Čo nás čaká v IT bezpečnosti v roku 2015 - Nethemba

BLOG

Čo nás čaká v IT bezpečnosti v roku 2015

2015-04-01 21:20 Pavol Lupták

Na začiatku by som rád podotkol, že k akýmkoľvek predpovediam som osobne dosť skeptický a nedôverčivý, takže budem rád, keď rovnako prezieravý postoj zaujmete aj k nasledujúcemu článku.

1. „Divadlo“ kyber vojny, ktorá ohrozuje štáty, bude pokračovať.

Hrozba „nebezpečných kybernetických“ útokov bude v roku 2015 výrazne medializovaná a adekvátne k tomu budú zvyšované rozpočty vlád v krajinách EU/USA na boj proti týmto útokom.

Hacky komerčných spoločností (ako Sony) budú aj napriek nedostatočným dôkazom falošne označované za národnú kyber teroristickú hrozbu a vhodnú zámienku na ďalšie zvyšovanie „kyber rozpočtov“ všetkých agentúr chrániacich „národnú bezpečnosť“. Je pravdepodobné, že sa to bude zneužívať aj na politický boj vo forme embarga.

2. Nárast Crypto / Dark marketov.

Napriek tomu, že Silk Road Market 2.0 bol úspešne zhodený FBI a Tor anonymizačná sieť v poslednej dobe utrpela niekoľko vážných problémov, „temné“ neregulované markety sú jednoznačne na vzostupe ako nikdy predtým a stávajú sa čím ďalej tým viac sofistikované (aktuálne porovnanie tu), napríklad začínajú používať nevystopovateľnú kryptomenu darkcoin.

Dark markety začínajú byť atraktívne nielen pre drogových dílerov, ale aj pre ľudí obchodujúcich s ukradnutými kreditnými kartami, crimeware-om (exploit kity, malware apod) a bohužiaľ aj pre normálnych ľudí, ktorí do tohto neregulovaného slobodného sveta odchádzajú pod tiahou nespočetného množstva štátnych regulácií a vysokého daňového zaťaženia.

Tažká vystopovateľnosť zverejňovaných informácií či transakcií bude využívaná aj na dobré dôvody – whistle-bloweri môžu naďalej bezpečne zverejňovať nové citlivé informácie o zneužívaní právomocí verejných činiteľov či súkromných korporácií, podobne ich bude možné aj (pseudo)anonymne podporovať (napríklad na nevyhnutnú právnu ochranu).

Súdne rozhodnutia s Rossom Williamom Ulbrichtom a Blakeom Benthallom (prevádzkovatelia Silk Road 1.0 a 2.0 kryptomarketov) budú kľúčové pre Internet v 21.storočí a jeho ďalší vývoj v otázkach slobody.

3. Nové objavujúce sa zero-day exploit markety, viac sofistikované a cielené exploity.

Primárne kvôli potrebám štátov kontrolovať a monitorovať ich občanov, bude narastať trhový dopyt po komerčných zero-day exploitoch a exploit-packoch (už teraz predávanými spoločnosťami Gamma International alebo Hacking Team) ako aj komerčných nástrojov (ako napríklad Skylock) na kompletné trackovanie a špehovanie ľudí na základe polohy ich mobilných telefónov.

Tieto exploity a exploity packy budú viac sofistikované, komplexné a budú adresovať stále viac používaných platforiem a aplikácií.

4. Záber potenciálných bezpečnostných útokov sa bude rozširovať na nové zariadenia a útoky budú viac adresné.

Cory Doctorow predpovedal vojnu bežným univerzálnym počítačom. V budúcnosti budeme mať viac a viac špecializovaných počítačov (inteligentné hodinky, inteligentné auta, či toalety a samozrejme všetky NFC zariadenia ako čipové karty, či rôzne peňaženky).

Všetky tieto zariadenia budú predstavovať potenciálne ciele množstva hackerov častokrát preto, lebo budú používať nové OS, či neotestované aplikácie. Zrejme najväčšie množstvo útokov bude vedených na Android a iOS platformu, ktoré budú majoritné.

5. Mobilné aplikácie sa stanú cieľom dedikovaných útokov.

Bezpečnosť mobilných aplikácií bude kritická ako nikdy predtým.

Mladí ľudia používajú viac mobilné zariadenia ako svoje PC a to sa týka aj množstvo používaných aplikácií. Väčšina ľudí svoje mobilné zariadenia nijako nešifruje, neaktualizuje a aplikácie inštaluje s plnými možnými oprávneniami (len málokto používa XPrivacy).

Komerčné exploit packy budú viac zacielené na mobilné platformy a aplikácie (FinSpy Mobile dokáže infiltrovať väčšinu mobilných platforiem).

Ohrozené budú nielen mobilné aplikácie, ale aj webove služby nimi využívané, ktoré predstavujú kritický bod komunikácie.

6. Šifrovaná komunikácia sa stane štandard.

Stále viac a viac ľudí používa bezpečnú (end-to-end šifrovanú) komunikáciu pre svoje hovory a textové správy.

Len v mojom okolí (uznávam, že nie som typická vzorka) viac ako sto ľudí za posledný rok začali používat Redphone, TextSecure alebo Threema aplikácie na bezpečnú komunikáciu. Veľa ľudí s Gmail schránkou začalo používaťmailvelope a šifrovanie využítim PGP.

Vďaka whistleblowerom a hrozbe neustále zvyšujúceho sa globálneho špehovania, je pravdepodobné, že tento trend bude úspešne pokračovať aj v budúcnosti.

Pokusy tento trend zastaviť (SIS chce špehovať všetko, náš internet banking aj emaily) vyznejú ako veľmi zlý vtip.

7. PKI stále neuspeje. Dvojfaktorová autentifikácia ale áno.

PKI riešenia pod tlakom s tým súvisiacej byrokracie sa ani tento rok výrazne nepresadia. Dvojfaktorová autentifikácia sa stane ale štandard pre všetky sociálne siete a kritické aplikácie.

Trh bude preferovať lacné (ale dostatočne bezpečné) riešenia vo forme OTP kalkulačiek na smartfónoch (napríklad Google Authenticator).

Hardvérové OTP zostanú štandardom v korporátnej sfére (budú ale preferované bezpečnostné riešenia, ktoré neboli pod tlakom vládnych agentúr).

8. Otvorenosť (otvorené šifry, protokoly, implementácie) bude ešte doležitejšia.

V čase globálneho špehovania a monitorovania, proprietárne implementácie vyvinuté konkrétnou firmou sú náchylnejšie na zavedenie backdooru (zadných vrátok) ako decentralizované opensource riešenia. Tlak je vedený zo strany štátnych agentúr (nedávny prípad NSA vs. RSA Security, návrh zákona CALEA II vynucujúci zaviesť „zadné vrátka“ do akéhokoľvek komunikačného softvéru ponúkaného na územi USA, slovenská SIS samozrejme nezaostáva).

Samozrejme otvorenosť neznamená bezprostredne automaticky vyššiu bezpečnosť. Na to je potrebná verejná kontrola / vykonanie detailného auditu, ktorý reálne overí bezpečnosť daného otvoreného riešenia.

Ak to vnímate ako vážnu hrozbu pre Vaše súkromie, odporúčame Vám operačný systém a používané aplikácie zmigrovať na také, ktoré sú otvorené, bezpečné a overené – viac informácii tu.

9. „Staronové“ kritické zraniteľnosti vyplývajúce z používania starého zdrojového kódu.

Starý zdrojový kód (stále používaný napríklad v jadre, či ovládačoch operačných systémov, v rôznych programovacích jazykoch, či rôznych službách) bude aj naďalej zdrojom nových kritických zraniteľností odhalených v roku 2015.

Za rok 2014 stoja za zmienku kritické zraniteľnosti ako Heartbleed bug, Shellsock, či nedávno zverejnený Perl Jam.

10. Nové regulácie a zákony v oblasti kyberzločinu a digitálneho súkromia.

Aj napriek tomu, že trvalo veľa rokov, kým Európsky súdny dvor vyhlásil za neplatný kontroverznýdata retention zákon„, lebo predstavoval mimoriadne závažný a rozsiahly zásah do súkromia a základných práv občanov, čakajú nás nové regulácie a zákony, ktorým sa nevyhneme a ktoré majú byť samozrejme „lepšie“.

Za zmienku stojí nový Český kybernetický zákon, EÚ „cookie“ zákon, „právo byť zabudnutý“ a iné.

Uvedené zákony vyzerajú na prvý pohľad vysoko verejne prospešné. Regulátori si bohužiaľ ale málokedy uvedomujú reálny negatívny ekonomický dopad na spoločnosti voči ktorým tieto zákony majú byť vynucované. V niektorých situáciach to končí odchodom danej korporácie z trhu (napríklad odchod Google News zo španielskeho trhu).

Moje vyjadrenie k EU „cookie“ zákonu a pohľad na IT bezpečnosť očami ekonomického pragmatika.

Samozrejme existenciu akýchkoľvek zákonov vynucujúcich bezpečnosť a digitálne súkromie ocenia všetky IT bezpečnostné firmy stojace za vylobbovaním týchto zákonov, kedže vďaka nim budú mať garantovaný prísun biznisu.