Sophos Partner Conference to miejsce, gdzie co roku firma Sophos spotyka się ze swoimi partnerami i resellerami, informując ich o nowych produktach, wspólnie z nimi planując strategie sprzedażowe i nowe akcje promocyjne. Dowiedzieliśmy się na ten temat bardzo wiele, zależało nam jednak szczególnie na pozyskaniu wiedzy na temat samego cyberbezpieczeństwa. Szczęście się do nas uśmiechnęło. Na konferencji bowiem pojawiło się dwóch czołowych specjalistów w tej dziedzinie. I obu namówiliśmy na rozmowę.
James Lyne od pięciu lat prowadzi badania dla Sophosu na rzecz cyberbezpieczeństwa. Jest też tam dyrektorem ds. technologii. Współpracuje z czołowymi korporacjami na całym świecie, doradzając im odpowiednie strategie ochrony danych. Jest cenionym ewangelistą jeżeli chodzi o bezpieczeństwo komputerowe a jego ekspertyzą są cyberzagrożenia przyszłości i kryptografia.
Gerhard Eschelbeck współpracuje z Sophosem od 2011 roku i obecnie pełni tam funkcję wiceprezesa. Jest odpowiedzialny za techniczną strategię Sophosu i to on jest główną osobą odpowiedzialną za chmurowe rozwiązania tej firmy. Wcześniej był dyrektorem ds. technologii w Webroot i wiceprezesem działu inżynieryjnego w Qualsys. Zajmował też prestiżowe stanowiska w Network Associates i McAfee. Eschelbeck posiada doktorat informatyki zdobyty na uniwersytecie Johanna Keplera w Austrii.
Bez zbędnego przedłużania, zachęcamy was do lektury naszej rozmowy. Zapewniamy, że warto.
Czy to prawda, że urządzenia mobilne są dużo bezpieczniejsze od komputerów PC? Utarło się, że wirusem zarazisz się na Windows. A iPad, tablet z Androidem, tablet z Windows RT, one mają przecież monitorowane repozytoria aplikacji, a wirusów i zagrożeń na nie “nie ma”. Jak byś się do tego odniósł?
James Lyne:
Po pierwsze, to bzdura. Aczkolwiek może nie tak do końca. Przykładowo, w pełni zaktualizowany iPhone jest podatny na zdecydowanie mniejszą, wręcz nieporównywalnie mniejszą ilość złośliwego oprogramowania, co komputery PC. Widziałem tysiące przykładów złośliwego oprogramowania na komputery PC i może ze trzy, cztery faktycznie groźne odpowiedniki na iOS-a. Więc z całą pewnością iOS zapewnia lepsze poczucie bezpieczeństwa niż PC. Ale to nie oznacza, że to są dobrze zabezpieczone urządzenia. Przykładowo, w wielu testach penetracyjnych, które wykonuję, zauważam, że klienty pocztowe iOS-a są tak skonfigurowane, by nie wykorzystywać szyfrowania danych. Więc może i nie ma tam złośliwego oprogramowania, ale wciąż możesz kraść nazwy użytkownika, hasła, zdobywać dostęp do kont pocztowych, zbierać poufne dane. Dane wychodzące z urządzeń iOS nie są odpowiednio szyfrowane, wiele aplikacji też udostępnia dane, których udostępniać nie powinny. Więc tu nie chodzi o złośliwe oprogramowanie, a wyciek informacji i “hackowanie”. Istnieje więc duże ryzyko, ale rozwiązaniem na to nie są programy antywirusowe, które Sophos i inne firmy oferują. iOS-a trzeba umieć dobrze skonfigurować, stosować mocne hasła, mieć zawsze najnowsze wersje systemu i aplikacji, tego typu proste rzeczy.
Niestety, z Androidem i innymi, wygląda to zupełnie inaczej. Na niego jest już ćwierć miliona malware’u. Może to i mało w porównaniu do PC, ale to nadal bardzo wiele. Używając Androida musisz liczyć się z tym, że twój tablet lub smartfon może ulec zarażeniu, być podejrzanym przez włamywacza. Tu również pomaga dobra konfiguracja urządzenia czyli mocne hasła i najnowsze wersje oprogramowania. Już to pozwoli na wyeliminowanie znacznej części zagrożeń. Warto jednak posiadać na Androidzie aplikację antywirusową z uwagi na dużą ilość malware’u. Oferujemy darmową aplikację dla użytkowników tego systemu, tak jak i nasza konkurencja. Pamiętajmy też o tym, że jeżeli ktoś na boku oferuje nam “najnowszą, darmową wersję Angry Birds”, to lepiej nie korzystać z tej oferty.
Gerhard Eschelbeck:
Włamanie się do tych urządzeń jest banalne, zwłaszcza to Androida. iPhone jest nieco lepiej zabezpieczony, bo jest zamknięty, dlatego też złoczyńcy i inni hultaje wykorzystują otwartość Androida. Nawet w sklepach z aplikacjami znaleźć można złośliwe oprogramowanie. W Google Play najmniej, ale to nie jedyny sklep dla Androida. Te urządzenia również musisz zabezpieczyć. Są oczywiście zupełnie różne od komputerów z Windows, więc trzeba stosować inne podejście. Ale ich zabezpieczenia to mit.
A chmura? Tam przecież wszyscy dbają o bezpieczeństwo za nas. Azure, Amazon i reszta. Tam przecież nikt nie jest w stanie się włamać… nieprawdaż? Szyfrowanie danych wystarczy?
James Lyne:
To nie takie proste, a wręcz jest niezłym wyzwaniem. Chmura ma tak wiele różnych form. Nie wszyscy dostawcy chmurowi są kreatywni. Głęboko wierzę w chmurę, jest bezpieczniejsza niż cokolwiek, co są w stanie “postawić” u siebie małe i średnie przedsiębiorstwa. Są bezpieczniejsze… zazwyczaj. Znam firmy, które traktują dane swoich klientów bardzo odpowiedzialnie, dobrze zabezpieczają i monitorują swoje centra danych. Używają osobnych kluczy szyfrujących dla każdej partii danych, dla każdego klienta z osobna. Znam też takich, którzy wiele mówią o bezpieczeństwie, ale po testach okazuje się, że nie robią nic w tym kierunku. Korporacje muszą podpisywać umowy świadczeń usług chmurowych, w których usługodawca zobowiązuje się do zastosowania konkretnych rozwiązań ds. bezpieczeństwa. Taki przywilej nie jest oferowany małym i średnim przedsiębiorcom. Dlatego też nie wolno zapominać o szyfrowaniu komunikacji z chmurą. Nic, co wylatuje do mojego Dropboxa, nie jest poddawane najpierw szyfrowaniu. Więc ktokolwiek dobierze się do tamtych danych, nie ma z nich żadnego pożytku. Szyfrujcie dane gdzie tylko się da. Niestety, mało osób to robi. Uważam wręcz, że w Europie, do której Polska należy, powinna wręcz uregulować prawnie obowiązek szyfrowania danych w chmurze. Część z tych praw w Europie i USA jest już wdrożonych, od strony usługodawców. Ale te prawa chronią konsumentów i korporacje. Małe i średnie przedsiębiorstwa są w tym pomijane. To trzeba zmienić.
Gerhard Eschelbeck:
Wspaniałe pytanie. Na chmurę trzeba patrzeć z dwóch stron. Po pierwsze, bezpieczeństwo samej chmury. Po drugie, jak wykorzystać chmurę do zapewnienia większego bezpieczeństwa. Dane w chmurze muszą być szyfrowane, tak jak ruch sieciowy pomiędzy tobą a chmurą. Wydaje mi się jednak to oczywiste. Chmura pomaga też w zabezpieczeniu innych rzeczy. Istnieją rozwiązania, my również takie oferujemy, które działają w chmurze i sprawdzają na bieżąco poziom zabezpieczeń twoich urządzeń i serwerów. Chmurą zajmuje się już 11-12 lat i głęboko w nią wierzę.
No dobrze, ale gdzie kończy się rozsądek, a zaczyna się paranoja? Mogę od Sophosa kupić dziesiątki rozwiązań, wydać na to fortunę. Ale umówmy się, większości z tych rzeczy tak na serio jednak potrzebować nie będę. Jak zabezpieczyć prostą sieć i komputery w małej firmie. Czy sam antywirus nie wystarcza?
James Lyne:
Rozmawiam z korporacjami i małymi przedsiębiorcami. Szczególnie tym drugimi, bo uważam, że zostali przez rynek, w tym nas, zaniedbani. I chcemy to zmienić. Od lat ich strategia ochrony danych się nie zmieniła. Używają antywirusów, czasem VPN-ów i na tym koniec. To ma sens, ale to za mało. Potrzebują platformy do zarządzania urządzeniami mobilnymi w firmie, sprawdzającej stopień złożoności haseł pracowników i pilnującej, by szyfrowali oni swoje dane. Potrzeba też chronić ruch sieciowy, szczególnie bezprzewodowy. Tak łatwo się włamać do większości sieci Wi-Fi, które sprawdzam… Reszta, faktycznie, w większości przypadków nie jest potrzebna. Nie można przesadzać. Zbyt skomplikowane zabezpieczenia są nie tylko drogie, ale przez swoją złożoność nieefektywne w zarządzaniu, a więc, de facto, nieefektywne. Sam antywirus jednak to za mało. Warto też zatrudnić specjalistę ds. bezpieczeństwa. Sam administrator sieci to, moim zdaniem, nieco ryzykowane.
Gerhard Eschelbeck:
Bezpieczeństwo to trzy elementy: ludzie, wdrożenie i technologia. Ludzi należy odpowiednio przeszkolić, by nie klikali w byle linki, nie dawali się nabierać na przekręty w sieciach społecznościowych, i tak dalej. To jest podstawa. Każda firma powinna takie szkolenie zorganizować. Proste, dwu-trzy godzinne w zupełności wystarczy. Większość firm tego nie robi. Wdrożenie to odpowiednia polityka bezpieczeństwa w firmie, co również jest często ignorowane. Polityki bezpieczeństwa i zrozumienie ich działania przez pracowników to również podstawowa sprawa. Trzeci filar to technologia, czyli rozwiązania ds. bezpieczeństwa. Nasze, cudze, jakiekolwiek. Te trzy filary zapewnią firmom bezpieczeństwo, pod warunkiem, że będą one obecne w firmie. A niestety, bardzo często… nie są.
Zdumiewa mnie łatwa dostępność narzędzi do dokonywania cyberataków. Przed tym wywiadem uruchomiłem wyszukiwarkę internetową i… bez wysiłku znalazłem liczne narzędzia do kradzieży danych z firm, które mogę sobie kupić. A nie jestem ekspertem ds. bezpieczeństwa, nie sięgałem do deep web. Znalazłem nawet próbki baz danych kart kredytowych. Mogę otrzymać całość bazy po uiszczeniu opłaty. Czy firmy takie jak Sophos czy Symantec powinny działać aktywnie? Zwalczać zagrożenia w zarodku, a nie tylko biernie odpierać ataki?
James Lyne:
To skomplikowane. Zarówno od strony technicznej, jak i etycznej. Zacznę od tej drugiej. Powiedzmy, że ta grupa cyberprzestępców korzysta z serwera znajdującego się w Rosji. Zaatakujmy ich. Niech nas pozwą, chętnie bym się z nimi spotkał w sądzie. Sęk w tym, że nieraz używają serwerów działających legalnie, zgodnie z prawem. No i mamy problem. Atakujemy serwer uczciwej firmy. Nie możemy ich hackować, bo to oni są ofiarą. Codziennie zauważamy 30 tysięcy nowych, złośliwych witryn internetowych. Około 80 procent z nich należy do małych firm, do których serwerów się włamano. Więc atakując ich, łamię prawo i krzywdzę niewinnego przedsiębiorcę. A techniczny problem? Przy legalnym działaniu, z policją, zanosimy numer IP do policji, niech ona się tym, przy naszej pomocy zajmie, i zamknie bandziorów. Ale to trwa dniami, czasem miesiącami. A i tak jest to dużo szybsze, niż kiedyś. Rosyjska policja jest bardzo szybka. Ale cyberprzestępcy potrzebują sekund, no może godzin, by zwinąć manatki i włamać się po cichu na inny serwer. Nie mamy żadnych szans. Musimy to zmienić, ale na razie, nie mamy takiej możliwości. Co nie oznacza, że nie będziemy się starać. Musimy i powinniśmy tak robić.
Gerhard Eschelbeck:
Internet nie ma granic, jest globalnym fenomenem. Możemy i niejednokrotnie współpracujemy z organami ścigania w poszczególnych krajach. Ale nie ma globalnego prawa w sprawie cyberprzestępczości, a owo prawo w poszczególnych krajach niejednokrotnie jest bardzo zróżnicowane. Globalne prawo byłoby pomocne, ale dziś nie mamy go do dyspozycji. Czasem wręcz nie jesteśmy w stanie namierzyć cyberprzestępców, bo ukrywają się pod wieloma różnymi warstwami zabezpieczeń, przy czym każda warstwa działa w innym kraju. Staramy się, ale dla nas, przyznaję, jest to wciąż zbyt trudne.
Internet Rzeczy. Ostatnio bardzo gorący temat. Malutkie, proste komputerki podłączone do Sieci, zarządzające zraszaczami, kamerami przemysłowymi, dronami i całą rzeszą “gadżetów”. To niejednokrotnie są procesory o dziwacznej architekturze i systemy operacyjne skrojone na miarę, robione dokładnie pod te urządzenia. Jak je chronić? Przecież nikt nie będzie pisał tysięcy odmian antywirusów pod te urządzenia…
James Lyne:
To wielkie wyzwanie. Chyba często tego wyrażenia używam:-) Tego typu urządzenia mają różne systemy. Jedno ma Linuxa 2.6, starego i zmodyfikowanego. Możemy go shackować i zainfekować urządzenie malwarem. Inne urządzenia ma procesor MIPS i jakiś dziwny system. Jeszcze inne coś, czego nawet nazwać nie potrafię. Nie będziemy w stanie wdrożyć agentów w te systemy, chroniących je przed przejęciem. Niektóre z nich może staną się na tyle popularne i ważne, że jednak to zrobimy. Na przykład urządzenia do zarządzania inteligentnym domem. Musimy więc skupić się na chronieniu ruchu sieciowego do tych urządzeń. Wiem, że to przerażające, ale to jedyne, co możemy zrobić. Musimy się więc bardzo postarać. To fundamentalna zmiana, bo do tej pory koncentrowaliśmy się na antywirusach. Teraz musimy skupić się na ochronie samej sieci. Niestety, nie mam lepszej odpowiedzi.
Gerhard Eschelbeck:
No właśnie. Lokalnie ich zabezpieczyć się nie da. Musimy się skupić na zabezpieczaniu samej sieci. Nie możemy wpłynąć na ich twórców, by projektowali je lepiej. Więc koncentrujemy się na eliminowaniu exploitów już na poziomie sieciowym. Internet Rzeczy jest aktualnie jednym z przedmiotów naszych badań. Może nie najważniejszym, ale wkrótce to się zmieni, wraz z popularyzacją tego typu urządzeń.
Wspominałeś wcześniej o aktualizacjach oprogramowania. Nie zawsze jest to możliwe. Nieraz firmy używają z premedytacją starych wersji systemów, przeglądarek internetowych, bo nie stać ich na nowy, zgodny sprzęt z nowymi systemami, a ich rozwiązania biznesowe nie są z nimi kompatybilne. A tymczasem pojawia się luka Heartbleed, która wymaga załatania przez aktualizację, i… co robić?
James Lyne:
Wszyscy się koncentrowali się na Microsofcie i na jego rozwiązaniach. Teraz wkroczył open-source, Apple i reszta. Panuje przekonanie, że te inne rozwiązania są lepsze. To wierutna bzdura. Microsoft akurat jest jedną z firm, która stosuje znakomite praktyki ds. bezpieczeństwa i robi to od lat. Windows, Linux, OS X, Android… czasy, w których koncentrowaliśmy się na Microsofcie dawno minęły. Bo w coraz większej ilości urządzeń Windowsa, tak po prostu, nie ma. Olbrzymia ilość urządzeń jest zarządzana przez inne platformy. A luka Heartbleed udowodniła, że żaden “goły” system nie jest w pełni bezpieczny. Co więcej, wiele urządzeń, które badam, nie mają nawet dostępnych aktualizacji do nowszej wersji firmware’u. A ich producent nie planuje tego robić. Wszyscy rzucamy kamieniami w Microsoft, a tymczasem gdzie indziej bywa jeszcze gorzej. Najbliższe sześć miesięcy będzie bolesną nauczką dla firm, które nie dbają o aktualność swojego oprogramowania. Tyczy się to Windows, Linuxa, OS X, co tylko chcesz. I dyrektorzy tych firm przekonają się, że brak inwestycji może spowodować gigantyczne straty. Niektórzy zabezpieczyli swoje witryny internetowe przed Heartbleed. A kamery przemysłowe? Czytniki kart kodów? Telefony? Koszmar. Jestem w stanie włamać się do twoich danych używając… twojej drukarki.
Czy postrzegasz “hacktywistów” jako zagrożenie? Czy ludzie łamiący zabezpieczenia w słusznej sprawie to marginalny problem, czy też poważne niebezpieczeństwo dla nas wszystkich?
Gerhard Eschelbeck:
Internet zbudowany jest na fundamentalnej zasadzie wolności słowa. Ale granica zostaje przekroczona, gdy ktoś zaczyna wyrządzać szkody, niszcząc jego infrastrukturę lub krzywdząc kogoś. To niedopuszczalne. Tego typu ludziom nie podałbym ręki. Podobnie jak w prawdziwym świecie, głoś co chcesz, ale nie powoduj szkód. Firmy jednak nie powinny ich traktować jako największy problem. Mają wiele innych, poważniejszych zmartwień jeżeli chodzi o bezpieczeństwo cyfrowe.
Jesteś związany z Sophosem, ale chciałbym cię poprosić o ocenę konkurencji. Co Symantec, McAfee i cała reszta robią dobrze, a co powinni ulepszyć?
James Lyne:
Styl, elegancja, klasa… 😉 A poważniej: to świetne firmy, bardzo je szanuję. Ich badania są nieraz przełomowe i można im zaufać. My stawiamy na prostotę. Jestem geekiem. Kocham złożone analizy kodu, kocham rozbudowane narzędzia, kocham je analizować. Ale jest coś pięknego w tym, że masz rozwiązanie, które chroni cię przed tysiącami zagrożeń, zarządza twoją siecią, mobilnymi urządzeniami w firmie, a jego obsługa sprowadza się do zaznaczenia “fistaszka” przy funkcji “powstrzymaj złe rzeczy od atakowania mnie”. Chcę, by bezpieczeństwo było łatwe i proste. Uważam, że McAfee i Symantec są w tej kategorii do bani.
Gerhard Eschelbeck:
Mogliby mnie zatrudnić na doradcę:-) To są świetne firmy, w McAfee pracowałem pięć lat. Te firmy stają się jednak coraz bardziej… rozproszone sprawami, którymi nie powinny się zajmować. By być dobrym w swojej robocie, powinieneś się skupić na tym, w czym jesteś najlepszy. Jak robisz wiele rzeczy naraz, to w niczym nie jesteś dobry. Ile firm oni ostatnio kupili? 60, 70 firm. Nie da się tego zintegrować i prowadzić tego spójnie. Kluczem powinna być specjalizacja, a nie próba zadowolenia każdego możliwego klienta.