Co na to Microsoft, który wam tak ufa?

Gdy uda nam się złamać jakieś zabezpieczenia lub dojść do jakiejś informacji, która mogłaby skompromitować system, zawsze kontaktujemy się z daną firmą. Etyka to podstawa działania w dziedzinie bezpieczeństwa.

Czy może zaistnieć taka sytuacja, że Microsoft – wiedząc, że publicznie są już dostępne narzędzia umożliwiające wydobycie tego, co powinno być ukryte – utrudni to zadanie i wprowadzi dodatkowe zabezpieczenia? Cała wasza praca pójdzie wtedy na marne…

To bardzo dobrze, jeśli tak się stanie. Dla nas będzie trudniej, ale dla użytkowników będzie jeszcze bezpieczniej. My natomiast na brak pracy i tak nie będziemy narzekać.

W ubiegłej dekadzie połączenie słów „Windows” i „bezpieczeństwo” u wielu osób wywoływało uśmiech politowania na twarzy. Microsoft jednak broni się, że przez ostatnie 10 lat włożył ogromny wysiłek w poprawę zabezpieczeń. Czy rzeczywiście jest to prawda?

Jak najbardziej tak, Microsoft ma obecnie całą gamę rozwiązań, które chronią system Windows oraz aplikacje. W przypadku Windows 10 mieliśmy do czynienia z ogromnym skokiem w dziedzinie poprawy bezpieczeństwa. Przeprowadzenie wielu ataków, które były popularne wcześniej, dziś jest po prostu niemożliwe. Oczywiście nadal oprogramowanie jest tworzone przez ludzi i błędy się zdarzają, jak chociażby możliwość dokonania ataku Pass-The-Hash, występująca w różnych wersjach Windows. Cieszy natomiast, jak poważnie Microsoft reaguje w tego typu sytuacjach. Poza tym bezpieczeństwo systemu operacyjnego najczęściej wystawiane jest na szwank przez nieświadomych administratorów, wprowadzających niepoprawne ustawienia konfiguracyjne.

Podczas konferencji Black Hat zaprezentowała Pani także narzędzie do wydobywania haseł z oprogramowania KeePass. Czy to oznacza, że korzystanie z menedżerów haseł właśnie traci sens?

Zademonstrowane przeze mnie narzędzie umożliwia dostanie się do bazy haseł i odszyfrowanie jej tylko w jednej sytuacji – gdy użytkownik ma zintegrowane logowanie do KeePass z systemem Windows. Atak, który pokazałam, polega na skopiowaniu bazy danych użytkownika i na podstawie danych DPAPI uzyskanie dostępu do tej bazy. To jest fragment tego, nad czym nasz zespół pracował od ponad dwóch lat. Natomiast gdy użytkownik nie dopuści do integracji menedżera haseł z systemem operacyjnym, korzystanie z tego typu oprogramowania jest bezpieczne.

Ostatnie lata przyniosły kilka przełomów, jeśli chodzi o bezpieczeństwo IT. Odkryto poważne luki w procesorach, mówi się o tym, że łamanie skomplikowanych haseł będzie trwało nie tysiące lat, a minuty dzięki przetwarzaniu kwantowemu, rządy państw zaś oskarżają duże prywatne firmy o działania szpiegowskie. Czy to oznacza, że wkrótce będziemy mieli do czynienia z zupełnym przeobrażeniem branży bezpieczeństwa IT, a zasady ochrony będą pisane od nowa?

Z pewnością któregoś dnia taki przełom nastąpi. Ale to będzie zauważalny, rozciągnięty w czasie proces, dzięki czemu będziemy mieli trochę czasu na wdrożenie nowych rodzajów zabezpieczeń. Na szczęście wiele rodzajów ataku nie wychodzi spoza fazy proof of concept. Natomiast musimy pamiętać, że zawsze z eliminowaniem błędów, opracowywaniem nowych sposobów ochrony, jak też łamaniem ich wiążą się duże koszty – finansowe, organizacyjne i czasowe. To determinuje, kto będzie atakującym i atakowanym. Tam, gdzie te koszty są największe, będziemy mieli do czynienia z walką między dużymi organizacjami. Tam, gdzie są mniejsze, ofiarą może okazać się każdy z nas, dzięki automatyzacji procesów ataku. Ja jednak nie wierzę w ataki, które są nie do wykrycia. Walczy się jedynie z czasem.