Bezpečnosť > bezpečnosť
Vízia a súčasnosť v narušeniach bezpečnosti
Stále rezonujú jednostranné vyhlásenia a obvinenia na útoky hackerov. Problém je však trochu zložitejší. Často pri šírení malwaru či útokoch napomáha ľudská nevedomosť, neznalosť a občas i hlúposť.
Prečo to zhodnotenie? Vezmime do úvahy základnú vec - programové vybavenie počítačov. Podľa údajov v SR je skoro polovica inštalovaných operačných systémov Windows nelegálnych. To je dôvod, že väčšinou sa neaktualizujú. K tomu používajú užívatelia programy ktoré sú upravené ilegálne. A používajú rôzne generátory kľúčov, patche/cracky (aplikované záplaty ktoré spravia program plne funkčným) alebo už upravené verzie od špeciálnych skupín (FoSi, Razor1911, Deviance a podobne). Množstvo z nich už obsahuje v sebe rootkit, vírus alebo trójskeho koňa. A korunou k tomu býva takto upravený antivírus.
Ďalším prídavkom je dôvera užívateľov. Sociálne inžinierstvo (social engeneering). Lákavý obsah stránok warez, filmy, hry, erotika. Ďalšou časťou sú e-maily. Vtipy, videá prezentácie... Bežný obsah schránok vo firmách. A kto z nás nemá záujem o novinky vo svete? Móda, technika, veda, politika. Relatívne najneškodnejšie sú reťazové správy typu „Infikované ihly na sedadlách MHD, Malá holčička na obrázku má rakovinu mozku. Společnost AOL za každý odeslaný e-mail daruje 5 centů na její operaci" a podobne. Príkladom takéhoto spôsobu šírenia môže byť vírus Nuwar (Tibs, Luder, Tibs, Zhelatin, Nuwar, Mixor). Šíri sa internetom už skoro dva roky.
Povedzme si kto si občas niečo také nevyhľadá či neotvorí taký email? Nuž a tu prichádza šikovnosť „útočníkov".
Schválne nepoužijem slovo hacker. Pretože napríklad kniha Hackin Knoppix vydavateľstvo Wileys, alebo Linux Server hacks (O´Reilly) nemá s nelegálnou činnosťou nič spoločné.
Ich schopnosť využiť medzery v systémoch, naivitu ľudí, viacúrovňové použitie rôznych nástrojov. Vo väčšine prípadov nastáva súboj správca vs útočník. Ich schopnosti, znalosti a v neposlednom rade peniaze. Zariadenia na ochranu (fyzické aj programové vybavenie) predsa niečo stojí. A za peniaze sa dajú kúpiť aj kvalitné nástroje na útok, bez toho aby bol útočník expert v IT. Stojí to tak 1000 dolárov.
A rozosielanie emailov spoliehajúcich sa na dôveru užívateľov, tak tam to skoro nič nestojí. Pokiaľ si myslíte, že Vám sa to nemôže stať, spravte si test. Je tam 10 otázok a Možnosť odpovedať, či ide o falošnú hlášku, email (phishing) alebo o reálny odkaz banky. Pre zaujímavosť dosiahol som 7/10 (70%) tu je stránka s testom
To je momentálna situácia. Ale ako to vyzerá do budúcnosti.
Budúcnosť vyzerá horšie ako súčastnosť. Mnohé firmy i napriek hrozbám riskujú použitie nevyžiadanej reklamy. Mnohí si chcú privyrobiť a internet je na to skvelým priestorom. A výroba stránky je relatívne jednoduchá a lacná záležitosť. Kompromitácia stránky je práca na pár minút ak som správcaJ a kto mi to dokáže, že som si infikoval kód stránky sám. A niekedy stačí použiť XSS (Cross Site scripting) či injection (injektáž kódu) a cudziu nezabezpečenú stránku si presmerujete kam chcete.
A to veľmi ľahko. Veľa stránok nie je zabezpečených a je ich viac než sa zdá.
Momentálne sa na Slovensku chystá rozšírenie služieb štátnych inštitúcií pre občanov.... A nielen u nás aj v EÚ. Tým pádom sa objaví pole na ktorom sa budú môcť priživiť rôzne firmy (reklama, zoznamy užívateľov a podobne).
Ide len o to aby sa zlepšilo povedomie užívateľov, zabezpečenie počítačov a sietí a hlavne.... chce to hlavne chladnú hlavu.
Na záver niekoľko odkazov na stránky z oblasti bezpečnosti.
http://packetstormsecurity.org
http://www.securityfocus.com
http://spammer.cz
http://viry.cz
http://spyware.cz
http://rootkit.cz
http://www.sac.sk/
http://www.security-portal.cz
http://blogs.securiteam.com/
http://www.ethicalhacker.net
http://sectools.org/
http://redhawk75.ic.cz/pc/security.pdf - moja prednáška Základy bezpečnosti pre WUG SK.
http://www.blackhat.com/ za 4 dni (18.2. začína konferencia BlackHat)
http://www.lifehacker.com Tech tricks, tips and downloads for getting things done.
|