Czy dzięki chmurze i kryptografii znów zaufamy komputerom?
Świat bezpieczeństwa informatycznego stoi w ogniu i trafia na pierwsze strony gazet: wirus WannaCry zatrzymuje produkcję w fabryce Renault-Nissan, hakerzy wyłączają elektrownię na Ukrainie i czytają maile Hillary Clinton. Maile Emmanuela Macrona też są dostępne i ten konkretny atak wyróżnia się na tle pozostałych.
W przeciwieństwie do innych ataków, ten został zapowiedziany. Gdy włamano się na konto Hillary Clinton, stało się jasne, że hakerzy będą próbowali zdyskredytować wszystkich kandydatów, którzy stają na drodze ich populistycznym odpowiednikom. Wiodący francuscy eksperci ds. bezpieczeństwa wiedzieli o tym i mieli czas na przygotowanie – a gdy nastąpił atak, został on natychmiast wykryty przez TredMirco – dostawcę usług z zakresu bezpieczeństwa. Mimo to hakerzy odnieśli zwycięstwo: maile i dokumenty należące do sztabu Macrona zostały udostępnione razem ze sfałszowanymi informacjami. A zatem, jeżeli uzbrojony po zęby sztab prezydenta Francji, posiadający najnowsze komputerowe środki bezpieczeństwa, nie był w stanie sprostać zapowiadanemu atakowi, to czy zwykła, niczego niepodejrzewająca osoba lub organizacja może czuć się bezpiecznie? Czy możemy zaufać komputerom?
Komputery zarządzają naszym życiem – musimy w nie wierzyć. Jeżeli ktoś nacisnąłby guzik mogący wyłączyć wszystkie komputery na świecie, zgasłyby światła, banki zostałby sparaliżowane, a telefony komórkowe przestałyby działać. Doszłoby do zamieszek, zginęliby ludzie. W istocie wkraczamy w świat, w którym każda „rzecz” będzie miała wbudowany komputer. Żaden inny wynalazek nie zmienił naszego życia tak bardzo jak komputer, a mimo to nie możemy mu zaufać.
W poszukiwaniu luk
Dlaczego tak właśnie się dzieje? Eksperci ds. bezpieczeństwa wspólnie wskazują placem na jednego winowajcę: błąd programowy. Badania naukowe dość precyzyjnie określają tę kwestię. Steve McConnel – autor podręczników na temat inżynierii programowania – zakłada, że „standardem przemysłowym” poziomu błędu jest zakres między 15 a 50 błędami przypadającymi na tysiąc linijek programu. Nie każdy błąd jest błędem bezpieczeństwa, jednak mimo to obliczenia nie wróżą najlepiej: przeglądarka Firefox na przykład składa się z 16 milionów linijek kodu, a Windows z aż 50 milionów.
Czy błędy są nieuniknione? Kod może zostać napisany w taki sposób, by został on naukowo uznany za zabezpieczony przed błędami. Na przykład SPARK – język komputerowy stworzony właśnie z tą myślą – stosowany jest między innymi w kontroli ruchu lotniczego w Anglii, tak więc nie ma się czego obawiać w trakcie lądowania na Heathrow.
Jeżeli możemy wyzbyć się błędów, czemu one wciąż się pojawiają? Jedną z odpowiedzi jest to, że zespoły odpowiedzialne za tworzenie oprogramowania często przedkładają tempo wprowadzenia produktu na rynek nad jego jakość. Testy nie są w stanie wykryć wszystkich błędów, ponieważ zwyczajnie nie da się sprawdzić każdego możliwego scenariusza. Gdy zespoły próbują naprawić błędy, zajmują się funkcjonalnymi błędami, a nie tymi związanymi z bezpieczeństwem. Rzecz w tym, że obecnie każdy może napisać kod – nowoczesne produkcyjne środowiska programistyczne pozwalają na stworzenie oprogramowania za kliknięciem myszki. W pewnym sensie tworzenie oprogramowania przestało być nauką: wiele osób tym się zajmujących nie opiera się na wiedzy, zasadach czy też najlepszych praktykach opracowanych przez tysiące naukowców z tej dziedziny, ponieważ zwyczaje się ich nie uczyli. Inną odpowiedzią na powyższe pytanie jest fakt, że technologia informatyczna powstała zaledwie kilka dekad temu – natomiast ponad tysiącletnia dziedzina inżynierii konstrukcyjnej nie boryka się z problemem, gdzie na każde tysiąc cegieł przypada od 15 do 50 źle ułożonych.
W rezultacie otrzymujemy żyłę złota luk w bezpieczeństwie. Złoto zostało tutaj użyte dosłownie, jako iż eksploity tzw. „dnia zerowego” (czyli nieopublikowane) są rutynowo sprzedawane za dziesiątki tysięcy euro nabywcom, do grona których podobno należą również podmioty takie jak rząd Stanów Zjednoczonych.
Chmury i liczby na ratunek
Jednak wciąż jest nadzieja. Po pierwsze bezpieczeństwo informatyczne musi znaleźć się na pierwszym miejscu. Nie dostępność systemu, nie funkcje, nie wydajność, ani też wymagania klientów. Bez dwóch zdań nie ma niczego gorszego niż wykradnięcie lub uszkodzenie danych klienta. Wraz z rosnącą zawiłością i prędkością zmian zachodzących w obszarze rozwiązań w zakresie bezpieczeństwa, niewiele organizacji jest w stanie samodzielnie zbudować i obsługiwać niezbędną infrastrukturę. Przedsiębiorstwa muszą znaleźć dostawcę rozwiązań w zakresie bezpieczeństwa, ale również dostawcę zabezpieczeń, który będzie mógł do pewnego stopnia odciążyć organizację w ramach świadczenia usługi.
Chmura obliczeniowa nie jest powszechnie uznawana za usługę w zakresie bezpieczeństwa, jednakże posiada ona istotny element bezpieczeństwa wbudowany w każdą jej ofertę. Na przykład Office 365 wraz z collaboration suite (zestaw programów do pracy grupowej) nie jest postrzegany jako usługa w zakresie bezpieczeństwa, ale tym właśnie jest: Dostawca chmury odpowiada za fizyczne i systemowe bezpieczeństwo, a dodatkowo w sposób ciągły zarządza spamem i zagrożeniem ze strony złośliwego oprogramowania.
Jest jeszcze jedno narzędzie, dzięki któremu możemy ujrzeć światełko w tunelu. Towarzyszy nam ono od zarania dziejów: matematyka, a raczej jej zastosowanie. Kryptografia to rzetelny sposób zapewniania prywatności komunikacji poprzez szyfrowanie, weryfikacji tożsamości poprzez cyfrowe podpisy i certyfikaty, bezpieczeństwa integralności poprzez klucze uwierzytelnienia i podpisy, jak również zapewnienia, że informacje nie są kopiowane poprzez zastosowanie technologii eksploratora bloków. Gdyby sztab Marcona korzystał z kryptografii, to hakerzy nie tylko nie mogliby odczytać udostępnionych danych, ale również zidentyfikowanie sfałszowanych dokumentów nie stanowiłoby problemu.
Przywrócenie naszego zaufania do komputerów nie należy wyłącznie do obowiązków inżynierów oprogramowania i profesjonalistów ds. bezpieczeństwa. Każdy użytkownik z osobna powinien o to zadbać, ponieważ te narzędzia i procesy pozwolą każdemu ponownie zaufać informatyce. Tylko wtedy będziemy mogli w pełni cieszyć się światem komputerów: jako prywatną, bezpieczną przestrzenią i niezawodnym narzędziem, którym może się stać.
Autor: Miroslav Pikus Ekspert ds. chmur
Data publikacji: 21.11.2017