Zgłoś błąd
X
Zanim wyślesz zgłoszenie, upewnij się że przyczyną problemów nie jest dodatek blokujący reklamy.
Błędy w spisie treści artykułu zgłaszaj jako "błąd w TREŚCI".
Typ zgłoszenia
Treść zgłoszenia
Twój email (opcjonalnie)
Nie wypełniaj tego pola
.
Załóż konto
EnglishDeutschукраїнськийFrançaisEspañol中国

Biała lista zawodzi, jak długo będziemy jej jeszcze ufać?

LukasAMD | 04-12-2015 15:58 |

Ostatni tydzień obfitował w informacje, które niestety nie należą do najprzyjemniejszych. Co gorsza, wiele osób wcale nie zdaje sobie sprawy z tego, co dzieje się z ich danymi. Właściwie codziennie bezpieczeństwo internautów, a w zasadzie użytkowników komputerów w ogóle jest wystawiane na próbę – czasami za sprawą rozbudowanych ataków, czasami przez próby oszustwa, a czasami za sprawą niedopowiedzeń i pomyłek, które mogą mieć opłakane konsekwencje. Kilka ostatnich wydarzeń pokazuje, że najprawdopodobniej przyszedł czas, aby powoli pozbywać się zaufania do jednego z najpopularniejszych mechanizmów ochronnych, jakim jest biała lista. Zawodzi ona obecnie na różnych frontach, choć winne są nie tyle założenia, ile gonitwa za konkurencją, a także redukowanie kosztów.

Ani biała, ani czarna lista nie jest lekarstwem na wszystkie problemy.

Gdzie możemy spotkać się z mechanizmem białej listy? W zasadzie na każdym kroku, nie tylko w IT, ale również w życiu codziennym – dostęp do pewnych miejsc mają tylko określone, zaufane osoby. Podobnie jest i w przypadku komputerów. Najlepszym tego przykładem są systemy antywirusowe, które w ciągu lat swojego rozwoju przeszły długą drogę. Początkowo szkodniki były rozpoznawalne jedynie za pomocą sygnatur: szkodliwego oprogramowania było niewiele, producenci mogli więc sobie pozwolić na tego typu ochronę. Skanowanie na podstawie sygnatury to, jak można się spodziewać, działanie z czarną listą pod ręką. Dzierżymy takową w jednej dłoni, drogą wycinamy natomiast wszystkie obiekty, które się na niej znajdują.

W miarę upływu czasu liczba malware zaczęła rosnąć i to na olbrzymią skalę. Wiele doświadczonych osób zdało sobie sprawę, że wirus może stanowić nie tylko narzędzie do szczeniackich zabaw takich jak otwieranie komuś tacki napędu optycznego, ale także coś naprawdę niszczycielskiego – to jest natomiast bardzo intratny interes dla każdego, kto musi walczyć z konkurencją i nie obawia się sięgnięcia po nawet najostrzejsze środki. Szybko okazało się, że bazowanie na czarnej liście zaczyna tracić rację bytu. Szkodniki powstawały zbyt szybko, a skanowanie czystych plików ogromnymi bazami sygnatur okazywało się zabójcze dla wydajności komputera. Te nie są natomiast stworzone i kupowane do tego, aby większość mocy obliczeniowej poświęcały na oprogramowanie antywirusowe.

Heurystyka, piękny zabieg marketingowy.

Ze szkodnikami zaczęto walczyć na inne sposoby. Najlepszym tego przykładem jest heurystyka – cudowne, magicznie marketingowe hasło, które porwało do sklepów wielu klientów. Czym jest ten mechanizm? Prawdę mówiąc, przyznaniem się producenta oprogramowania zabezpieczającego do tego, że nie jest on w stanie zapewnić nam bezpieczeństwa – tak, to pokazanie słabości, a nie coś, co ma nas chronić. Algorytmy heurystyczne szukają rozwiązania, ale wcale nie muszą go znaleźć. Zamiast tego pokażą teoretycznie najlepsze wyjście z sytuacji: nie oznacza to, że zawsze ich ocena będzie trafna. W przypadku antywirusów i mechanizmów ochronnych chodzi o wyszukiwanie pewnych fragmentów, wzorców zachowania, które można określić mianem szkodliwych. Jak bardzo skuteczna jest ta metoda, pokazują testy związane z fałszywymi alarmami. Lekka heurystyka na ogół nowych szkodników nie znajdzie, rozbudowana o szerokim spectrum klasyfikacji będzie natomiast często oznaczała czyste aplikacje jako szkodniki.

Ta metoda jest nadal stosowana, choć i ona nie przetrwała starcia ze szkodnikami – skanowanie heurystyczne i dokładna analiza działania nie tylko nie daje pewności, ale i wymaga sporych zasobów. Świetnym tego przykładem jest według mnie skaner w starszych wersjach pakietów Panda. Domyślnie wszystkie opcje włączono, co rozkładało na łopatki nawet bardzo wydajne komputery. Przykłady można mnożyć, nawet teraz na rynku znajdziemy pakiety, które korzystają z tego typu analiz. Czasami łączy się je wraz z analizami behawioralnymi: pakiet monitoruje działanie aplikacji i jeżeli zauważy, że przypomina ono coś szkodliwego, odpowiednio na to zareaguje. Problemem jest oczywiście narzut związany z ciągłym monitorowaniem procesów, tego się po prostu nie da uniknąć.

Dell - Podejrzany certyfikat na laptopach firmy

Jedną z kolejnych technologii stosowanych do ochrony była biała lista, rozwinięta następnie do wielu znacznie przyjaźniejszych dla użytkowników terminów. Ktoś wpadł na iście diabelski pomysł: a gdyby tak odwrócić działanie czarnej listy? Zamiast skanować aplikacje w poszukiwaniu tych złośliwych, można automatycznie dopuszczać zaufane, a dokładnie badać tylko te, które budzą jakieś wątpliwości. Tak to wygląda w przypadku systemów zautomatyzowanych, w których aplikacja podejmuje decyzje i ocenia ryzyko za użytkownika. Rozwiązania tego typu znajdziemy obecnie w niemal każdym popularnym pakiecie ochronnym: systemy reputacji (np. Norton), kolektyw ochronny (Panda), czy też zaawansowana chmura (Kaspersky), to właśnie ocenianie plików, segregowanie ich zgodnie z pewnymi przyjętymi kryteriami, a następnie odciążanie samego skanowania.

Pomysł wydaje się świetny, niestety czasami gorzej wypada samo praktyczne jego wykonanie. Na rynku znajdziemy pakiety ochronne, a nawet nieco bardziej zaawansowane aplikacje zabezpieczające, które domyślnie ufają aplikacjom podpisanym cyfrowo. Teoretycznie podpis taki gwarantuje, że program został sprawdzony, jest czysty i nie stanowi zagrożenia. Niestety, idylla kończy się w momencie, gdy zdajemy sobie sprawę, że przecież cyberprzestępcy również mogą zdobyć uprawnienia, podpisy i certyfikaty. Oprogramowanie, w którym obecnie się poruszamy, bazuje na wykorzystywaniu podpisów i tzw. zaufanych urzędów certyfikacyjnych. Te wystawiają poświadczenia innym podmiotom, przez co my możemy uznawać je za zaufane. Doprawdy?

Nawet nowe urządzenia prosto ze sklepu wcale nie muszą być bezpieczne - komu można więc ufać?

Historia pokazuje, że nawet w przypadku takich urzędów sprawa może wyglądać różnie. W ostatnich dniach dowiedzieliśmy się, że Dell preinstalował na niektórych swoich laptopach certyfikat (wraz z kluczem!), dzięki któremu możliwe było wykonanie ataku man-in-the-middle. Producent sprzętu umieścił na nim narzędzie, które miało ułatwić wsparcie techniczne i nie było w tym nic złego, gdyby nie było to zarazem wbijanie kilofa w fundamenty bezpieczeństwa. Nie jest to jedyny przypadek. Lenovo i Superfish: połączenie tych słów zapadnie niektórym w pamięci na długo jako przykład skrajnej nieodpowiedzialności. I w tym przypadku na komputerach umieszczono certyfikat, który mógł posłużyć do ataków. Został on wykorzystany do wyświetlania reklam na szyfrowanych stronach, co było jawnym odarciem użytkowników z jakichkolwiek złudzeń: myśleliście, że zielona kłódka zapewnia bezpieczeństwo? Nie, nie zapewnia.

HTTPS jest tutaj bardzo ciekawym przykładem i co dziwne, media najczęściej nie są zainteresowane sprawami gigantycznych zaniedbań. Tylko w tym roku miało miejsce kilka incydentów, kiedy to zaufany urząd wystawiał certyfikat komuś bez w zasadzie jakiejkolwiek kontroli – w jednym z przykładów udało się nawet zdobyć certyfikaty dla domen Google, aby podsłuchiwać użytkowników tych usług. Nieodpowiedzialność widzimy z kolei po stronie takich firm jak np. Comodo czy Symantec. Firm, które powinny przecież świecić przykładem i dopełniać wszystkich procedur. Niestety, certyfikaty tanieją, na rynku pojawia się konkurencja i w efekcie niektóre procesy wykonuje się zbyt szybko, kontrole są zbyt pobłażliwe, co ułatwia zadanie osobom o złych zamiarach. „Jasna strona mocy” traci powoli kontrolę nad białą listą, sposobami dostania się na nią.

Kontrola aplikacji mobilnych... zaraz, jaka kontrola?

Dotyczy to zresztą nie tylko stron internetowych i aplikacji desktopowych, ale przede wszystkim mobilnych, choć w nieco innym zakresie. Korzystamy z trzech wielkich sklepów: Google Play, iTunes, a także Windows Store. Każdy umożliwia pobieranie tysięcy aplikacji, każdy ma do zaoferowania ogromne pokłady wytężonej pracy programistów. Jak myślicie, czy każda aplikacja zgłaszana do tych sklepów jest dokładnie sprawdzana? Oczywiście, że nie. Nie starczyłoby na to czasu, na te potrzeby powstały więc zautomatyzowane systemy do testowania nowych i zaktualizowanych programów. Jeżeli nie przejdą podstawowej kontroli, są poddawane szczegółowej analizie. To jednak mechanizm zawodny, czasami wystarczy bowiem jedynie zmienić nazwę, aby zabezpieczenia oszukać.

Koronnym tego przykładem jest sytuacja z połowy ubiegłego roku, kiedy to w sklepie Play pojawiła się płatna, fałszywa kopia pakietu ochronnego Kaspersky. System nie zorientował się nawet, że w sklepie umieścił ją zupełnie inny wydawca, niż rosyjska firma zajmująca się bezpieczeństwem komputerowym. Podobny przypadek dotyczył Windows, gdzie ktoś stworzył bardzo proste aplikacje z nazwami zbieżnymi do np. znanych gier, a następnie je sprzedawał. W najlepszym przypadku użytkownicy otrzymywali za jak najbardziej realne pieniądze program-wydmuszkę, w tych gorszych aplikacje, które miały znacznie większe uprawnienia niż powinny i które mogły wykradać informacje kontaktowe, a także wykonywać połączenia typu premium.

Niech to użytkownik ponosi odpowiedzialność, producent umyje ręce i stwierdzi, że dokłada wszelkich starań.

Zrzucenie dokładnego przeglądania uprawnień na użytkowników to kolejny przykład na to, że twórcy sklepów nie chcą ponosić odpowiedzialności i kosztów związanych z ich dokładnym sprawdzaniem. Google jakiś czas temu zadeklarowało, że będzie ręcznie sprawdzać niektóre aplikacje. Fałszywki wciąż jednak występują i platforma nie działa tak, jak powinna: teoretycznie bezpieczne źródła okazują się nie do końca bezpieczne. Biorąc pod uwagę to, że na smartfonach i tabletach przechowujemy coraz więcej danych osobistych, skonfigurowanych kont, jest to poważne zagrożenie. Mobilne pakiety zabezpieczające nie są tu żadnym ratunkiem, bez uprawnień typu root nie potrafią więcej, niż typowe aplikacje. Ot zwykłe skanowanie, które może znajdzie znane od dłuższego czasu szkodniki.

Teraz podobny problem pojawia się w przeglądarkach internetowych. W przypadku Chrome od dłuższego czasu zwykli użytkownicy mogą instalować rozszerzenia tylko z Chrome Web Store. Sprawdzone, przeskanowane. A jednak i tutaj znajdziemy fałszywki – w ostatnich dniach użytkownicy Reddita zauważyli w nim takie twory jak choćby „U block for Origin”, które podszywają się pod popularne rozszerzenie do blokowania reklam. Ten sam deweloper zgłosił inne aplikacje, które podszywały się pod np. AdGuarda, klientów VPN czy różnych usług internetowych. Po zainstalowaniu kierowały one na strony z reklamami, dając tym samym autorowi profity. Google po zgłoszeniach aplikacje te usunęło, niemniej sytuacja ta dobitnie pokazuje, że automatyczne mechanizmy skanujące sobie nie radzą – a rozszerzenia przecież mogą monitorować ruch sieciowy i go modyfikować. Możliwa jest więc sytuacja, w której dodatek przechwyci nasze dane logowania i wyśle do atakującego.

Weryfikacja dodatków w Firefoksie krytykowana przez deweloperów

Do wprowadzenia kontroli rozszerzeń przymierza się także Mozilla. Firefox od zawsze dawał swobodę, teraz rozszerzenia będą sprawdzane i podpisywane. Ponownie: o ile pomysł jest słuszny, o tyle wykonanie woła o pomstę do nieba. Jak pokazali już deweloperzy, Mozilla bardzo ociąga się ze sprawdzaniem zgłaszanych rozszerzeń, co naraża użytkowników na większe ryzyko w sytuacji, gdzie dodatek okazuje się dziurawy. Z drugiej natomiast strony, możliwe jest zgłoszenie złośliwego rozszerzenia, które przejdzie testy i certyfikację – będzie można serwować je użytkownikom. Kolejny przykład białej listy, na którą można się dostać, bo ktoś nie chce sprawować nad tym odpowiedniej pieczy. Kwestia ta nie jest łatwa do rozwiązania, wiele wskazuje jednak na to, że teraz większy priorytet niż bezpieczeństwo mają wygoda, oraz oczywiście szybkość.

Co w tej sytuacji możemy zrobić my, sami użytkownicy? W niektórych przypadkach niewiele, odrzucenie wszystkich białych list oznacza, że nagle znajdziemy się w nieznanym świecie. Nie możemy jednak powierzać im wszystkich naszych danych, ani godzić się na to, abyśmy otrzymywali usługi tworzone na kolanie – z drugiej strony, skoro przeszło coś takiego, jak wydanie całego systemu operacyjnego w wersji beta… Trudno będzie z tym walczyć. W przypadku pakietów ochronnych możemy skorzystać z tych, które pozostawiają ostateczną decyzję użytkownikowi. Nie będzie to tak wygodne, ale da nam pełnię władzy. Podobnie jest i z oprogramowaniem. Pamiętajmy, że zawsze możemy sięgnąć po otwarte odpowiedniki, których kod przeglądają tysiące deweloperów i pasjonatów.  

Źródło: PurePC.pl
Bądź na bieżąco - obserwuj PurePC.pl na Google News
Zgłoś błąd
Łukasz Tkacz
Liczba komentarzy: 45

Komentarze:

x Wydawca serwisu PurePC.pl informuje, że na swoich stronach www stosuje pliki cookies (tzw. ciasteczka). Kliknij zgadzam się, aby ta informacja nie pojawiała się więcej. Kliknij polityka cookies, aby dowiedzieć się więcej, w tym jak zarządzać plikami cookies za pośrednictwem swojej przeglądarki.