Odpowiedzialne ujawnienie

Ostatnie dni przyniosły falę ataków nowego kolektywu sieciowych włamywaczy. Kilka razy na dobę grupa LulzSec wypuszczała w sieć paczki wykradzionych danych. Nazwa kolektywu to drwina, mówi, że robią to bo mogą, "for teh lulz" (najlepsze tłumaczenie tego hasła to kolokwialne "dla jaj").

Nie próżnują też Anonymous oraz mniej medialni - za to skuteczniejsi - włamywacze przeprowadzający wyrafinowane ataki na tuzów amerykańskiego kompleksu wojskowo-przemysłowego. Jeśli nie obronił się Lockheed-Martin, Sony, Northrop-Grumman, amerykański Kongres, nie obroni się nikt.

Jeśli nie obronił sie amerykański Kongres, nie obroni się nikt.

Skąd takie problemy z bezpieczeństwem? Dla komercyjnych firm liczy się zysk, tnie się koszta, a bezpieczeństwo jest kosztem, dopóki ktoś się nie włamie i nie udostępni danych klientow firmy za pomocą bittorrenta (to optymistyczny scenariusz), albo nie zacznie wydawać pieniędzy klientów firmy posługując się ich danymi osobowymi (to pesymistyczny scenariusz). Scenariusz optymistyczny to ujawnienie przez włamywaczy takich jak LulzSec wykradzionych danych - wtedy klienci wiedzą, że ich konta są zagrożóne, mogą się szybko o tym dowiedzieć. Jeśli zaś włamywacz kradł dla zysku, zanim włamanie zostanie odkryte, zanim raport przebije się przez hierarchię zarządzania, zanim zarząd zdecyduje się coś zrobić - mija czas , czas w czasie którego przestępcy opróżniają rachunki kart kredytowych i wyrabiają następne na wykradzione dane osobowe.

Dopiero po miesiącu czy dwóch firma informuje o problemie, czasem, jeśłi może tego uniknąć nie informuje w ogóle, aby nie psuć sobie wizerunku, albo informacji jest tylko tyle, aby wypełnić wymogi ustawowe, jeśli takowe są w miejscu gdzie firma jest zarejestrowana. Czasem - to polski przykład - instytucja państwowa, której serwis został skompromitowany, po prostu nie zawiadamia policji , ani prokuratury, aby sprawa przycichła. Pół biedy jeśli w takim wypadku nie zostaną wykradzione żadne dane, jeśli włamanie polegało na podmianie strony głównej.

Taki kryzys już był

Z podobną falą problemów z bezpieczeństwem użytkownicy mieli już do czynienia kilkanaście lat temu. Mniejsze i większe luki w oprogramowaniu serwerów ówczesnych usług pozwalały przejąć kontrolę nad systemami. Producenci oprogramowania zamiatali problem pod dywan , czasem grożąc konsekwencjami prawnymi tym, którzy ujawniali informacje o słabościach oprogramowania. Okres ten zakónczył się, kiedy specjaliści od bezpieczeństwa wprowadzili procedurę odpowiedzialnego ujawniania ("responsible disclosure"), po odkryciu podatności (luki w zabezpieczeniach pozwalającej na włamanie) informowany był producent oprogramowania, z zaznaczeniem, że po pewnym okresie luka zostanie ujawniona, często z gotowym wytrychem ("exploitem") - programem demonstrującym sposób jej wykorzystania. Tylko w ten sposób udało się zmusić producentów oprogramowania do kosztownego tworzenia łat na znalezione luki, z tej rewolucji wzięła się aplikacja Windows Update, panel aktualizacji oprogramowania Mac OS X, czy repozytoria "security" - aktualizacji luk bezpieczeństwa - Ubuntu Linuksa.

Plotka głosi, że dopiero po ujawnieniu zakresu włamania do RSA, firma kupiła elektroniczne sejfy do przechowywania cyfrowych tajemnic.

Jednak wraz z pojawieniem się dużych systemów chmur obliczeniowych, odpowiedzialne ujawnienie straciło na znaczeniu. Na komputerach użytkowników nie ma tysięcy kopii oprogramowania banku, aplikacji społecznej, czy wyszukiwarki. Oprogramowanie działa na komputerach pod kontrolą firmy, która znowu może twierdzić, że nic się nie dzieje.

Pokazało to zwłaszcza ostatnie włamanie do Citibanku , które nie wymagało żadnej tajemnej technicznej wiedzy. Po zalogowaniu do systemu transakcyjnego, użytkownik kierowany był na stronę o adresie zawierającym numer jego konta. Podmieniając ten numer na inny, można było dostać się na konta innych użytkowników - system sprawdzał, czy użytkownik jest poprawnie zalogowany - ale nie czy zalogowany jest na konto, które jest aktualnie wyświetlane. To znany od dawna rodzaj podatności, jednak zarząd Citibanku nie uznał za konieczne wydać pieniędzy na zabezpieczenie danych swoich klientów.

fot. anonymous/flickr

Plotka głosi, że dopiero po ujawnieniu zakresu włamania do RSA, które skompromitowało miliony używanych na świecie tokenów - breloczków generujących bezpieczne, jak uważano do niedawna, hasła jednorazowe, firma kupiła urządzenia HSM (Hardware Security Module) - elektroniczne sejfy do przechowywania cyfrowych tajemnic. Jeśli klucze uwierzytelniające tokenów - najważniejsze informacje w firmie, której produkty są kluczowe dla setek systemów bezpieczeństwa, nie były przechowywane w sposób bezpieczny, to komu możemy właściwie zaufać?

W takiej sytuacji, to co robi LulzBoat - jak nazywają się sami włamywacze z LulzSec, odwołując się do tandetnego serialu "Statek miłości" - to po prostu odpowiedzialne ujawnienie, ujawnienie faktu, że król jest nagi.

Janusz A. Urbanowicz jest członkiem zespołu Technologii, oraz niezależnym konsultantem w dziedzinie technologii internetowych i bezpieczeństwa. Prowadzi bloga pod tytułem  Fnord.pl .

Więcej o: