Na přítomnost malwaru bude možná nutné rezignovat

Firmy podnikající v oblasti počítačové bezpečnosti v poslední době často vyjadřují až rezignaci – tedy rezignaci na dosavadní přístupy k zabezpečení, na to, že by dokázaly problémy řešit v plné míře. Dave DeWalt, výkonný ředitel společnosti McAfee, na závěr experimentu S.P.A.M. uvedl: Myslím, že výsledky experimentu ukazují, že spam spojený s kybernetickou kriminalitou je ohromný problém, který se prostě nechystá vyklidit pole. Otázka už nadále nestojí, jak tento problém vyřešit, ale jak ho uřídit, udržet v rozumných mezích.

Opačný způsob myšlení

Symantec usuzuje, že protože škodlivého softwaru je dnes více než toho prospěšného, má cenu otočit logiku a namísto blacklistů přejít k whitelistům. Programy se již nebudou zakazovat, ale povolovat. PC by se pak změnilo v něco na způsob iPhone. Existovala by centrální autorita, jež by musela povolit spuštění libovolného programu. Samozřejmě, že v podnikových sítích to již často nějak podobně funguje. Na toto téma jsme již i na Lupě psali v souvislosti s tím, že možná končí éra „otevřených systémů“, a to právě v důsledku rostoucích bezpečnostních rizik.

Svět antivirových definic/signatur spěje zvolna ke svému konci. Škodlivého kódu je tolik, že ani rostoucí hardwarové kapacity a rychlosti zpracování pořádně nestačí držet krok s potřebným růstem příslušných tabulek.

Samozřejmě, že definice dnes už zdaleka nejsou vše a jistě lze jejich systém zdokonalit. Jednou z možností je převést čím dál více funkcionality ze systémů uživatelů na servery bezpečnostních firem, odstranit tedy nároky na infrastrukturu uživatelů a především nároky na administraci. Hostované bezpečnostní řešení by pak mohlo působit jako jakýsi proxy server, který by byl odpovědný za veškerou internetovou komunikaci.

Nejedná se o nové obavy. Například Robin Bloor, analytik firmy Hurwitz & Associates, již před dvěma roky prohlásil, že systém definic škodlivého kódu bude muset projít změnami. Namísto něj nastoupí systémy řízení aplikací, respektive autentizace softwaru (což si lze představit jako seznamy povolených programů, nebo jako povinnost výslovného povolení aplikace – asi jako dnes probíhá v prohlížeči u akceptování certifikátu nebo povolení prvku ActiveX).

Hrozby jsou reálné

Na tomto místě stojí za to učinit drobnou odbočku: samozřejmě, že firmy působící v oblasti počítačové bezpečnosti mají logicky zájem svá řešení prodávat, a tedy i zdůrazňovat, že míra nebezpečí stále roste. Výše zmíněná tvrzení patří ale do trochu jiné kategorie. Konec konců bezpečnostní firmy svá současná řešení prodávají nikoliv špatně. Gartner uvádí, že trh s bezpečnostním softwarem rostl meziročně o 20 % (pořadí na prvních třech místech podle současných tržeb je dle Gartneru Symantec, McAfee, TrendMicro). Bezpečnostní firmy tedy v zásadě nic nenutí vyhlašovat změnu paradigmatu či (de facto) svá stávající řešení prohlašovat za neúčinná.

Nicméně nemusíme se zaměřovat pouze na prohlášení firem. Profesor internetového práva Jonathan Zittrain v knize The Future of The Internet (již jsme se o ní na Lupě zmiňovali ve výše odkazovaném článku uvádí, že již počátkem roku 2007 byl zhruba každý čtvrtý počítač členem botnetu a útočníci navíc každý měsíc ovládli zhruba milion počítačů dalších. Zittrain mimochodem přikládá největší význam rozšíření širokopásmového připojení k Internetu, čímž se tato aktivita stala zajímavou pro útočníky (počítače v botnetu lze pak efektivně využívat, zvlášť, když bývají připojeny podstatně delší dobu, tj. obvykle jsou připojeny vždy, když jsou spuštěny). I na toto téma jsme již na Lupě psali v článku Botnety jsou všude kolem nás.

Všechna výše uvedená tvrzení jsou po pravdě řečeno tak trochu kolovrátkem – jistě jsme je slyšeli už mnohokrát. Nicméně ilustrují situaci, ze které povstává na pohled divné prohlášení zmíněné v úvodu tohoto článku. Shlomo Kramer, jeden ze zakladatelů CheckPointu a dnes výkonný ředitel společnosti Imperva, uvedl v rozhovoru pro časopis SC Magazine (komentář na blogu SCo), že malware bude prostě třeba „ignorovat“. Jinak řečeno se nesnažit počítač vyčistit, ale prostě vytvořit takové komunikační kanály a aplikace, kterých by se kontaminace netýkala.

Banka provozující internetovou službu nedokáže dezinfikovat počítače uživatelů. Z konkurenčních důvodů internetbanking nabízet musí. Podvody a následné soudy kvůli kontaminovanému počítači zákazníka si nemůže dovolit, i kdyby chyba byla tisíckrát na straně uživatele – minimálně by to znamenalo negativní mediální publicitu. Bance tedy nezbývá nic jiného, než předpokládat, že uživatelův počítač je plný všemožných potvorností, a vytvořit takový transakční kanál, kde to nebude vadit (prostě „zabezpečený“ kanál, něco jako SSL, ale to je jen velmi hrubé přirovnání). Možná, že takhle nějak budou tedy brzy fungovat i další internetové aplikace.

Přece jen ale zbývá ještě jedna otázka: pokud máte počítač třeba zapojený do botnetu nebo se v něm usídlil nějaký program zaznamenávající stisky kláves, pak není moc jasné, jak/zda by tato procedura vůbec mohla fungovat. Jedinou z možností se zdá použití ještě dalšího komunikačního kanálu (ověřovací SMS s kódem na mobilní telefon apod.) nebo nějaká hardwarová autentizace, třeba biometrická. Je ale samozřejmě možné, že se přijde i s nějakým jiným, čistě internetovým kanálem, který by byl od počítače dostatečně oddělený, aby infekce z PC nemohly zasahovat do těchto transakcí.

Zittrain, mj. jeden z iniciátorů akce stopbadware.org, ještě dodává, že podobný zabezpečený kanál je nutný i proto, že jinak je malware těžko odlišitelný od užitečného softwaru. Dejme tomu, že na počítači běží ICQ nebo Skype. Těžko je zakazovat, nicméně jsou známy chyby v příslušných protokolech a nikdy nevíte, zda jich již někdo nezneužil. Mezi normálním softwarem a malware je dnes tenká hranice. Zittrain si vzpomíná, jak užíval VNC, byla v něm ale bezpečnostní díra a najednou zjistil, jak se s ním někdo jiný na jeho počítači přetahuje myší o kurzor. Musel počítač odpojit a přeinstalovat vše, co přeinstalovat šlo, ale ani pak si nebyl jistý.

Zittrain uvádí i příklad sítě univerzity amerického ministerstva obrany, která byla v roce 2007 napadena škodlivým kódem. Pokud po odstavení serverů chtěli mít administrátoři jistotu, že se neplech zbaví, provedli mj. prostě výměnu (fyzickou) veškerých notebooků, které používali jejich instruktoři. Banka ovšem výměnu veškerých PC svých zákazníků každý měsíc přece jen provádět nemůže.

Perlička na závěr. Projekt Stopbadware.org sponzoruje Google a používá se v něm i vyhledávací projekt a analytický nástroj této společnosti. Přesto se však v rámci posledního průzkumu ukázalo, že jedním z největších zdrojů malwaru jsou dnes… právě blogy Googlu.