Bruce Schneier: Bezpieczeństwo nie jest sexi

A A A rozmiar czcionki

Daniel Cieślak

Dlaczego akurat te regiony?

Głównie z powodu kiepsko działającego wymiaru sprawiedliwości. Na pierwszym miejscu umieściłbym tu Rosję i Europę Wschodnią, na drugim Azję, zaś na trzecim - ex aequo - kraje z północnej części Afryki oraz Ameryki Południowej. Gdy szukasz krajów, z których wywodzą się cyberprzestępcy, zwróć uwagę na państwa, w których obowiązują nieskuteczne przepisy, przekupni policjanci oraz niejasne przepisy o ekstradycji. Przedstawiciele wymiaru sprawiedliwości z takich krajów zwykle nie przejmują się zbytnio rodzimymi cyberprzestępcami - w końcu i tak kradną pieniądze obywatelom innych krajów, prawda?

O jakich kwotach mówimy? Ile mogą teraz kraść cyberprzestępcy?

Tak naprawdę to nie mamy pojęcia. Wiele przestępstw nigdy nie jest zgłaszanych... Co więcej - w wielu przypadkach ofiary nawet nie wiedzą, że zostały okradzione.

Widzi Pan jakieś postępy w pracy policji z całego świata?

"Applied Cryptography" - słynne dzieło SchneieraTak naprawdę, to nie. Problem polega na ustaleniu odpowiednich priorytetów - amerykańskie władze na przykład walczą teraz przede wszystkim z terroryzmem, więc forsują wprowadzenie nowych dowodów tożsamości i uszczelnienie lotnisk. Grupy interesów - np. koncerny muzyczne i filmowe - promują DRM jako sposób na piractwo. Niestety, nikt nie interesuje się na poważnie bezpieczeństwem, bo nie jest ono "sexi"...

To skutecznego działania wymiaru sprawiedliwości w tej dziedzinie niezbędne jest przede wszystkim sprawne udostępnianie i wymienianie informacji - np. w ramach Interpolu. Trzeba zunifikować prawo i zasady ścigania cyberprzestępców. Problem w tym, że powszechna obawa przed terrorystami "wysysa" energię, która mogłaby zostać wykorzystana do zwalczania przestępczości internetowej.

No tak, ale mówimy przecież o kradzieżach ogromnych sum...

Tak - to prawda. Co gorsze, zjawisko to może poważnie wpłynąć na przyszłość Internetu. Na szczęście na razie nie znaleźliśmy się jeszcze w punkcie, w którym wszyscy mówią "ten cały e-commerce jest naprawdę niebezpieczny" - ale taki moment może nadejść. Ile jeszcze punktów musimy stracić, by ludzie wreszcie zaczęli brać na poważnie kwestię bezpieczeństwa w Internecie? Obawiam się, że może to nastąpić dopiero wtedy, gdy już każdy z nasz będzie mógł opowiedzieć historyjkę o znajomym, który stracił sporą kasę w Sieci.

Wymiar sprawiedliwości zwykle działa wolno i nie jest w stanie na bieżąco dostosowywać się do rozwoju Internetu. Ale przecież chcemy łapać przestępców - co można zrobić w tym kierunku?

Trzeba usprawnić skazywanie - doświadczenia pokazują, że szybko wymierzona kara działa odstraszająco, więc musimy się postarać, by możliwe było skuteczniejsze skazywanie i karanie cyberprzestępców. Jak to zrobić? Poprzez wprowadzenie lepszego prawa i usprawnienie działań policji. Musimy sprawić, żeby bycie przestępcą stało się ryzykowne i nieopłacalne.

Jak firmy mogą zwiększyć samodzielnie poziom bezpieczeństwa?

Poprzez takie same działania, jakie każdy podjąłby w realnym świecie, gdyby policja nie działała, jak należy - trzeba wziąć sprawy w swoje ręce. Można np. wynająć ochronę. W świecie Internetu oznacza to wdrożenie odpowiednich firewalli, systemów IDS oraz, rzecz jasna, wynajęcie Couterpane do nadzorowania tego ;-) [Counterpane to firma założona przez Bruce'a Schneiera - red.].

Schneier znajduje furtkę w standardzie szyfrowania

W listopadzie 2007 r. Bruce Schneier ogłosił, że w generatorze liczb losowych RNG (random number generator) wykorzystywanym w standardzie szyfrowania Dual_EC_DRBG umieszczony jest backdoor, który może pozwalać na łatwe odszyfrowanie zabezpieczonych danych. Co ważne, standard ten został w marcu 2007 r. oficjalnie zaakceptowany przez amerykański instytut rządowy NIST (National Institute of Standards and Technology). W opublikowanym w magazynie Wired artykule Bruce Schneier sugeruje, że w jednym z czterech wykorzystywanych w tym standardzie generatorów liczb losowych umieszczony został "matematyczny backdoor". Autor artykułu powołuje się m.in. na wyniki badań dwóch inżynierów zatrudnionych w Microsofcie - Dana Shumowa oraz Nielsa Fergusona (opublikowali oni rozprawę teoretyczną na ten temat). Schneier twierdzi, że "furtka" została umieszczona w standardzie na zlecenie amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA - National Security Agency), która później wypromowała ów standard i ułatwiła mu zdobycie akceptacji NIST. Wątpliwości badaczy budzą liczby, na podstawie których definiowane są algorytmy, wykorzystywane do tworzenia generatorów - z ich analiz wynika bowiem, że są one powiązane z dodatkowym zestawem ukrytych liczb (które mogą posłużyć do ustalenia stanu generatora). To właśnie zostało uznane za "backdoor". Więcej informacji na ten temat znaleźć można w tekście "Backdoor w standardzie kryptograficznym?".

Ostatnio coraz częściej słyszymy o tym, że celem ataku stają się serwisy hazardowe...

O tak. Internetowy hazard, internetowe porno - wszelkie serwisy z pogranicza prawa. To one obecnie są na celowniku cyberprzestępców. Zjawisko to nie jest jeszcze udokumentowane, ale można je już wyraźnie zaobserwować. Kryminaliści atakują firmy średniej wielkości, nie te największe - wymuszają od nich haracze [zwykle szantaż polega na zagrożeniu przeprowadzeniem ataku DDoS na witrynę - red.]. Firmy z tych branż niezbyt chętnie zgłaszają przestępstwa, bo często mają sporo do ukrycia - są więc idealnym celem...