Archive for Thursday 19/10/2017

Povești despre securitate

Thursday 19/10/2017

 

Săptămâna asta am avut de-a face cu Krak-en. Niște experți în securitate au descoperit că cel mai sigur protocol de comunicare public pentru WiFi poate fi compromis relativ ușor. Exploit-ul afectează cam toate dispozitivele existente. Inevitabil, s-a ajuns la tot soiul de discuții despre platforme și nivelul de securitate al fiecăreia, ceea ce dovedește un nivel cel puțin infantil de înțelegere a conceptului de securitate din partea majorității “analiștilor”.

 

Nu există și nu poate exista niciun sistem 100% sigur

Este o realitate crudă a vieții. Într-o lume interconectată, conceptul de siguranță garantată este o iluzie de aceeași talie cu unicornii și spiridușii. Fiecare punct de acces în sine este, pentru cineva suficient de inteligent, un potențial punct de intruziune. Cele mai facile sunt cele wireless, dar nici cele fizice nu sunt sigure. Traficul prin fir de cupru sau chiar prin fibră optică poate fi oricând interceptat. Este doar o problemă de hotărâre și ingeniozitate.

Dincolo de asta, omniprezența electronicelor face ca tu să fii înconjurat de milioane de linii de cod. Care, fie sunt open source, fie sunt proprietare. Nici unele, nici altele nu pot fi 100% sigure. Vasta majoritate nu vor fi updatate niciodată. Cine crede că software-ul proprietar este mai sigur, se îmbată cu limonadă rece. N-o să menționez decât un lucru aici: modarea consolelor. Fără niciun acces la codul sursă, toate consolele din lumea asta au fost reverse engineered, despachetate și modificate. La fel și telefoanele, și mașinile și orice altceva ce rulează o bucățică de cod.

Una din cele mai mari greșeli pe care le face utilizatorul tipic este să presupună că dacă nu a auzit de vulnerabilități, acestea nu există. Din nou este vorba de o lipsă cruntă de educație digitală. Cele mai de succes atacuri sunt cele care nu sunt detectate niciodată. În orice moment, în lume circulă o mulțime de atacuri cibernetice absolut invizibile. Malware latent care stă, ascultă și așteaptă un moment oportun pentru activare. Nu face nimic evident, nu produce niciun fel de pagubă iar uneori, după ce și-a îndeplinit sarcina, se curăță singur din sistemul afectat fără să lase niciun fel de urme.

Orice sistem din lume poate avea (și cel mai probabil are) mai multe vulnerabilități de tip zero day. Vulnerabilități descoperite (sau descoperibile) dar ne comunicate public, tranzacționate în secret pentru sume amețitoare, care permit compromiterea totală a respectivului sistem. Cine își închipuie că serverul, telefonul, mașina, brățara sau telefonul lui smart nu pot fi compromise, trăiește într-o utopie adorabilă, dar utopie none the less. Iar Internet-of-Things nu face decât să amplifice exponențial punctele de vulnerabilitate și căile de penetrare a oricărui sistem. Mai jos un exemplu deja clasic.

 

 

Ce face un ca un sistem să fie vulnerabil?

Îmi aduc aminte cu drag de vremurile bune când Apple făcea mișto-urile alea ieftine cu ”I’m a Mac / I’m a PC” și se bătea cu cărămida în piept că pe Mac nu există viruși. Pentru oricine avea un minim de neuroni funcționali, asta denota o tâmpenie monumentală, din mai multe puncte de vedere. În primul rând pentru că, repet, nu există și nu poate exista un sistem invulnerabil. Ce lipsea la momentul acela era interesul atacatorilor de a viza o platformă care reprezenta practic epsilon cotă de piață în lumea computerelor personale. Îmi aduc aminte de o păsărică scăpată de Apple la o conferință de presă acum mulți ani: ”Avem un install base de 20 de milioane de nu știu ce versiune de OS X”. În traducere liberă, cam atâtea Mac-uri moderne existau în piață. Alea mai vechi erau tăiate de mult de pe lista de suport tehnic și software upgrade path, deci al naibii de sigure, bănuiesc. În al doilea rând, Apple recunoștea prin vocea purtătorului de cuvânt că, cel puțin atunci, sunt un nimeni pe piața calculatoarelor personale. Genială mișcare!

Ce face ca o platformă să devină ținta atacatorilor este popularitatea ei. Câți utilizatori monetizabili sunt acolo, ce profil au, și cum pot fi exploatați. Cu cât mai mulți și mai valoroși, cu atât mai atacată este platforma. Ca să rezumăm discuția, despre câte vulnerabilități Windows Phone ai auzit până acum?

Și acum să facem o comparație între două platforme concurente și pline de fanatici, Android și iOS. Android are de departe cel mai mare install base din lume, fiind vândut în piață de o mulțime de vendori, pe o mulțime de dispozitive, într-o foarte mare varietate de gamă de preț și cu o foarte mare fragmentare pe variante de software. iOS are un install base mai mic, dar adresează o clasă de utilizatori mai vanitoși, mai predispuși să cheltuie mai mult pe telefon. Iar dacă te uiți la cifrele cu care se laudă Apple, un utilizator de iOS cheltuie mai mult nu numai pe telefon, ci și pe aplicații, consumă mai multe date și face mult mai multe cumpărături de pe device.

Installed base of smartphones by operating system from 2015 to 2017 (in million units), luat de aici

Întrebarea esențială acum este: tu, hacker fiind, care platformă ai considera că este mai profitabil de vizat? Ții minte episodul ăla cu FBI care cerea Apple să decripteze un telefon al unui terorist? Da, atunci când Apple a spus că nu se poate și nu vrea din considerente morale. Și cum s-a terminat, până la urmă? Crezi că e singurul caz și că nu se poate și mai rău de atât?

Și încă un lucru foarte important. Vulnerabilitățile pot sta nu în software, ci în firmware, care în marea parte a device-urilor nu este accesibil pentru a putea fi updatat vreodată. Există module de software ale unui telefon sau unui laptop, care gestionează diverse perifierice, ce sunt absolut invizibile sistemului de operare, dar totuși perfect capabile de a fi exploatate.

Bine, și care este concluzia?

Concluzia tristă este că securitatea digitală este o iluzie. A fost mereu și va rămâne mereu așa. Vulnerabilitățile și atacurile sunt și vor fi omniprezente, și de foarte multe nu vei auzi niciodată. Cele mai populare platforme vor fi întotdeauna cele mai vizate. Ambele companii lucrează cât de bine pot pentru a adresa toate vulnerabilitățile cunoscute, dar niciuna nu va reuși vreodată să ofere un produs garantat sigur. Cea mai bună modalitate de a te proteja de vulnerabilități este fie să nu prezinți un interes major pentru cei care ar putea să te ia în vizor, fie ca pur și simplu să nu ai nicio prezență în lumea digitală, ceea ce este absolut aberant. Și sigur, să folosești mereu cea mai recentă versiune de software. În afară de asta, diferența dintre platforme în lumea reală este foarte greu de estimat. Este ca și cum te uiți la un ocean și încerci să ghicești câți pești și de ce fel sunt sub luciul apei. Pur și simplu nu poți cunoaște aceste aspecte.

Și de asta discuțiile despre ”care este cea mai sigură platformă” sunt în mare parte fără sens în lumea reală. Iar să te bați cu cărămida în piept că platforma ta favorită este cea mai sigură este doar o dovadă de lipsă de realism și judecată lucidă.