23 апреля 2014

Чему нас научила Heartbleed

Новости

Моя работа состоит не только в том, чтобы анализировать вредоносное ПО и уязвимости или говорить  об угрозах безопасности; основная моя задача — это объяснить пользователям, как построить безопасную систему, и научить их разбираться в теме. В рамках исполнения своих обязанностей я особенно делаю упор на необходимость резервного копирования, мер обеспечения защиты против вредоносного кода и своевременного обновления ПО и систем с целью защитить их от самых новых угроз, и, конечно же, нельзя забывать о применении шифрования. Но, я уверен, вы все это уже слышали.
Но что делать, если ПО для обеспечения безопасности само становится уязвимым и превращается в открытую дверь для массированной атаки?

lessons

Эта дискуссия активно продолжается сегодня, особенно после того, как сведения об атаке Heartbleed на OpenSSL стали известны широкой общественности. Я решил, что этот пост должен быть более личным, так как вы наверняка уже прочитали и услышали достаточно об SSL и атаке Heartbleed. Я хотел бы обратить ваше внимание на то, почему данный тип уязвимостей так критичен для нас.
До того как я всецело обращусь к вопросу об атаке Heartbleed, думаю, очень важно осознать, что наше отношение к безопасности как таковой и решениям для ее обеспечения сегодня кардинально изменилось. Те параметры, по которым мы оцениваем решения для обеспечения безопасности, а именно функции и характеристики и их соответствие нашим представлениям о безопасности, что в конечном итоге влияет на наше решение при выборе того или другого продукта, нужно пересмотреть.

Проблема состоит в том, что мы забываем, что продукты и решения в области обеспечения безопасности не могут сделать все за нас. Нам необходимо понять, что решения и продукты — это всего лишь дополнение к соответственному образу мышления.

Почему я затронул это в связи с уязвимостью OpenSSL Heartbleed ? Мне кажется, что мы в общей массе верим в то, что, раз Интернет работает, он является безопасной платформой. Мы используем Сеть для очень личных вещей: назначаем свидания, делаем покупки, общаемся, ведем домашнюю бухгалтерию и многое другое. Проблема Интернета заключается в его всеобъемлющем характере: если что-то пошло не так, ситуация может усугубиться очень быстро.

Еще одна большая проблема Интернета — в его фрагментарности. Некоторые онлайн-ресурсы характеризуются надежной инфраструктурой и высокой степенью безопасности, в то время как другие совершенно уязвимы. Есть и ряд сайтов, которые считаются очень надежными и безопасными, но могут в одночасье стать подверженными различного рода угрозам ввиду зависимости инфраструктуры от различных факторов. Невозможно обеспечить безопасность каждого компонента ИТ-систем.

Если в рамках интернет-инфраструктуры что-то пошло не так, ситуация может усугубиться очень быстро

Пользуясь Интернетом, всегда нужно быть готовым к худшему и принимать соответственные меры заранее. Не стоит забывать, что мы пользуемся различными ресурсами за пределами Интернета и доверяем им: это медицинские системы, государственные организации и многие другие учреждения — и все они тоже используют Интернет. Таким образом, если появляется такая значительная уязвимость, как Heartbleed, ее влияние неизмеримо.
Сейчас трудно сказать, насколько широко распространилась атака Heartbleed и что произойдет, если злоумышленники решат воспользоваться ею. Но просто представьте, что кто-то смог получить копии ключей ко всем банковским ячейкам в мире. На первый взгляд звучит ужасно, но в зависимости от того, что именно лежит в этих ячейках.
Надеюсь, что в ближайшем будущем мы не увидим еще одной такой уязвимости, так как надолго запомним эту. Надо лишь зарубить себе на носу: ПО — это всего лишь ПО, и в нем всегда будут находить уязвимости. Также пора осознать, что, даже используя такие элементы обеспечения безопасности, как резервное копирование, шифрование, защита от вредоносного кода, мы имеем дело с конфиденциальными данными, для которых всегда сохраняется вероятность утечки. Если же утечка уже произошла, нужно сделать все возможное для того, чтобы эти данные стали совершенно бесполезны для тех, кто заполучил доступ к ним.