Bruce Schneier: Bezpieczeństwo nie jest sexi

Bruce Schneier to jeden z największych autorytetów w kwestii bezpieczeństwa informatycznego - jego specjalnością jest kryptografia (napisał bestseller "Kryptografia dla praktyków").

Dokonania Schneiera są imponujące - stworzył (lub współtworzył) kilka popularnych algorytmów kryptograficznych (m.in. Blowfish oraz MacGuffin), jest też założycielem firmy Counterpane. Jego opinie na temat stanu bezpieczeństwa w Internecie zawsze są niezwykle ciekawe - dlatego też prezentujemy wywiad ze specjalistą, przeprowadzony przez Stefana Hammonda, dziennikarza amerykańskiego Computerworlda. Schneier wyjaśnia w nim m.in. dlaczego uważa Mac OS X i Linuksa za bezpieczniejsze systemy od Windows, opowiada o działaniach hakerów i tłumaczy, dlaczego policja z całego świata nie jest w stanie skutecznie walczyć z przestępczością internetową...

Computerworld: Stan bezpieczeństwa informatycznego właściwie nigdy się nie poprawia, a jedynie pogarsza. Dlaczego?

Bruce Schneier : Głównie dlatego, że bezpieczeństwo nie jest tak naprawdę problemem technologicznym - to raczej problem "ludzki". Technologie zabezpieczające cały czas się rozwijają i poprawiają - ale rośnie kompleksowość problemów, co w ogólnym rozrachunku odpowiada za pogorszenie ogólnego bezpieczeństwa.

To wojna - bardzo interesująca wojna. I to wszechobecna.

Kiedyś mieliśmy do czynienia głównie ze "script-kiddies" - małolatami, piszącymi dla zabawy mniej lub bardziej skomplikowane wirusy. Dziś jest niebezpieczniej, prawda?

Wszystko się zaczęło ok. pięciu lat temu, kiedy to hakowanie przestało być domeną hobbystów. Wtedy na poważnie zajęli się tym przestępcy - wyraźnie widać to w strukturze dzisiejszego złośliwego oprogramowania, wzroście liczby spamu czy masowych kradzież tożsamości. Typowe dzisiejsze zagrożenia związane są z przestępstwami nastawionymi na zysk. A dzisiejsi cyberprzestępcy są o wiele groźniejsi niż hakerzy sprzed lat. Są też zdecydowanie bardziej profesjonalni, bo przestępstwa internetowe na wielką skalę są naprawdę trudne do przeprowadzenia. Kradzież pieniędzy to tylko pierwszy etap - później złodziej musi przerzucić je na tymczasowe konto - z reguły zagraniczne, wyprać itp. Przez te minione kilka lat przestępcy zdołali stworzyć cały ogromny mechanizm finansowy umożliwiający im sprawne funkcjonowanie.

Takich przestępstw obserwujemy ostatnio coraz więcej - kryminaliści zarabiają ogromne pieniądze na kradzieży tożsamości i oszustwach. Źródłem ataków zwykle jest Rosja i kraje Europy Wschodniej.

Dlaczego akurat te regiony?

Głównie z powodu kiepsko działającego wymiaru sprawiedliwości. Na pierwszym miejscu umieściłbym tu Rosję i Europę Wschodnią, na drugim Azję, zaś na trzecim - ex aequo - kraje z północnej części Afryki oraz Ameryki Południowej. Gdy szukasz krajów, z których wywodzą się cyberprzestępcy, zwróć uwagę na państwa, w których obowiązują nieskuteczne przepisy, przekupni policjanci oraz niejasne przepisy o ekstradycji. Przedstawiciele wymiaru sprawiedliwości z takich krajów zwykle nie przejmują się zbytnio rodzimymi cyberprzestępcami - w końcu i tak kradną pieniądze obywatelom innych krajów, prawda?

O jakich kwotach mówimy? Ile mogą teraz kraść cyberprzestępcy?

Tak naprawdę to nie mamy pojęcia. Wiele przestępstw nigdy nie jest zgłaszanych... Co więcej - w wielu przypadkach ofiary nawet nie wiedzą, że zostały okradzione.

Widzi Pan jakieś postępy w pracy policji z całego świata?

Tak naprawdę, to nie. Problem polega na ustaleniu odpowiednich priorytetów - amerykańskie władze na przykład walczą teraz przede wszystkim z terroryzmem, więc forsują wprowadzenie nowych dowodów tożsamości i uszczelnienie lotnisk. Grupy interesów - np. koncerny muzyczne i filmowe - promują DRM jako sposób na piractwo. Niestety, nikt nie interesuje się na poważnie bezpieczeństwem, bo nie jest ono "sexi"...

To skutecznego działania wymiaru sprawiedliwości w tej dziedzinie niezbędne jest przede wszystkim sprawne udostępnianie i wymienianie informacji - np. w ramach Interpolu. Trzeba zunifikować prawo i zasady ścigania cyberprzestępców. Problem w tym, że powszechna obawa przed terrorystami "wysysa" energię, która mogłaby zostać wykorzystana do zwalczania przestępczości internetowej.

No tak, ale mówimy przecież o kradzieżach ogromnych sum...

Tak - to prawda. Co gorsze, zjawisko to może poważnie wpłynąć na przyszłość Internetu. Na szczęście na razie nie znaleźliśmy się jeszcze w punkcie, w którym wszyscy mówią "ten cały e-commerce jest naprawdę niebezpieczny" - ale taki moment może nadejść. Ile jeszcze punktów musimy stracić, by ludzie wreszcie zaczęli brać na poważnie kwestię bezpieczeństwa w Internecie? Obawiam się, że może to nastąpić dopiero wtedy, gdy już każdy z nasz będzie mógł opowiedzieć historyjkę o znajomym, który stracił sporą kasę w Sieci.

Wymiar sprawiedliwości zwykle działa wolno i nie jest w stanie na bieżąco dostosowywać się do rozwoju Internetu. Ale przecież chcemy łapać przestępców - co można zrobić w tym kierunku?

Trzeba usprawnić skazywanie - doświadczenia pokazują, że szybko wymierzona kara działa odstraszająco, więc musimy się postarać, by możliwe było skuteczniejsze skazywanie i karanie cyberprzestępców. Jak to zrobić? Poprzez wprowadzenie lepszego prawa i usprawnienie działań policji. Musimy sprawić, żeby bycie przestępcą stało się ryzykowne i nieopłacalne.

Jak firmy mogą zwiększyć samodzielnie poziom bezpieczeństwa?

Poprzez takie same działania, jakie każdy podjąłby w realnym świecie, gdyby policja nie działała, jak należy - trzeba wziąć sprawy w swoje ręce. Można np. wynająć ochronę. W świecie Internetu oznacza to wdrożenie odpowiednich firewalli, systemów IDS oraz, rzecz jasna, wynajęcie Couterpane do nadzorowania tego ;-) [Counterpane to firma założona przez Bruce'a Schneiera - red.].

Co ważne, standard ten został w marcu 2007 r. oficjalnie zaakceptowany przez amerykański instytut rządowy NIST (National Institute of Standards and Technology). W opublikowanym w magazynie Wired artykule Bruce Schneier sugeruje, że w jednym z czterech wykorzystywanych w tym standardzie generatorów liczb losowych umieszczony został "matematyczny backdoor". Autor artykułu powołuje się m.in. na wyniki badań dwóch inżynierów zatrudnionych w Microsofcie - Dana Shumowa oraz Nielsa Fergusona (opublikowali oni rozprawę teoretyczną na ten temat). Schneier twierdzi, że "furtka" została umieszczona w standardzie na zlecenie amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA - National Security Agency), która później wypromowała ów standard i ułatwiła mu zdobycie akceptacji NIST.

Wątpliwości badaczy budzą liczby, na podstawie których definiowane są algorytmy, wykorzystywane do tworzenia generatorów - z ich analiz wynika bowiem, że są one powiązane z dodatkowym zestawem ukrytych liczb (które mogą posłużyć do ustalenia stanu generatora). To właśnie zostało uznane za "backdoor". Więcej informacji na ten temat znaleźć można w tekście "Backdoor w standardzie kryptograficznym?".

Ostatnio coraz częściej słyszymy o tym, że celem ataku stają się serwisy hazardowe...

O tak. Internetowy hazard, internetowe porno - wszelkie serwisy z pogranicza prawa. To one obecnie są na celowniku cyberprzestępców. Zjawisko to nie jest jeszcze udokumentowane, ale można je już wyraźnie zaobserwować. Kryminaliści atakują firmy średniej wielkości, nie te największe - wymuszają od nich haracze [zwykle szantaż polega na zagrożeniu przeprowadzeniem ataku DDoS na witrynę - red.]. Firmy z tych branż niezbyt chętnie zgłaszają przestępstwa, bo często mają sporo do ukrycia - są więc idealnym celem...

To sprawia, że przestępcy wciąż poszukują nowych celów, prawda?

Tak, po wymuszeniu pieniędzy od jednej firmy, szukają kolejnej. Dla szantażowanych serwisów to też pewien zysk - "skoro przestępca szuka kolejnego celu, to ja wygram - bo zostawi mnie w spokoju". To klasyczny "dylemat więźnia" - przeciwstawienie interesów jednostki i interesów grupy.

Jak działa ten mechanizm?

Przestępcy potrafią oszacować możliwości szantażowanych stron. Ustalają więc haracz na taką kwotę, by właściciel serwisu był w stanie ją zapłacić - wypłaci okup raz i zostawią go w spokoju. Mamy tu sprzeczność interesów wymiaru sprawiedliwości i firm. Dla firmy nr 1 małym zwycięstwem jest, jeśli przestępca zaatakuje firmę nr 2 (bo wtedy nr 1 nie musi płacić). Dla wymiaru sprawiedliwości porażką jest fakt, że w ogóle doszło do ataku, bo statystyki przestępczości rosną.

Firmy starają się chronić swoje interesy - dlatego ofiary szantażu zwykle mówią przestępcom: "dobra, macie tu trochę kasy - idźcie sobie i zaatakujcie kogoś innego. Najlepiej mojego konkurenta...". Rząd musi przerwać ten zaklęty krąg - poprzez podjęcie odpowiednio odstraszających działań.

Rozmawiamy głównie o cyberprzestępczości, jednak to nie jedyny problem. Elementem równania jest również fizyczne bezpieczeństwo komputerów, prawda?

Oczywiście. Kilka dni temu pisałem w swoim blogu o incydencie będącym doskonałym przykładem tego problemu. Ktoś włamał się do pewnej serwerowni i wykradł ogromną ilość danych. Narzędziami, które posłużyły do sforsowania zabezpieczeń były... ciężarówka i piła łańcuchowa. Przestępcy po prostu wycięli otwór w ścianie i wynieśli z pomieszczenia 10 serwerów. Ktoś świetnie wiedział, gdzie są dane, gdzie są kamery i którą ścianę przeciąć...

Coraz częściej słyszymy też o tym, że dane wykradają nie wynajęci hakerzy, lecz pracownicy firm...

Jasne - ale to był problem od zawsze. Dla każdego przedsiębiorstwa najsłabszym ogniwem systemu bezpieczeństwa jest nieuczciwy pracownik. Twoi ludzie mogą najbardziej ci zaszkodzić, dlatego bardzo ważne jest by zatrudniać jedynie osoby godne zaufania. Oczywiście, z tym zaufaniem też nie można przesadzać... Niezbędne jest też szkolenie pracowników i wdrożenie odpowiednich zasad postępowania.

To znaczy?

Nie zabieraj pracy do domu, korzystaj z mocnych haseł - to podstawowe zasady, do których trzeba się stosować, choć trzeba pamiętać, że one też mogą zawieść. Bo przecież często się zdarza, że jakieś zadanie musi zostać wykonane i pracownik zabierze je do domu. I nawet trudno będzie mu coś zarzucić - bo co prawda złamał zasady bezpieczeństwa, ale wykonał swoją pracę. To odwieczny konflikt - gdy bezpieczeństwo ściera się z zadaniami biznesowymi, biznes zawsze wygra.

Ten problem istnieje chyba także w skali makro?

Tak. Nie powiesz przecież szefowi: "nie możemy nawiązać współpracy z malezyjską firmą, bo Malezja jest rajem dla cyberprzestępców i nie możemy zagwarantować bezpieczeństwa". Twój szef powie prawie na pewno "Zamknij się i działaj - zarobimy na tym miliony dolarów" - i będzie miał rację. Zadanie polega na zapewnieniu najlepszych możliwych zabezpieczeń dostępnych w danej sytuacji. Nie wygrasz mówiąc, że użytkownicy nie mogą korzystać z urządzeń BlackBerry czy pendrive'ów. Mówienie "nie, nie możesz tego zrobić" po prostu się nie sprawdza.

To trudne zadanie, bo technologia rozwija się niesamowicie szybko - szybciej niż ludzie są w stanie się z nią oswoić. Gdy już się do czegoś przyzwyczaić, to się nagle zmienia. Powoli zbliżamy się do punktu, w którym nie można opierać się na intuicji, bo nie mamy czasu, by sobie tę intuicję "wypracować".

Wygląda na to, że większość złośliwego oprogramowania atakuje Windows. Zdaniem niektórych, głównie z uwagi na ogromną popularność tego systemu. Inni mówią, że to dlatego, że ten OS jest po prostu bardzo źle zabezpieczony. Jaka jest pańska opinia?

Ogólna odpowiedź jest taka: nie wiadomo. Prawdopodobnie racja leży po obu stronach. Twórcy Windows przez lata dokonali szeregu złych wyborów w zakresie bezpieczeństwa - teraz Microsoft stara się to naprawić, ale to żmudny i uciążliwy proces. Wydaje mi się na przykład, że twórcy Mac OS lepiej sobie poradzili z tymi wyborami.

Ale jeśli jesteś przestępcą i chcesz napisać skutecznego wirusa, napiszesz go dla Windows - bo masz dziesięciokrotnie więcej potencjalnych celów. Ekonomia złośliwego oprogramowania czyni ten system bardziej narażonym. Ale tak naprawdę powód nie jest ważny dla użytkowników - moja żona korzysta z Maka i śmieje się, ile razy w Windows pojawi się jakiś problem z bezpieczeństwem. Czy Mac OS jest bezpieczniejszy dlatego, że jest mniej popularny, czy dlatego, że jest lepiej napisany - jej to nie interesuje. Ważne, że jest bezpieczna.

A Pan z czego korzysta?

Z Windows. Ten system jest od lat standardem korporacyjnym i po prostu wygodniej jest mi korzystać z systemu, który stosuje moja firma.

A co sądzi Pan o Linuksie?

To taka sama sytuacja jak z Mac OS - bezpieczeństwo tego systemu jest wynikiem zarówno lepszego zabezpieczenia oprogramowania, jak i niewielkiej liczby osób atakujących go.

W 1999 r. założył Pan firmę Counterpane in 1999. Skąd pomysł na nią?

Firma powstała, ponieważ w tym okresie na rynku było mnóstwo oprogramowania zabezpieczającego, które było niewłaściwie wykorzystywane przez użytkowników. Zawsze tylko dostarczaliśmy usługi - nigdy nie budowaliśmy niczego od podstaw. Po prostu zjawialiśmy się w jakiejś firmie i sprawialiśmy, że rzeczy, które już miała, zaczynały działać jak trzeba. W tej chwili zatrudniamy ok. 100 pracowników, zaś w ubiegłym roku przejął nas koncern BT.

Co ciekawe, to przejęcie nam wcale nie zaszkodziło. Widzieliśmy ostatnio sporo fatalnie zakończonych przejęć, ale z nami tak nie było. Ludzie z BT umożliwili nam działanie globalne - do tej pory skupialiśmy się raczej na rynku amerykańskim. W porównaniu do zysków wypracowanych przez ten koncern nasze wyniki wyglądają raczej jak błąd statystyczny - ale działamy intensywniej niż kiedykolwiek wcześniej i współpracujemy z ogromnymi korporacjami z całego świata. Ciągle robi to na mnie wielkie wrażenie...

Daniel Cieślak