Bezbednosna (ne)proročanstva
Administratore stalno plaše bezbednosnim propustima, virusima, trojancima… Da li je opasnost zbilja toliko velika i zašto mnogi napadi koji deluju kao veliki problem na kraju završe kao bura u čaši vode?
Pred kraj svake kalendarske godine pročitamo gomile sličnih bezbednosnih prognoza za naredni period. Uglavnom su do detalja obrađeni najznačajniji incidenti u prethodnim mesecima, u mnogima bude i (suvoparne) statistiske, ali i veoma smelih i bombastičnih predviđanja scenarija koji će pretiti digitalnom svetu u danima koji dolaze. Na sreću, mnogo toga ostane na nivou statističke greške ili neostavrenog mita, dok su druge pretnje, iako jedva spomenute, preživele dugi niz godina i dalje izazivajući neprijatne posledice.
Naše ponašanje u virtuelnom svetu uglavnom se ne razlikuje od ponašanja u realnom: skloni smo da zanemarimo realnu opasnost, ulažući veći deo energije u odbranu od novih, zvučnih pretnji. Iskustvo korisnika nas uči da će mali procenat njih biti uvek spreman za najgore i često nerealne situacije, dok će većina već nekako preživeti, čak i ako se najgori predviđeni scenario obistini. Sa druge strane, loše ili pogrešne bezbednosne procene mogu dovesti korporativne IT sisteme u ozbiljan problem, pa se svakoj novoj i potencijalnoj pretnji pristupa s dužnom pažnjom. U vreme krize, ograničena sredstva moraju biti mudro i efikasno uložena; postavljanje bedema na pogrešnoj strani uglavnom znači da će IT mediji imati dosta zanimljivih tema.
Karijes u plavom zubu
Pre samo nekoliko godina predviđanja su, kao glavne izvore bezbednosnih problema, označavale dve tehnologije koje danas (skoro) bez incidenata koristimo: Bluetooth i VoIP. U praskozorje pametnih telefona, davne 2004. godine, pojava virusa/crva nazvanog Cabir (pisali smo o njemu u PC#103) naoko je dokazala da su crne slutnje bile ispravne. Srećom, Cabir nije odmakao od proof of concept statusa, šireći se brže u formi vesti nego kroz uređaje.
Neke (veoma) poznate bezbednosne kompanije u svojim pripremama za apokalipične godine otišle su toliko daleko da su u svrhe izučavanja Bluetooth napada obezbedile posebne utvrđene laboratorije, zaštićene od mogućnosti da ih signal zaraženih uređaja fizički napusti i dospe do okolnih kancelarija. Ubrzo su otkrivene i druge slabosti Bluetooth protokola, a nove forme napada su bile detaljno opisivane u kompletu sa predlozima termina koji bi trebalo da ih prate: Bluejacking ‑ slanje neželjenih poruka na drugi uređaj, Bluesnarfing – neovlašćeno preuzimanje sadržaja (adresara, dokumenata), Bluebugging ‑ potpuno preuzimanje kontrole nad telefonom… Dodatni strah u već osetljive teme unosili su neki obavljeni eksperimenti koji su dokazivali da je Bluetooth konekciju moguće uspostaviti na znatno većim rastojanjima od deklarisanih desetak metara, doduše uz specijalizovanu opremu i idealne atmosferske uslove. U već dovoljno zaplašenoj javnosti svaka nova negativna vest o Bluetooth bezbednosti odjekivala je sve jače pa su ljudi stekli utisak da seplavi zub nekako prerano pokvario.
Mobilni uređaji su narednih godina meteorskim tempom napredovali. Svaki novi model je i dalje sadržao Bluetooth, ali se plavi napadi nisu dešavali, i pored toga što su ljudi masovno svoje uređaje koristili na mestima na kojima je napade bilo moguće očekivati – aerodromi, javni gradski prevoz, masovne priredbe i skupovi… Vremenom se pažnja okrenula ka drugim bezbednosnim temama, informacije se uglavnom razmenjuju nekim od servisa na Internetu, a Bluetooth koristimo pre svega za vezu sa bežičnom slušalicom.
Ukradeni glasovi
Drugu poziciju na top‑listi najgorih pretnji dugo je zauzimao Voice over IP protokol. Mnoge prednosti VoIP‑a brzo su prepoznate kako od strane kompanija, kojima je VoIP donosio značajnu uštedu, tako i od strane pojedinaca koji su, u najvećoj meri zahvaljujući Skype‑u, u okviru jedne aplikacije dobili sve što im je potrebno: jeftinu audio i video komunikaciju, poruke, prenos fajlova… Sa pravom se očekivalo da će svoje mesto pod suncem u novoj eri pronaći i kriminalci – mnoga istraživanja bezbednosti VoIP protokola su ubrzo na svetlo dana iznela niz slabosti, a za njima su došla i crna predviđanja. U jednom od njih, iz davne 2007. godine, ističu se tri najveće pretnje koje su označene kao razlozi protiv VoIP‑a kao kičme komunikacije: denial of service (DoS), voice spam i voice phishing (vishing).
Nakon samo šest godina možemo samo da kažemo da je VoIP sve vreme bio stabilan, bezbedan i široko prihvaćeni servis – poslednje je bila jedina prognoza koja se obistinila! Napadi koji onemogućavaju korišćenje servisa (DoS), osim par izolovanih slučajeva, praktično nisu zabeleženi – popularne VoIP aplikacije radile su bez (većih) poteškoća. Jedina smetnja koja onemogućava masovno korišćenje su mobilni i Internet provajderi, koji ograničavaju slobodan VoIP protok.
Voice spam je (srećom!) ostao samo teorijski koncept. Situacija u kojoj vas poziva automatizovan softver koji će, nakon što se javite, izrecitovati pripremljenu reklamu do sada nije zabeležena. Akronim SPIT (eng. pljuvanje), tj. SPam over Internet Telephony, koji je brže‑bolje dodeljen velikom problemu neželjenih poziva, ostao je slabo poznat. Pecanje (phishing), na koje smo navikli u e‑mail porukama, ostalo je razrađeno samo na nivou holivudskih scenarija. Jasno je i zašto – situacija u kojoj korisnik odgovara na poziv poznatom broju (lažirana identifikacija), nakon čega sa druge strane progovara nepoznati glas sa zahtevom da se ulogujete na sajt banke ili obelodanite lične podatke potpuno je nerealna.
Bolna SQL injekcija
U iščekivanju i pripremi odbrane od kataklizmičnih pretnji IT zajednica se godinama uporno sapliće o isti kamen – propust o kome je već sve rečeno i sve se zna i dalje je jedini krivac za mnoge od najvećih bezbednosnih incidenata poslednje decenije: (ne)popularna SQL injekcija. Krataka definicija kaže da je reč o (namernom) unosu SQL komandi u polje predviđeno za unos korisničkog podatka u okviru klijentske forme, koje serverska aplikacija greškom izvršava, što kao posledicu ima neovlašćen pristup, izmenu ili uništenje podataka. SQL jezik je solidno standardizovan, pa su ovoj formi napada izložene praktično sve poznate SQL platforme, dok su na klijentskoj strani najizloženije Web aplikacije, tj. forme izrađene u PHP i ASP jezicima. Jednostavnost korišćenja i lakoća razumevanja omogućila je širokom krugu zlonamernih korisnika da napad koriste sve češće, pri čemu im u prilog ide i sve veći broj loše dizajniranih aplikacija. Na ovaj način milioni redova poverljivih informacija dospeli su u pogrešne ruke.
Jedan od većih (poznatih) napada izvršen SQL injekcijom, u kome je tokom više od 5 godina ukradeno preko 160 miliona brojeva platnih kartica, pre par meseci dobio je i sudski epilog. Pravda (možda) jeste zadovoljena, ali činjenica da su osuđeni uspeli da ostanu neotkriveni mesecima bi trebala da bude poslednje zvono za uzbunu koje ukazuje na stvarne rizike. Dodatnu težinu slučaju daje i informacija da su među oštećenim kompanijama bila veoma zvučna imena, pa se sa pravom postavlja pitanje koliko su manji sistemi na kojima ostavljamo razne lične podatke zaštićeni. Za sistem poverenja koji se teško uspostavlja navedeni događaji predstavljaju snažan udarac, nakon čega se krivac traži na svim stranama: najpre u kompanijama kod kojih je incident nastao, ali i kompanijama koje prodaju bezbednosna rešenja i usluge, pa i (lošoj) zakonskoj regulativi koja bi trebalo da uredi IT oblast i uvede obavezujuće kontrole kako bi se ovakvi slučajevi na vreme otkrili i sprečili.
Doneti ili ne doneti?
Kraj godine je blizu, pravo je vreme da se rezimiraju događaji u aktuelnoj i iznova proreknu opasnosni koje će nas mučiti naredne. Najnoviji bezbednosni hit koji već mesecima privlači pažnju je opasnost koja vreba iz ličnih uređaja povezanih na kompanijsku mrežu. Akronim BYOD (Bring Your Own Device), iza koga su već izrađene maštovite (ili realne?) horor‑priče koje nas čekaju u narednim godinama, glavni je adut novih verzija bezbednosnih paketa vodećih kompanija iz oblasti IT sigurnosti. Zanimljivo je pratiti i evoluciju BYOD fenomena – u početku su bili ugroženi kompanijski IT sistemi i poslovni podaci, usled gubitka ili krađe pametnog telefona na koji su preneti, ali sve više glasova upozorava da su u opasnosti i zaposleni, koji povezivanjem ličnih uređaja na kompanijsku mrežu omogućavaju uvid u privatne poruke, slike, dokumente…
Da li će BYOD za par godina postati novi bezbednosni mehur koji se raspršio bez posledica, ili će medije puniti vesti o međusobno ukradenim poverljivim informacijama? Videćemo… Do tada vredi uložiti više resursa u rešavanje realnih opasnosti koje će sigurno predstavljati pretnju, kao i svih prethodnih godina.
Kristijan Lazić
(Objavljeno u časopisu PC#205)