пятница, 15 июня 2012 г.

16 проблем безопасности, больших, чем Flame


Сегодня благодаря @abeshkov прочитал статью Roger A. Grimes "16 проблем безопасности, больших, чем Flame".  Статья вызвала не однозначное отношение, но решил таки все же перевести, в основном для студентов не знакомых с языком оригинала. Остальных отсылаю к оригиналу.
Есть несколько занимательных размышлений:
1. Не смотря на отсутствие чуткого глаза ФСТЭК/ФСБ/РКН "там" примерно такие же проблемы, что и у нас – системные. Различия в частностях. Да, я под частностями понимаю и то, что творится в законодательном поле…  Рецепта "волшебной пилюли" ни у кого нет. 
2. Это взгляд Principal Security Architect из Microsoft. Что само по себе интересно...
3. Да и просто приятно встретить коллегу по паранойи.
Итак…


16 проблем безопасности, больших, чем Flame.
Flame оказался сложной вредоносной программой, но если бы его не было сегодня в Internet было бы столь же небезопасно.


Не буду отрицать, что men-in-middle атака реализованная Flame очень интересна. Это невероятно сложная цепочка exploit использующая не соответствие современным требованиям  MD5, слабость поставщика цифрового сертификата, уязвимость WPAD (Web Proxy Auto-Discovery Protocol), и подпись вредоносов. Это хорошая история для книги.
Тем не менее, не могу сказать, что меня слишком поразил Flame. Microsoft (работодатель Roger A. Grimes) отозвал уязвимый сертификат. Уязвимость WPAD будет всегда. Есть  более простой способ добиться того же результата, например атаки типа "pass-the-hash". Кроме того, Flame не распространился широко.

[ Find out how to block the viruses, worms, and other malware that threaten your business, with hands-on advice from InfoWorld's expert contributors in InfoWorld's "Malware Deep Dive" PDF guide. | Your antivirus may be killing yourvirtualization infrastructure. InfoWorld's Matt Prigge shows you how to detect the warning signs. | Keep up with key security issues with InfoWorld's SecurityCentral newsletter. ]

Но самая главная причина, почему я расстроен Flame: состояние ИТ-безопасности действительно отвратительное. Flame может быть добавил масла в огонь, но пожар уже бушует. Насколько все плохо? Рассмотрим все, что происходило до Flame и после Flame стало еще хуже:
  1. Более 1 млн. компьютеров успешно вскрываются каждый день. Каждые 14 секунд один компьютер.
  2. 39 процентов компьютеров в мире заражены вредоносными программами какого-либо типа.
  3. В прошлом году 90 процентов компаний в мире пострадали из-за нарушений в сети.
  4. По данным Privacy Rights каждый год у каждого седьмого совершеннолетнего пользователя компрометируются реквизиты для on-line платежей, идентификационные данные, или пароли. В сумме это составляет 280 000 000 взломанных учетных записей за последние восемь лет.
  5.  82 процента вредоносных веб-сайтов, размещаются на взломанных легитимных сайтах.
  6.  И это уже не редкое событие для одного взломанного сайта, а причина ущерба более чем 100 миллионов долларов. Хороший пример - нападение на Sony .
  7. Участники таких групп как Anonimous регулярно взламывают крупнейшие компании в мире и международные организации исследуя их.
  8. Практически остались не замечены взломы, в результате которых происходили утечки  миллионов паролей так много. Например, успешное нападение на LinkedIn.
  9. В 2003 году SQL Slammer заразил практически все уязвимые компьютеры за 10 минут.
  10. Вредоносные программы захватывают мобильные платформы, как будто мы не узнали абсолютно ничего за 25 лет постоянного взлома компьютеров.
  11. Прошло почти 10 лет с принятия CAN-SPAM в 2003 году, а  процент спама все еще выше 65.
  12. Каждая 14ая загрузка из интернет содержит вредоносный код.
  13. Годовой рынок киберпреступности оценивается в 114 миллиардов долларов.
  14. Процент раскрываемости Интернет преступлений составляет менее 0,01%.
  15. Хакинг настолько широко распространился в мире, что Google теперь автоматически предупреждает пользователей о потенциальных опасностях.
  16. Stuxnet, Duqu, и теперь Flame доказали, что сложные вредоносные программы могут обойти любую защиту компьютера.



Сейчас происходит, так много плохих вещей, что можно задаться вопросом, когда будет переломный момент или событие, которое заставит людей встать и сказать, что они не будут мириться с этим. Раньше я думал, что это будет Google или падение фондового рынок  в течение дня, но теперь я сомневаюсь, что даже события такого масштаба смогут остаться в новостях более недели.

Но так как мир и его критически важные приложения постоянно растет, я предсказываю, кто-то, когда-нибудь совершит такое вопиющее киберпреступление и это обязательно вызовет переломный момент. Если обратиться к истории, то глобальное событие может произойти случайно после того, как  программист вредоноса потеряет контроль над своим созданием  à la червь Роберта Морриса в 1988 году, SQL Slammer, или вирус Melissa Word. Но случайно или нет, кто-то, когда ни будь, пересечет границу и это приведет к очень быстро к слишком большому ущербу . Я хотел бы знать, что Вы верите мне, что переломный момент настанет.

Однажды, когда настанет переломный момент, мир сойдет с ума, на некоторое время. Каналы новостей будет полны «экспертами» которые будут говорить нам, что произошло и что нужно сделать, чтобы предотвратить еще большие проблемы. Мы, наконец, осуществим то, что мы должны были сделать два десятилетия назад и пойдем в Интернет из фазы Дикого Запада. Я, например, не могу ждать. Это слишком долго ждать.

Как я уже говорил, есть способы "исправить" Интернет сегодня. Мы можем сделать его значительно более безопасным местом. Это будет Интернет 2.0, в котором все участники были  идентифицированы и проверены до того, смогут совершать действия, которые могли бы причинить вред себе или другим. Это требует потери  анонимности по умолчанию. Люди, которым нужная абсолютная анонимность еще смогут просматривать и работать с оригинальной инфраструктурой Интернета, но те из нас, кто хочет больше гарантий и безопасности могли бы использовать более новую версию. Мы можем сделать это с помощью существующих протоколов, работающих на существующей инфраструктуре.

Я об этом писал раньше в моем плане исправления Интернета [PDF]. Мой работодатель, Microsoft, предложил свое видение более безопасного Интернета в его инициативе End-to-End Trust. Я всегда любил идеи  Trusted Computing Group, которая долгое время работала над основными элементами, необходимыми для создания более безопасного мира.

Но вернемся к первоначальной теме, и почему я не могу начать работать относительно Flame и проблем  MD5: реальные проблемы, связаны с инфраструктурой, а не с конкретным червем или уязвимостью конечной точки. Это ни как не защитит нас от очередного Flame если мы не будем решать  более широкую проблему.

Избавимся от Flame, но каждый факт, о которых я заявлял, выше по-прежнему верен. Ничего не изменилось.

Комментариев нет:

Отправить комментарий