Dlaczego tak si dzieje, mimo inwestowania coraz

22

Rozdzia 2.

wikszych nakadw w zwalczanie szkodliwego oprogramowania (jak rwnie w jego wytwarzanie)? Ot, dziennikarze nie pisz o tym, poniewa
ludzi to nie interesuje, a niepojawianie si tematyki w codziennej prasie
przekada si na dalszy spadek zainteresowania tematem i tak oto nakrca
si spirala sprzenia zwrotnego ignorancji bezpieczestwa. Istniej oczywicie i inne przyczyny nikego zainteresowania zwykego uytkownika
problemami bezpieczestwa. Oto one.
Szkodnik woli pozostawa w ukryciu
Zwykle pierwszymi objawami infekcji, jakich mona by si spodziewa, s drastyczne spowolnienie komputera i zasypywanie uytkownika strumieniem reklam. Nietrudno jednak skonstatowa, e objawy
infekcji w doprowadzenie do ktrej zainwestowano by moe mnstwo pienidzy nie mog by a tak oczywiste dla uytkownika,
ten bowiem mgby wwczas natychmiast podj rodki zaradcze.
Dzisiejsze malware jest bardziej dyskretne: jeli nawet powoduje
wywietlanie reklam, czyni to z umiarem, by moe zastpujc wasnymi reklamami te prawdziwe. W efekcie uytkownik nie wie, i jego
komputer jest zainfekowany i pozostaje w bogim przekonaniu, e
zabezpieczenia naleycie speniaj sw rol, a moliwo zaatakowania
komputera nie wydaje mu si wielkim problemem.
Uytkownicy nie interesuj si zabezpieczeniami
Jeli wszystkie zabezpieczenia funkcjonuj prawidowo (czego nie
mona bezkrytycznie zaoy), uytkownik jest naleycie chroniony
przed zagroeniami, a wielu nawet nie zdaje sobie sprawy, e w ich
komputerze funkcjonuje program antywirusowy. Po prostu nigdy nie
widzieli go w akcji i nic nie wiedz o jego roli.
Skutki infekcji nie musz by powane
Gdy zdarza si przechwycenie numerw kart kredytowych, hase, kont
i identyfikatorw na du skal, mwi si o internetowej apokalipsie.
Uytkownicy obawiaj si transakcji internetowych, wielu cakowicie
rezygnuje z dokonywania zakupw przez internet. Pozostali wykazuj
mniejsz nieufno, bo to firmy zajmujce si obsug kart kredytowych
ponosz odpowiedzialno finansow. Zreszt przechwycenie numeru
karty nastpi moe rwnie w warunkach bardziej kameralnych ni

Bezpieczestwo kt si tym przejmuje?

23

sie, np. na zapleczu restauracji, gdy nieuczciwy kelner, przed woeniem karty do terminala, korzystajc z nieuwagi (ufnego) klienta, zeskanuje zawarto paska karty.
Temat zbyt nudny
Dla przecitnego czowieka nazwy Code Red, Nimda, Zotob, Storm
Worm oznaczaj mniej wicej to samo. Bezpieczestwo komputerowe
nie jest wdziczn tematyk i przy okazji nowego incydentu nagwki
gazet brzmi prawie tak samo jak poprzednio. Co prawda, inne s
nazwy szkodnikw, szybkoci i metody ich rozprzestrzeniania, skutki
destrukcji itd., lecz przecitny czytelnik nie czuje si jako szczeglnie
zagroony i artykuw na ten temat zwyczajnie nie czyta, a dziennikarze przestaj je pisywa. C, biznes to biznes.
Brak zaufania do przemysu zabezpiecze
Ludzie uwaaj, e nieciekawy jest wiat, w ktrym znajduj si wycznie rzeczy dobrze im znane, np. nie interesuj ich specjalnie programy antywirusowe, ktre przewanie dziaaj i spowalniaj komputer. Prawda to czy nie (w tym przypadku akurat tak), ale przemys zabezpiecze nie ma zbyt dobrej prasy wrd przecitnych
uytkownikw (ilu to pytao mnie, zupenie serio, czy McAfee sam
produkuje wirusy, ktre potem wykrywa jego oprogramowanie)
i wszelkie historie opowiadane przez producentw i dostawcw zabezpiecze traktowane s jako nie do koca zasugujce na zaufanie.
To, e sama tematyka bezpieczestwa komputerowego wywouje u przecitnego czowieka odruch ziewania, jest tylko spostrzeeniem socjologicznym, waniejsze s natomiast technologiczne konsekwencje tego dla przemysu zabezpiecze.
Uytkownicy nie rozrniaj poszczeglnych produktw, oczekujc
jednego, ktry wszystko zaatwi.
Uytkownicy nie s skonni paci zbyt wiele za zabezpieczenia. Oczekuj pojedynczego produktu, czuj si okradani, gdy proponuje im si
pakiety zintegrowane, nie widz zbytniej rnicy midzy darmowymi
zwykle wersjami entry-level i patnymi wersjami premium. wiadomo wartoci oferowanych przez te ostatnie jest znikoma, czsto
postrzegane s jak magazyn nikomu niepotrzebnej funkcjonalnoci.

24

Rozdzia 2.

W powszechnym odczuciu uytkownikw (zwaszcza Windows)

antywirus to co, co trzeba mie, nawet jeli nie jest si gboko przekonanym o jego skutecznoci.
Kolejn konsekwencj wspomnianej niewiadomoci jest fakt, e wielu
uytkownikw nie interesuje si tym, czy ich oprogramowanie antywirusowe rzeczywicie dziaa! Czsto oprogramowanie to preinstalowane jest
przez dostawc sprztu (OEM) na nowym komputerze i cechuje si ograniczonym okresem uywalnoci, zwykle nie duszym ni rok. Po tym czasie
konieczne jest odnowienie licencji, zakupienie penej wersji itp., zalenie
od konkretnego produktu, o czym uytkownicy zapominaj, przekonani, e
otrzymali darmowy produkt na zawsze. Komunikaty przypominajce
o zbliajcym si upywie licencji s ignorowane, a gdy przychodzi dzie
zero, antywirus przestaje dziaa i komputer pozbawiony zostaje ochrony
(czym uytkownik take si zbytnio nie przejmuje).
Nie wydaje si, by istniaa prosta recepta na zmian tej wiadomoci. Moim
zdaniem, w wyobraeniach klientw warto ochrony komputerw systematycznie spada, szczeglnie wskutek darmowych rozwiza antywirusowych w rodzaju AVG, Avir czy Avast (przepraszam wiat open source, nie
wspomniaem o ClamAV). Jeli nawet darmowe programy antywirusowe
s produktami w gruncie rzeczy kiepskimi, znajduj licznych uytkownikw, kierujcych si raczej wzgldami cenowymi ni jakociowymi. Nie
chc przez to powiedzie, e bardziej znana marka koniecznie oznacza
lepsze produkty, na pewno jednak znana marka jest dobrym punktem wyjcia
do poszukiwa. W przekonaniu konsumentw program uznanej marki
musi by wystarczajco kompetentny, w przeciwnym razie firma nie odniosaby sukcesu.
Myl, e droga bdzie duga i ciernista. Konieczne jest przezwycienie
wielu problemw, ktre postaram si nawietli w nastpnych rozdziaach.

ROZDZIA 3.

Trafi Ci atwiej, ni mylisz

Znam wielu aroganckich geekw1, ktrzy nie obawiaj si zagroenia ze

strony malware, bowiem w swym przekonaniu postpuj bardzo ostronie
i aden szkodnik nie ma prawa przedosta si na ich komputery. Wtruj im
legiony uytkownikw Apple przekonanych, e system operacyjny Mac OS X
jest (magicznie) lepszy ni wikszo konkurentw, i oczywicie uytkownicy Visty, uwaajcy j za najbezpieczniejszy system na wiecie, jaki
kiedykolwiek stworzono.
Ludzie ci myl tak, jak chc intruzi czyhajcy na zasoby ich komputerw.
Trafienie komputera jest wwczas atwiejsze, ni mona by si spodziewa,
i w praktyce moe oznacza kilka rzeczy. Moe sprowadza si do zainstalowania szkodliwego oprogramowania, moe take polega na niekontrolowanym wycieku danych z komputera (za spraw tego szkodliwego
oprogramowania lub z innych przyczyn).
Zacznijmy od zainfekowania komputera (czyli od instalacji zoliwego oprogramowania). Najczciej dokonuje tego wasnorcznie sam uytkownik.
Wystarczy w tym celu jedno nawet kliknicie linku przesanego poczt
elektroniczn bd uruchomienie pobranej z internetu szkodliwej aplikacji,
udajcej porzdny program lub uaktualnienie do tego.
Bogactwo technik podstpu, stosowanych przez hakerw, jest przeogromne.
Wielk rol gra tu ludzka psychika i rodki socjotechniczne, prowadzce
1

Patrz np. http://pl.wikipedia.org/wiki/Geek przyp. tum.

26

Rozdzia 3.

do tego, e uytkownik pobierajcy szkodnika przekonany jest, i pobiera

przyzwoite oprogramowanie. Przykadowo nastolatek pobierajcy efektown tapet na pulpit nie podejrzewa, e doczona do niej wtyczka do
Media Playera nie ma z tym ostatnim nic wsplnego (bd co gorsza
ma, ale skrywa jeszcze wirus, instalowany wraz z tym pluginem). Kliknicie
hipercza click here (rysunek 3.1) uruchamia proces pobierania i instalowania wymienionych komponentw. eby wszystko wygldao jeszcze
bardziej wiarygodnie, nowego dodatku mona uy do odtworzenia wideo.

Rysunek 3.1. Malware mona skutecznie maskowa pod postaci niewzbudzajcego

podejrze odnonika do pluginu Media Player

Wrd oprogramowania skrywajcego w sobie malware na czoo wysuwaj

si wygaszacze ekranw. We wszystkich serwisach oferujcych bogaty repertuar wygaszaczy znajduj si te takie, ktre s jednoczenie rdem malware. Podobnie prawdopodobnym jego rdem mog by darmowe gry
i inne samowykonywalne (z rozszerzeniem .exe) aplikacje.
Oczywicie, szanujcy si geek jest wiadomy sytuacji i jednoczenie przekonany o swej przebiegoci: nie korzysta z linkw, ktre nie ciesz si
powszechnym uznaniem (czyli cechuj si niskim licznikiem klikni), bo
takowe nie pochodz raczej z wiarygodnego rda. To jednak nie wystarcza,

Trafi Ci atwiej, ni mylisz

27

bowiem w wielu przypadkach, mylc, e pobierasz pewn aplikacj, moesz

pobra naprawd inn. Dzieje si tak np. wtedy, gdy zoliwy uytkownik
Twojej sieci lokalnej przypuci atak typu man-in-the-middle albo przeprowadzi zatrucie pamici cache DNS (nie obawiaj si, jeli pojcia te nic
Ci nie mwi; ich znaczenie nie jest w tej chwili istotne). Ataki takie zdarzaj
si jednak stosunkowo rzadko.
Innym sposobem przejcia komputera jest wykorzystanie luk w mechanizmach bezpieczestwa systemu operacyjnego, zwaszcza w jego czciach
komunikujcych si z internetem oraz w przegldarkach WWW. Przegldarki s tak skomplikowane, e w ich masywnym kodzie nietrudno przeoczy luk, niezalenie od tego, jak bardzo chciaoby si jej unikn (do tej
kwestii powrc w kolejnych rozdziaach). Autorzy szkodliwych stron
WWW celuj w wykorzystywaniu takich luk: zaadowanie spreparowanej
strony WWW do dziurawej przegldarki, dziaajcej w dziurawym systemie operacyjnym prowadzi zwykle do zainstalowania malware.
Przegldarki s wan, lecz nie jedyn kategori dziurawego oprogramowania. Rwnie dobrze luk spotka mona w aplikacji biurowej, np. w MS
Word, gdzie zaadowanie spreparowanego dokumentu prowadzi moe do
zainstalowania malware.
Podobnie dziurawym komponentem systemu operacyjnego s usugi (services) firmy Microsoft programy, ktre dziaaj w tle, uruchamiane automatycznie wraz ze startem systemu lub w momencie zalogowania uytkownika. Zadaniem wielu z nich jest komunikowanie si z innymi komputerami w sieci. Intruz, znajc luk bezpieczestwa w kodzie danej usugi,
czy si z ni i uzyskuje dostp do komputera, z wiadomymi konsekwencjami, ale bez wiadomoci uytkownika. Rozmaite techniki z zaporami
sieciowymi na czele maj za zadanie paraliowanie tego typu poczynania przez ukrywanie wybranych usug przed wiatem zewntrznym. Nawet
i to nie likwiduje cakowicie ryzyka, bowiem usugi te widoczne s dla
innych komputerw wewntrz sieci korporacyjnej. Jednake zestaw usug
widocznych domylnie dla innych komputerw ogranicza si do kilku podstawowych mechanizmw komunikacyjnych (cho w przeszoci nawet
i one stanowiy nie lada problem).

28

Rozdzia 3.

Jednak nawet zaatanie wszystkich luk w zabezpieczeniach przegldarki

nie likwiduje zagroenia, bowiem przed ekranem komputera znajduje si
najbardziej zawodny element systemu uytkownik. Zadziwiajco skutecznym chwytem jest podszywanie si programw szkodnikw pod legalne
oprogramowanie co, co zewntrznie wyglda bez zarzutu, kryje w sobie
destrukcyjne mechanizmy; bezkrytyczne ufanie pozorom moe prowadzi
do katastrofy. Przykadowo drobny bd literowy w adresie URL spowodowa moe przekierowanie do strony wywietlajcej komunikat o rzekomym zagroeniu wirusowym i zalecenie pobrania odtrutki; kliknicie
przycisku OK (rysunek 3.2) powoduje, e zamiast odtrutki wsczana jest
prawdziwa trucizna. Sugerowana odtrutka moe te mie form oprogramowania antyszpiegowskiego (rysunek 3.3).

Rysunek 3.2. Jeden z trikw stosowanych przez producentw malware: oferowany

antywirus jest w rzeczywistoci malware

Dla uytkownikw Windows wywietlane komunikaty zdaj si by bardziej wiarygodne, jeli wygldaj na pochodzce od producenta, czyli
firmy Microsoft. Na rysunku 3.4 widzimy efektowny monit o zainstalowanie antywirusa, a bogactwo oferowanych opcji (rysunek 3.5) ma w monit
jeszcze bardziej uwiarygodni.

Trafi Ci atwiej, ni mylisz

Rysunek 3.3. Podobny trik sugerowane jest pobranie oprogramowania

antyszpiegowskiego

Rysunek 3.4. Faszywy monit wygldajcy jak regularny komunikat Windows

29

30

Rozdzia 3.

Rysunek 3.5. Bardziej uwiarygodniona odmiana faszywego monitu

To wszystko nie przekonuje jednak wielu aroganckich uytkownikw,

ktrzy czuj si bezpieczni, bo nie zagldaj na podejrzane strony, nie potrzebuj zatem adnego oprogramowania zabezpieczajcego, a przed niepodan ingerencj z zewntrz chroni ich komputer zapora sieciowa, ktra
nie dopuszcza do nieuprawnionego wysyania danych nawet wtedy, kiedy
dziaajce na komputerze usugi s zainfekowane.
Nie obawiaj si te, e padn ofiarami phishingu. Nauczyli si ju ignorowa e-maile pochodzce z eBay, ktre nie zawieraj ich osobistego identyfikatora (spamerzy nie uywaj indywidualnych identyfikatorw klientw,
bo ich po prostu nie znaj). Nie pobieraj te kartki od znajomego, jeli
imi i nazwisko nadawcy nie zostao wymienione. Mimo to znam kilka przypadkw, kiedy ostrono ta okazaa si niewystarczajca.
Autorzy phishingu stosuj w zasadzie te same, dziaajce techniki, lecz
czasem wrzucaj wyszy bieg. Kilka tygodni przed napisaniem tych sw
byem wiadkiem phishingowych e-maili zawierajcych informacj o paczce
kierowanej do adresata i niemonoci dostarczenia jej z powodu braku
dokadnych danych adresowych. E-maile wyglday tak, jakby wysane

Trafi Ci atwiej, ni mylisz

31

zostay przez firm UPS; podanie szczegowych danych miao spowodowa, e paczka zostanie dorczona. Jako e chwyt by na wskro nowatorski,
wielu nawet bardzo ostronych uytkownikw dao si nabra.
Pisherzy nie ustaj w poszukiwaniu nowych technik. Jedn z nich jest
phishing selektywny, tzw. spearphishing, kierowany do konkretnych firm
lub nawet osb. Uytkownik otrzymuje e-mail wygldajcy tak, jakby
wysany by z jego firmowej sieci; w treci komunikatu znajduje si proba
o zmian hasa uytkownika na firmowym serwerze, bowiem okres wanoci aktualnego hasa dobiega koca. Uytkownik loguje si za pomoc
dotychczasowego hasa, wpisuje zmienione haso to pierwsze wdruje do
rzeczywistego autora e-maila, drugie przepada bezpowrotnie, na serwerze
nic si nie zmienia.
Spearphishing sprawdza si znakomicie w portalach spoecznociowych,
gdzie atwo wykona chwyt na kartk od znajomego. Chwyt rozpoczyna
si od poznania adresu e-mail potencjalnej ofiary na podstawie imienia
i nazwiska2. Jeeli natomiast pisher dysponuje gotowym adresem e-mail,
moe wydedukowa imi jego waciciela, np. za pomoc prostego przeszukiwania internetu (co daje si atwo automatyzowa).
Gdyby wspomnianym pisherem by mj kolega, z pewnoci odnalazby
mnie na Facebooku (rysunek 3.6 na potrzeby tego eksperymentu utworzyem nowe fikcyjne konto [bez znajomych], ktre potem skasowaem).
Skoro mamy ju ofiar adresata pora na znalezienie nadawcy, ktry
wyda si mu wiarygodny. W tym celu najprociej przejrze list jego znajomych (rysunek 3.7).
Wspaniale, jest z czego wybiera. Jeeli faszywy nadawca podszyje si pod
osob mieszkajc np. w Bostonie, MA, analizujc mj yciorys zawodowy
(rysunek 3.8), z pewnoci znajdzie szczegy zdolne dostatecznie uwiarygodni tre e-maila.

Poniewa nie zawsze istnieje prosta odpowiednio midzy cigiem

imi.nazwisko a adresem e-mail, phisher generuje seri prawdopodobnych
adresw w nadziei, e ktry z nich okae si autentyczny przyp. tum.

32

Rozdzia 3.

Rysunek 3.6. Krok 1. eksperymentalnego phishingu: znalezienie ofiary na Facebooku

Rysunek 3.7. Krok 2.: wybr potencjalnego nadawcy spord znajomych adresata

Co prawda, Facebook umoliwia ukrycie listy znajomych przed wiatem

zewntrznym, domylnie s oni jednak widoczni dla wszystkich i wikszo
uytkownikw nie zmienia tego ustawienia. Pisherzy wiedz o tym, e znane
portale wyposaone s w mechanizmy detekcji uytkownikw prbujcych
pobiera zbyt wiele informacji na raz, tote pobieraj t informacj oszczd-

Trafi Ci atwiej, ni mylisz

33

Rysunek 3.8. Krok 3: wybr informacji osobistych adresata

nie. Mog sobie na to pozwoli, bowiem ich celem jest wysanie niewielkiej
liczby ukierunkowanych e-maili, co i tak daje im wiksz szans powodzenia
ni zmasowana akcja spamerska.
Znam kilku skrajnie pewnych siebie geekw, ktrzy unikaj nawet pobierania kartek z jawnie wskazanym nadawc i adresatem, nawet tych, ktre
wygldaj na wysane przez matk czy sympati (takie te mona atwo
spreparowa, wybierajc znajomych z tego samego miasta). Czuj si
odporni na wszystkie te zagroenia, o ktrych dotd napisaem.
Czuj si absolutnie odporni na wszelkie przejawy podstpu socjotechnicznego!

34

Rozdzia 3.

I, jak wspomniaem, nigdy nie zagldaj na ryzykowne strony. Czy na

pewno? Nigdy nie zagldali na MLB.com (to gwna strona pierwszej ligi
futbolowej), stron Economist czy typowy serwis geekw, taki jak Slashdot?
Wszystkie te serwisy zbudowane zostay w dobrej wierze, lecz mimo to
stanowi mog rdo infekcji. li faceci wykupuj legaln reklam w uznanym serwisie i od czasu do czasu wrzucaj tam nielegaln zawarto,
np. reklam faszywego antywirusa, ktry w rzeczywistoci moe by programem szpiegowskim, albo reklam wygldajca normalnie, ale wykorzystujc znane luki w przegldarkach. To wszystko moe si zdarzy
w dowolnym serwisie oferujcym reklamy, takim jak CNN.com. Oczywicie, w serwisach takich funkcjonuj mechanizmy prbujce eliminowa
szkodliwe treci, co jednak nigdy nie daje stuprocentowej skutecznoci, gdy
reklamy czsto zawieraj spor porcj kodu, a nie tylko statyczne obrazki.
Kod ten tworzony jest najczciej w jzyku ActionScript firmy Adobe.
Jeeli mimo wszystko uwaasz, e nie grozi Ci opisane niebezpieczestwo ze strony reklam, jeste naprawd zadufany w sobie. Podejrzewam, e
naleysz do jednej z dwch poniszych kategorii:
mylisz, e nie mona Ci przechytrzy i zawsze uywasz tylko najnowszej wersji przegldarki,
mylisz, e jeste bezpieczny, bo pracujesz w bezpiecznym rodowisku Apple i (lub) Linux bd te uywasz nietypowej, mao popularnej przegldarki, takiej jak Opera, albo te stosujesz inne nietypowe
rozwizanie, co chroni Ci przed niebezpieczestwem.
Rozumowanie typowe dla kategorii pierwszej ma t wad, e w najnowszej
wersji przegldarki mog zosta wykryte nowe luki w zabezpieczeniach. Od
tego dnia zerowego do momentu opracowania odpowiedniej poprawki
zawsze mija troch czasu. Na szczcie, sytuacje takie nie s zbyt czste.
Jeeli naleysz do drugiej kategorii, nie jeste dla intruzw celem zbyt atrakcyjnym taniej bdzie poszuka im potencjalnych ofiar w innych rodowiskach. To jednak tylko cz prawdy, szczeglnie uytkownicy Apple maj
powody do obaw, co wkrtce wyjani.