Jak WikiLeaks zmienia bezpieczeństwo informacji

2010-12-10 20:15

Nie można zignorować zmian jakich WikiLeaks dokonało w ekosystemie bezpieczeństwa informacji. USA to kraj który dał światu z pieniędzy państwowych między innymi Orange Book, CERT, SELinux’a, wytyczne NSA do hardeningu platform systemowych, największe skupisko kryptografów w jednym miejscu (NSA)… Lista oczywiście powinna być znacznie dłuższa, ale już nawet ten wycinek udowadnia pewną tezę. USA, podobnie jak inne kraje o wysokiej kulturze informacyjnej zainwestowały i inwestują dalej w ochronę informacji rozumiejąc jej znaczenie. Tymczasem mimo tych inwestycji człowiek jest nadal najsłabszym ogniwem a nadawanie odpowiednich uprawnień jest problemem nadal niezwykle trudnym w implementacji.

Okazuje się że pomysły związane z innym modelem dostępu niż DAC wcale nie są tak masowo wprowadzane jakby się to mogło wydawać. Gdyby było inaczej źródła WikiLeaks musiałby penetrować systemy a nie po prostu kopiować z nich dokumenty. (Przy okazji WikiLeaks to sygnał alarmowy zarówno dla klientów jak i dostawców systemów DLP – czy naprawdę działają one poprawnie?) Powodów tego jest zresztą wiele. Historia polskiej przedwojennej szkoły kryptoanalizy jest dowodem smutnej zależności – nawet najlepszy wywiad i kryptoanaliza są nic nie warte jeśli nie mają właściwego zaplecza w postaci uzbrojenia.

Być może Wikileaks udowadnia, że ten paradygmat przestaje obowiązywać w XXI wieku. Być może strona internetowa jest potężniejsza od tysięcy czołgów i samolotów. Co więcej kwestia WikiLeaks może podzielić całe społeczeństwa. Ze smutkiem a czasem nawet przerażaniem czytam komentarze ludzi na forach internetowych, które mówią że gdyby byli hackerami to pomogli by jednej lub drugiej stronie w atakowaniu ich systemów. Moje zmartwienie wynika z kilku powodów. Po pierwsze niestety wszyscy zapomnieli – trudne słowo – etymologii pojęcia „hacker”. Hackerzy byli tymi dobrymi, znającymi na wylot systemy operacyjne ludźmi, którzy chcieli poprawić świat za pomocą kodu. Utopijna idea, ale przyniosła wiele interesujących skutków. Gdyby nie ci ludzie, nie mielibyśmy dzisiaj GNU (a także wspomnianego wcześniej SELinuxa) i miliardów linii kodu wykorzystywanego w darmowych i komercyjnych rozwiązaniach.

Innym powodem zmartwienia jest to, że agresja zawsze rodzi agresję. Sun Tzu i inni wielcy stratedzy, wojownicy i mistrzowie sztuk wschodnich walk chętnie cytowani przez wielu tzw „ekspertów IT security” doskonale rozumieli tą zasadę. Ale czasy się zmieniają i nawet OpenBSD nie ma już w swoim logo napisu „sending scripts kiddies to /dev/null” a „rybcia” nie jest wyposażona w karabin maszynowy i niewielką bombkę atomową ale w gitarę.

Wracając jednak do poważniejszych kwestii… WikiLeaks wymusi zmiany w systemach ochrony informacji – zarówno po stronie państwowej jak i sektora prywatnego. Zmiany nie będą zauważalne od razu – ich wprowadzenie zajmie co najmniej kilka jeśli nie kilkanaście lat. Skoro może wyciec tyle dokumentów i informacji to jak ma wyglądać zaufanie obywatela do technologii – w końcu paszport biometryczny nie jest dzisiaj niczym niezwykłym a czytniki linii papilarnych (notabene zazwyczaj fatalnej jakości) są w prawie każdym notebooku. Pytanie „co się stanie jeśli nasze dane biometryczne wyciekną do Internetu?” zamienić trzeba na pytanie „kiedy to się stanie?”

Na koniec spostrzeżenie historyczne z perspektywy AVET INS. Kiedy w 97 roku zakładaliśmy naszą firmę ludzie pukali się w głowy bo miliony robiło się na sprzedaży komputerów PC i może jeszcze licencji. Wtedy dla wielu bezpieczeństwo to był program antywirusowy, ewentualnie szyfrator i firewall. Usługi z zakresu bezpieczeństwa? Konsulting? Gdy przy okazji jednej z pierwszych prezentacji firmowych na pewnej uznawanej za profesjonalną konferencji pokazaliśmy biznesowy model podejścia do bezpieczeństwa, został on zupełnie bez zrozumienia. A jednak parę lat później część ludzi nie wierzących w nasz model włączyło usługi z zakresu bezpieczeństwa informacji w portfolio swoich produktów. Okazało się że jednak mieliśmy rację i nie należało by ciągnąć dalej tego wątku gdyby nie WikiLeaks. WikiLeaks pokazało ponownie że mieliśmy rację – klocki zabezpieczenia za miliony euro mają wartość mniejszą niż klocki Lego (bo z tych ostatnich coś można przynajmniej zbudować niezależnie od posiadanej wiedzy) jeśli nie ma dołożonej odpowiedniej wiedzy. Tylko że tym razem chyba nie cieszę się z tego, że mieliśmy rację w 1997 roku.

Norman Davies postawił kiedyś tezę, że niezwykle ciekawe byłoby policzenie kosztów upadku Imperium Rzymskiego. Idąc dalej tym tropem szybko można dojść do wniosku że upadek Imperium i jego skutki można odczuć do dziś. Ja tymczasem chętnie bym zobaczył za jakieś 10 – 20 lat wyliczenie kosztów zmian wymuszonych przez WikiLeaks.

Blog

MS SQL Server 2005 Extended Support kończy się 12 kwietnia

Rozszerzone wsparcie dla serwera Microsoft SQL Server 2005 kończy się 12 kwietnia. To ostatni moment aby dokonać migracji do wyższej wersji.

Jeśli tego nie zrobiłeś to AVET INS może wesprzeć ...

2016-03-01 09:00, Czytaj więcej Więcej
Kiedy Flash wyginie?

Flash to jedna z tych technologii, która ma bardzo złą – i w tym wypadku całkowicie zasłużenie – reputację w obszarze bezpieczeństwa. Ta reputacja jest tak zła, że od jakiegoś czasu część ...

2016-02-11 16:45, Czytaj więcej Więcej
Krytyczna podatność w kliencie OpenSSH (CVE-2016-0777, CVE-2016-0778)

Wersje oprogramowania klienckiego OpenSSH w wersjach od 5.4 do 7.1 podatne są na atak umożliwiający wyciek pamięci oraz kradzież kluczy prywatnych. W przypadku, gdy połączenie SSH zostanie przerwane ...

2016-02-01 09:30, Czytaj więcej Więcej
Microsoft ogranicza wsparcie IE tylko do wersji 11

Microsoft przestaje wspierać starsze wersje przeglądarki Internet Explorer. Jedyną wspieraną wersją od dzisiaj jest IE 11 i wyższe. Dla wielu systemów (np. Windows 7) może to oznaczać potrzebę aktualizacji lub ...

2016-01-13 09:00, Czytaj więcej Więcej
SafeNet Day: Szyfrowanie w chmurze - prezentacja

Prezentacja Aleksandra Czarnowskiego z konferencji SafeNet Day na temat Szyfrowanie w chmurze jest już dostępna do pobrania. Zapraszamy do pobrania poniżej:

http://www.avet.com.pl/media/pdf/2015-11-02_Szyfrowanie_w_chmurze.pdf

2015-10-31 10:00, Czytaj więcej Więcej