Hlavní navigace

Na přítomnost malwaru bude možná nutné rezignovat

 Autor: 29
Pavel Houser 11. 7. 2008

Hrozící bezpečnostní rizika, viry, botnety či spyware vyvolávají celou řadu reakcí. Jedna z myšlenek je přitom poměrně nová – prostě se s tím vším smířit a budovat pro citlivé aplikace takové kanály, které již dopředu předpokládají, že uživatelův počítač je nějak infikovaný. Je to nutné? A na druhou stranu, je to možné?

Firmy podnikající v oblasti počítačové bezpečnosti v poslední době často vyjadřují až rezignaci – tedy rezignaci na dosavadní přístupy k zabezpečení, na to, že by dokázaly problémy řešit v plné míře. Dave DeWalt, výkonný ředitel společnosti McAfee, na závěr experimentu S.P.A.M. uvedl: Myslím, že výsledky experimentu ukazují, že spam spojený s kybernetickou kriminalitou je ohromný problém, který se prostě nechystá vyklidit pole. Otázka už nadále nestojí, jak tento problém vyřešit, ale jak ho uřídit, udržet v rozumných mezích.

Opačný způsob myšlení

Symantec usuzuje, že protože škodlivého softwaru je dnes více než toho prospěšného, má cenu otočit logiku a namísto blacklistů přejít k whitelistům. Programy se již nebudou zakazovat, ale povolovat. PC by se pak změnilo v něco na způsob iPhone. Existovala by centrální autorita, jež by musela povolit spuštění libovolného programu. Samozřejmě, že v podnikových sítích to již často nějak podobně funguje. Na toto téma jsme již i na Lupě psali v souvislosti s tím, že možná končí éra „otevřených systémů“, a to právě v důsledku rostoucích bezpečnostních rizik.

Svět antivirových definic/signatur spěje zvolna ke svému konci. Škodlivého kódu je tolik, že ani rostoucí hardwarové kapacity a rychlosti zpracování pořádně nestačí držet krok s potřebným růstem příslušných tabulek.

Samozřejmě, že definice dnes už zdaleka nejsou vše a jistě lze jejich systém zdokonalit. Jednou z možností je převést čím dál více funkcionality ze systémů uživatelů na servery bezpečnostních firem, odstranit tedy nároky na infrastrukturu uživatelů a především nároky na administraci. Hostované bezpečnostní řešení by pak mohlo působit jako jakýsi proxy server, který by byl odpovědný za veškerou internetovou komunikaci.

Nejedná se o nové obavy. Například Robin Bloor, analytik firmy Hurwitz & Associates, již před dvěma roky prohlásil, že systém definic škodlivého kódu bude muset projít změnami. Namísto něj nastoupí systémy řízení aplikací, respektive autentizace softwaru (což si lze představit jako seznamy povolených programů, nebo jako povinnost výslovného povolení aplikace – asi jako dnes probíhá v prohlížeči u akceptování certifikátu nebo povolení prvku ActiveX).

Hrozby jsou reálné

Na tomto místě stojí za to učinit drobnou odbočku: samozřejmě, že firmy působící v oblasti počítačové bezpečnosti mají logicky zájem svá řešení prodávat, a tedy i zdůrazňovat, že míra nebezpečí stále roste. Výše zmíněná tvrzení patří ale do trochu jiné kategorie. Konec konců bezpečnostní firmy svá současná řešení prodávají nikoliv špatně. Gartner uvádí, že trh s bezpečnostním softwarem rostl meziročně o 20 % (pořadí na prvních třech místech podle současných tržeb je dle Gartneru Symantec, McAfee, TrendMicro). Bezpečnostní firmy tedy v zásadě nic nenutí vyhlašovat změnu paradigmatu či (de facto) svá stávající řešení prohlašovat za neúčinná.

Nicméně nemusíme se zaměřovat pouze na prohlášení firem. Profesor internetového práva Jonathan Zittrain v knize The Future of The Internet (již jsme se o ní na Lupě zmiňovali ve výše odkazovaném článku uvádí, že již počátkem roku 2007 byl zhruba každý čtvrtý počítač členem botnetu a útočníci navíc každý měsíc ovládli zhruba milion počítačů dalších. Zittrain mimochodem přikládá největší význam rozšíření širokopásmového připojení k Internetu, čímž se tato aktivita stala zajímavou pro útočníky (počítače v botnetu lze pak efektivně využívat, zvlášť, když bývají připojeny podstatně delší dobu, tj. obvykle jsou připojeny vždy, když jsou spuštěny). I na toto téma jsme již na Lupě psali v článku Botnety jsou všude kolem nás.

Co jsou botnety, jak fungují a jak zabránit tomu, aby se i váš počítač stal součástí zločinecké sítě? Všechny odpovědi najdete v článcích Jak se dělá phishing, Botnet: armáda phishingových otroků a Jak se bránit phishingu

Všechna výše uvedená tvrzení jsou po pravdě řečeno tak trochu kolovrátkem – jistě jsme je slyšeli už mnohokrát. Nicméně ilustrují situaci, ze které povstává na pohled divné prohlášení zmíněné v úvodu tohoto článku. Shlomo Kramer, jeden ze zakladatelů CheckPointu a dnes výkonný ředitel společnosti Imperva, uvedl v rozhovoru pro časopis SC Magazine (komentář na blogu SCo), že malware bude prostě třeba „ignorovat“. Jinak řečeno se nesnažit počítač vyčistit, ale prostě vytvořit takové komunikační kanály a aplikace, kterých by se kontaminace netýkala.

Banka provozující internetovou službu nedokáže dezinfikovat počítače uživatelů. Z konkurenčních důvodů internetbanking nabízet musí. Podvody a následné soudy kvůli kontaminovanému počítači zákazníka si nemůže dovolit, i kdyby chyba byla tisíckrát na straně uživatele – minimálně by to znamenalo negativní mediální publicitu. Bance tedy nezbývá nic jiného, než předpokládat, že uživatelův počítač je plný všemožných potvorností, a vytvořit takový transakční kanál, kde to nebude vadit (prostě „zabezpečený“ kanál, něco jako SSL, ale to je jen velmi hrubé přirovnání). Možná, že takhle nějak budou tedy brzy fungovat i další internetové aplikace.

Přece jen ale zbývá ještě jedna otázka: pokud máte počítač třeba zapojený do botnetu nebo se v něm usídlil nějaký program zaznamenávající stisky kláves, pak není moc jasné, jak/zda by tato procedura vůbec mohla fungovat. Jedinou z možností se zdá použití ještě dalšího komunikačního kanálu (ověřovací SMS s kódem na mobilní telefon apod.) nebo nějaká hardwarová autentizace, třeba biometrická. Je ale samozřejmě možné, že se přijde i s nějakým jiným, čistě internetovým kanálem, který by byl od počítače dostatečně oddělený, aby infekce z PC nemohly zasahovat do těchto transakcí.

Zittrain, mj. jeden z iniciátorů akce stopbadware.org, ještě dodává, že podobný zabezpečený kanál je nutný i proto, že jinak je malware těžko odlišitelný od užitečného softwaru. Dejme tomu, že na počítači běží ICQ nebo Skype. Těžko je zakazovat, nicméně jsou známy chyby v příslušných protokolech a nikdy nevíte, zda jich již někdo nezneužil. Mezi normálním softwarem a malware je dnes tenká hranice. Zittrain si vzpomíná, jak užíval VNC, byla v něm ale bezpečnostní díra a najednou zjistil, jak se s ním někdo jiný na jeho počítači přetahuje myší o kurzor. Musel počítač odpojit a přeinstalovat vše, co přeinstalovat šlo, ale ani pak si nebyl jistý.

Zittrain uvádí i příklad sítě univerzity amerického ministerstva obrany, která byla v roce 2007 napadena škodlivým kódem. Pokud po odstavení serverů chtěli mít administrátoři jistotu, že se neplech zbaví, provedli mj. prostě výměnu (fyzickou) veškerých notebooků, které používali jejich instruktoři. Banka ovšem výměnu veškerých PC svých zákazníků každý měsíc přece jen provádět nemůže.

Perlička na závěr. Projekt Stopbadware.org sponzoruje Google a používá se v něm i vyhledávací projekt a analytický nástroj této společnosti. Přesto se však v rámci posledního průzkumu ukázalo, že jedním z největších zdrojů malwaru jsou dnes… právě blogy Googlu.

Anketa

Je podle vás do budoucna nutné počítat s infikovanými PC uživatelů automaticky?

Našli jste v článku chybu?

11. 7. 2008 10:02

V.Mlich (neregistrovaný)
Reseni je jednoduche: ustoupit od Windows. Nejmene par dalsich let by byl relativni klid. Ja to udelal pred 2 lety

24. 10. 2008 7:35

von Danniken (neregistrovaný)
já bych je od netu neodpojoval, já bych je hned poslal do nějakého "převýchovného" tábora nebo je rovnou střílel, jakýpak copak, uživatel, který nezná svůj systém na 100% nemá nárok na život, asi bych popravoval i za instalaci sw neschváleného ministerstvem pro dobro internetu, ale třeba by taky nejdříve stačilo zabavit veškerý majetek (pro jistotu i rodinných příslušníků a kolegů, protože takový podvratný čin nestatečně včas nenahlásili) až při recidivě bych popravoval
Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo