Czemu whitehat security może być problemem i czym różni się Windows od Linuksa? Wywiad z Jakubem Dębskim, dyrektorem ESET

Co w kwestii bezpieczeństwa IT jest faktem, a co mitem? To dziedzina, w której niejasności jest bardzo wiele, a oficjalne komunikaty prasowe firm produkujących oprogramowanie ochronne wcale tak wiele nie wyjaśniają. O nurtujących nas kwestiach mieliśmy okazję porozmawiać z panem Jakubem Dębskim, dyrektorem krakowskiego biura Research & Development firmy ESET, specjalizującej się w ochronie proaktywnej z wykorzystaniem zaawansowanych mechanizmów analizy heurystycznej. Zapraszamy do lektury – może z tego wywiadu dowiecie się czegoś, co ukaże Wam pracę producentów oprogramowania antywirusowego w nowym świetle.

Jakub Dębski to znana postać w branży IT Security. Studia na Wojskowej Akademii Technicznej ukończył obroną pracy dyplomowej na temat wykorzystania sieci neuronowych w detekcji zagrożeń internetowych. Przez wiele lat pracował w firmach produkujących oprogramowanie antywirusowe, w tym m.in. mks_vir. Był też kierownikiem projektu engine'u ArcaVir.

Jakub Dębski, ESET

Adam Golański: Co sądzicie o security through obscurity? Czy względne bezpieczeństwo Linuksa czy Mac OS-a X to wynik ich niewielkiej popularności rynkowej, czy też to (przynajmniej częściowo) zasługa architektury tych systemów?

Jakub Dębski: Security through obscurity ma sens, gdy stanowi dodatkową warstwę zabezpieczającą, a nie podstawę bezpieczeństwa. Sytuacja jest analogiczna do stosowania kamuflażu w wojsku – maskowanie nie zmniejsza odporności na atak, ale może go utrudnić. Security by obscurity jest zalecane nawet w przypadku systemów otwartych. Przykładowo trzymanie skrótów haseł nie jest bezpieczniejsze niż przechowywanie ich w postaci jawnej, ale w praktyce czas potrzebny na złamanie haseł może znacznie zwiększyć koszt ataku. Koszt ataku jest zaś jedyną sensowną miarą bezpieczeństwa.

Pod względem budowy współczesne systemy operacyjne – Windows, Mac OS X i Linux – niewiele się różnią. Wszystkie posiadają hybrydowe jądro, w podobny sposób mają rozwiązane listy kontroli dostępu, na tych samych poziomach działają sterowniki i usługi, w podobny sposób rozwiązane są kwestie izolacji elementów składowych systemu czy systemy plików. W ostatnich latach system Microsoftu coraz bardziej upodabnia się do systemów uniksowych, a popularne dystrybucje Linuksa do systemu Microsoftu. Najlepszym towarzyszem bezpieczeństwa jest nieregularność i tu wygrywa Linux ze swoją mnogością konfiguracji. W przypadku Linuksa trudno mówić o jednym konkretnym systemie, bardziej można porównywać poszczególne dystrybucje. Mac OS X jest systemem, który niedawno zdobył popularność i od niedawna jest celem ataków, ale liczba niebezpiecznego oprogramowania atakującego ten system rośnie.

Architektura systemu nie ma aż takiego znaczenia jak zainstalowane w systemie oprogramowanie. To głównie ono otwiera atakującemu drogę do przejęcia systemu lub konta użytkownika.

Czy śledzicie czarny rynek malware? Czy uczestniczycie w nim, kupując np. złośliwe oprogramowanie, exploity 0-day i tego typu rzeczy, by skuteczniej rozwijać swoje produkty?

Czarny rynek oczywiście śledzimy, ale polityka firmy ESET jest jasna: z cyberprzestępcami się nie współpracuje. Uczestniczymy w otwartych i zamkniętych konferencjach, grupach dyskusyjnych i organizacjach, które zajmują się tematem cyberprzestępczości. Mamy dostęp do wyników inwigilacji tych środowisk, ale nigdy nie będziemy wspierać tego, z czym walczymy.

Gdzie waszym zdaniem można wyznaczyć granicę między blackhat i whitehat security?

Granica jest płynna. Zachowania blackhat związane są z łamaniem prawa, ale prawo komputerowe nie jest dostosowane do szybko zmieniającej się rzeczywistości i techniki. Nie istnieje również prawo międzynarodowe, które obejmowałoby cały świat, a haker nie musi wychodzić z domu, by przeprowadzić atak na inny kontynent. Czy ktoś, kto jest patriotą w Chinach i robi wszystko zgodnie z chińskim prawem, będzie zawsze uznawany za whitehat w Stanach Zjednoczonych?

Osoby z plakietką whitehat robią czasem więcej szkody niż pożytku, wyznając idee całkowitej jawności. Najczęściej nie zdają sobie sprawy ze złożoności procesu związanego z załataniem ujawnionej podatności lub chęć podbudowania ego jest u nich silniejsza niż rozsądek. W historii popularnego niebezpiecznego oprogramowania tylko kilka razy zdarzyło się, że została wykorzystana nieznana wcześniej luka. Najczęściej niebezpieczne oprogramowanie wykorzystuje błędy znane, co nie przeszkadza infekować miliony podatnych komputerów.

Czy wirtualizowanie obciążeń roboczych na serwerach zwiększa, czy zmniejsza powierzchnię ataku? Co grozi systemom uruchamianym pod kontrolą hiperwizorów?

Hiperwizory to złożone programy umożliwiające dzielenie zasobów. Im system jest bardziej złożony, tym zwiększa się jego podatność na błędy. Większość z popularnych hiperwizorów posiadała błędy, które umożliwiały przeprowadzenie udanego ataku. W przypadku włączonej wirtualizacji możliwe jest zainstalowanie rootkita, działającego jako hiperwizor, ale współcześnie tego typu ataki nie są popularne. Można jednak zakładać, że występują przy atakach specjalizowanych (targeted attacks).

Po sfałszowaniu certyfikatów SSL wystawionych przez holenderskiego DigiNotara (a także wcześniej przez jednego z partnerów Comodo), w Sieci pełno jest głosów, że ten model bezpieczeństwa dla Webu (czy e-maili) jest już passe. Jak oceniacie tę sytuację – jeśli certyfikaty SSL nie spełniają pokładanych w nich nadziei, to co miałoby je zastąpić?

Certyfikaty nie rozwiązują problemów bezpieczeństwa i nigdy tego nie robiły. Były (i wciąż są) najpewniejszym gwarantem tożsamości w Internecie, ale ostatnie ataki pokazały, że taką tożsamość też można ukraść. Myślę, że zaistniała sytuacja otworzyła oczy wielu osobom, które wierzyły, że bezpieczeństwo da się zapewnić wyłącznie technologią. Świat wirtualny nie różni się od prawdziwego – za wszystkim stoi człowiek, który jest podatny na atak, przekupstwo, zastraszenie lub ludzkie popełnianie błędów.

Czym się różni zapewnianie bezpieczeństwa smartfonom od zabezpieczania desktopów i który z mobilnych OS-ów jest najłatwiejszy do zaatakowania, a który zapewnia „z pudełka” największe bezpieczeństwo – i dlaczego?

W przypadku smartfonów użytkownicy przyzwyczajeni są do instalacji oprogramowania z popularnych repozytoriów, takich jak Apple Store czy Android Market. Ogranicza to możliwość infekcji niebezpiecznym oprogramowaniem pobranym przez użytkownika po udanym ataku socjotechnicznym. W sklepach tych pojawiają się programy, które wyłudzają pieniądze od użytkowników lub są dla niech w inny sposób niebezpieczne. Właściciele sklepów szybko jednak usuwają tego typu aplikacje. Z tego powodu wektory ataków są inne – przeglądarka internetowa, phishing, dokumenty, komunikacja bezprzewodowa. Obfitość urządzeń i szybkość zmian systemów operacyjnych wymagają ciągłego dostosowywania mechanizmów zabezpieczających.

Zapewnienie bezpieczeństwa to również systemy antykradzieżowe, blokujące telefon i dostęp do danych lub pozwalające namierzyć skradzione urządzenie.

Podobno piszecie większość swoich aplikacji w bardzo niskopoziomowych językach, w tym assemblerze. Jak sobie radzicie z pracą i znajdywaniem ludzi do niej, w czasach, gdy większość programistów już o assemblerze zapomniała?

Wiele kodu tworzonego jest niskopoziomowo ze względu na wydajność. Przykładowo, spora część emulatora wykorzystywanego w naszym produkcie napisana jest w assemblerze. Mamy również wersję przygotowaną w języku C, do wykorzystania tam, gdzie potrzebna jest przenośność kodu. Znajomość assemblera i technik inżynierii wstecznej jest konieczna w naszej branży i na szczęście wciąż odkrywamy osoby o takich zainteresowaniach. W nowym roku rozpoczynamy współpracę z jedną z polskich uczelni wyższych, gdzie będziemy uczyć studentów praktycznego bezpieczeństwa komputerowego oraz omawiać współczesne problemy z nim związane.

Niektórzy twierdzą, że firmy sprzedające oprogramowanie ochronne muszą straszyć ludzi potencjalnymi zagrożeniami, żeby móc w ogóle sprzedawać – jakie są więc u Was proporcje pomiędzy sprzedażą odpowiadającą na realne potrzeby, a sprzedażą „nadmuchaną”?

Firmy sprzedające oprogramowanie ochronne nie muszą straszyć potencjalnymi zagrożeniami. Zagrożenia są realne, wymierzone zarówno w użytkowników domowych, jak i firmy. Szacuje się, że w roku 2011 cyberprzestępczość przyniosła większe dochody niż handel narkotykami. Według raportu CERT Polska w pierwszej połowie 2011 roku ponad milion komputerów w Polsce stało się częścią botnetów.

Ataki kierowane na użytkowników bankowości elektronicznej z Polski nie są jeszcze tak częste jak ataki na użytkowników w Stanach Zjednoczonych czy w Brazylii. W tym roku sukces odniósł głównie koń trojański Zeus, który był wykorzystany do przejęcia transakcji dwóch polskich banków. Znacznie popularniejsze są programy wyłudzające pieniądze typu FakeAV czy Lockscreen, które infekują komputer, a następnie żądają pieniędzy za usunięcie się z systemu, najczęściej za pomocą płatnego SMS-a. Wciąż popularne jest przejmowanie komputerów do rozsyłania spamu, kradzieży danych osobowych i wszystkiego, co można sprzedać w Internecie.

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

12 skomentuj »

Komentarze

#1 Antyhipokryta 2011-11-15 22:59:43 -2
"ale polityka firmy ESET jest jasna: z cyberprzestępcami się nie współpracuje" - a kogo zatrudnia ESET i inne firmy antywirusowe jak nie ex crackerów! Co za hipokryzja i pan Dębski dobrze o tym wie! Tyle na ten temat. Pokaż komentarz
IP: 79.191.223.[...] Opera/9.80 (Windows NT 5.1; U; en) Presto/2.9.168 Version/11.52
#2 mncn^® 2011-11-16 02:20:36 0
tak mi się przypomniało,

http://pl.wikipedia.org/wiki/Marek_Sell
IP: 91.150.221.[...] Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0) Gecko/20100101 Firefox/9.0
#3 bassownik 2011-11-16 08:29:35 1
Niby systemy podobne w arch...ale jakos SeLinux/AppArmor nie zlamali tak szybko jak UAC chociazby....

Na Blackhat, windows i mac w pare minut zlamali, linux przez 3 dni sie nie udalo, pan Dębski nie opisal tu dokładnie plusow i minusow mechanizmow zabezpieczen w systemach.
IP: 89.69.87.[...] Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_2) AppleWebKit/534.51.22 (KHTML, like Gecko) Version/5.1.1 Safari/534.51.22
#4 Copy&Paste 2011-11-16 12:05:01 0
"ale polityka firmy ESET jest jasna: z cyberprzestępcami się nie współpracuje" - a kogo zatrudnia ESET i inne firmy antywirusowe jak nie ex crackerów! Co za hipokryzja i pan Dębski dobrze o tym wie, proszę się go zapytać kogo zatrudnił! Tyle na ten temat.
IP: 79.191.223.[...] Opera/9.80 (Windows NT 5.1; U; en) Presto/2.9.168 Version/11.52
#5 zergswarm^® 2011-11-16 20:32:55 0
@bassownik: Bardziej techniczne wywody to chyba materiał na prezentację albo whitepaper, a nie wywiad na webhosting'u :)
IP: 91.150.222.[...] Mozilla/5.0 (X11; Linux x86_64; rv:8.0) Gecko/20100101 Firefox/8.0
#6 jacek2v^® 2011-11-16 22:28:05 0
@zergswarm:

Wydaje mi się, że to co napisał bassownik to jak najbardziej pasujący poziom konwersacji na webhosting.pl :)

Od fachowca, (pana Dębskiego) liczyłbym - na portalu technicznym - na parę słów konkretów niż nic nie mówiących ogólników.
IP: 62.148.83.[...] Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/535.2 (KHTML, like Gecko) Chrome/15.0.874.120 Safari/535.2
#7 Jakub D. 2011-11-17 18:38:50 0
"ale polityka firmy ESET jest jasna: z cyberprzestępcami się nie współpracuje" - a kogo zatrudnia ESET i inne firmy antywirusowe jak nie ex crackerów! Co za hipokryzja i pan Dębski dobrze o tym wie, proszę się go zapytać kogo zatrudnił! Tyle na ten temat.
IP: 79.191.87.[...] Opera/9.80 (Windows NT 5.1; U; en) Presto/2.9.168 Version/11.52
#8 zergswarm^® 2011-11-18 09:43:30 0
@jacek2v:

Co do wypowiedzi bassownika, Linux jak na razie jest bezpieczniejszy z takiego powodu, że mniej ludzi się nim interesuje. Są udokumentowane exploity przy których posiadanie włączonego SeLinuxa zwiększa ich skuteczność, zamiast zmniejszać, i jeśli bassownik rzeczywiście się tym interesuje, wiedziałby o tym.

Naprawdę mało jest ludzi których interesują zagadnienia typu polimorfizm kodu x86, heurystyka czy analiza infektorów BIOS. Poza tym wydaje mi się, że ktoś niekoniecznie może spodziewać się technicznych oczekiwań czytelników serwisu o nazwie "Webhosting.pl", nawet wchodząc na stronę i czytając motto serwisu: "portal technologii internetowych" :).
IP: 213.251.169.[...] Mozilla/5.0 (X11; Linux x86_64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1
#9 jacek2v^® 2011-11-18 13:10:09 0
@zergswarm

"...Linux jak na razie jest bezpieczniejszy z takiego powodu, że mniej ludzi się nim interesuje ..."

Śmiem wątpić :) Bez faktów to puste stwierdzenie.

BTW: linux jest bardzo popularnym systemem, nawet (najprawdopodobniej) bardziej niż Windows .... na serwerach wystawionych w internecie :P Taki link na szybko: http://en.wikipedia.org/wiki/Usage_share_of_operating_systems#Servers

"Poza tym wydaje mi się, że ktoś niekoniecznie może spodziewać się technicznych oczekiwań czytelników serwisu o nazwie "Webhosting.pl", nawet wchodząc na stronę i czytając motto serwisu: "portal technologii internetowych" :)."

To ja należę do grona osób, którzy "koniecznie" :) starają się czytać ze zrozumieniem (nie zawsze wychodzi :)) i liczą na prawdziwe deklaracje :P
IP: 178.36.189.[...] Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/535.2 (KHTML, like Gecko) Chrome/15.0.874.120 Safari/535.2
#10 thebill 2011-11-18 22:14:37 2
O co chodzi z tymi cyberprzestepcami zatrudnionymi w eset ? dwa komentarze na ten temat zostaly zminusowane
IP: 173.0.9.[...] Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
#11 jacek2v^® 2011-11-19 15:03:07 1
@thebill:

Ja to nie wiem :), ale wiem, że przestępcą (cyber też) staje się po prawomocnym wyroku sądu, a nie po głosowaniu na forum :)

Wiem też, że haker ma całkowicie dalekie znaczenie od cyberprzestępca - dla niektórych będzie to zbyt precyzyjne :P

Podsumowując brednie, brednie, brednie i szkoda Twojego czasu :)
IP: 178.36.189.[...] Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/535.2 (KHTML, like Gecko) Chrome/15.0.874.121 Safari/535.2
#12 JacekD 2011-12-11 03:17:52 0
Tak - zatrudniamy w ESET praktycznie wszystkich byłych crackerów, czyli osoby zajmujące się łamaniem oprogramowania, ale oni już tego nie robią, bo nie współpracujemy z cyberkryminalistami (jak ktoś skończył to już się nie liczy jego przeszłość!). Po więcej informacji odsyłam do naszego rzecznika prasowego.
IP: 199.48.147.[...] Opera/9.80 (Windows NT 5.1; U; en) Presto/2.2.15 Version/10.10

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.