W

łamywacze o bardzo nieokreślonych intencjach są często bardzo pożyteczni z punktu widzenia biznesu, niektórych światowych firm. Wykorzystywanie ich do testowania systemów stało się powszechnym zjawiskiem. Najzabawniejsze jest to, że staje się to praktycznie bez ich wiedzy. W systemie, który ma zostać sprawdzony oraz spenetrowany umieszcza się mechanizmy zabezpieczeń, które mają zostać poddane próbą, stwarza się określone warunki izolujące taki system w celu niwelacji zagrożenia na szerszą skalę, a zarazem zainstalowany monitoring takiego systemu dostarcza pełnych informacji, o poczynaniach intruza. W ten sposób obserwacja sposobów i skuteczności penetracji pozwala na wykrycie niedoskonałości, wprowadzanie poprawek, kolejnych zabezpieczeń, a nawet przeprojektowanie systemu. Jest to swego rodzaju forma zbliżona do otwierania systemów o zamkniętych kodach źródłowych w celu ich szybszego usprawnienia.

     Któż by potrafił lepiej przełamać zabezpieczenia naszej sieci komputerowej niż ktoś, kto na, co dzień zajmuje się ich łamaniem? Oczywiście można zatrudnić specjalistów od zabezpieczeń, ale ekonomicznym problemem w tym przypadku jest to, że trzeba im odpowiednio dużo zapłacić. Sprowadzenie testów systemów do kategorii ekstremalnie pospolitych włamań niesie z sobą inne zalety. Warunki panujące podczas takiego zajścia są stuprocentowo naturalne do tych, które codziennie występują w różnych niepożądanych częściach rozległych sieci komputerowych przyprawiając o zawrót głowy niczego niespodziewających się administratorów, co oddziela typowe warunki laboratoryjne od dżungli panującej na zewnątrz. Światowa prasa od czasu do czasu karmi nas informacjami na temat kolejnych prób włamań się do sieci komputerowych uchodzących za najbardziej zabezpieczone (Pendaton, NASA, MIT, Banki, Firmy z Fortune 100 itp.). Dzięki brakowi, w tym wszystkim elementów fantastycznych takie eskapady potrafią udowodnić, że na informatycznych eksploratorów nie ma mocnych, co dodaje przeprowadzanym próbą w pełni profesjonalny wymiar i najwyższy standard wykrywania podatności praktycznie za darmo. Większość firm wydaje miliony na walkę z wyrafinowanymi zagrożeniami informatycznymi, bacznie zwracając uwagę na elementarne zasady bezpieczeństwa. Inni nie ograniczają się tylko do korzystania z rozwiązań proponowanych przez specjalistyczne firmy i tworzą własne oddziały badawcze, w ten sposób mogąc bronić siebie i przy okazji oferować swoje usługi innym. Im więcej źródeł wystawianych jest na publiczny dostęp, tym więcej informacji można zebrać na temat używanych metod oraz wprowadzanych nowości w obchodzeniu zabezpieczeń.

     Inną stosowaną polityką, która nie wymusza czekania, aż ktoś zapuka do naszego bezpiecznego wielkiego brata jest po prostu ogłaszanie różnego rodzaju konkursów, które poprzez oferowanie atrakcyjnych wynagrodzeń lub nawet obietnic posad pracy mają masowo przyciągać wszystkich zainteresowanych tematyką bezpieczeństwa komputerowego. Dzięki takiemu współzawodnictwu każdy stara się jak najlepiej wykazać swoimi umiejętnościami w zastosowaniu metod weryfikacji stanu bezpieczeństwa danej platformy systemowej, czy znajomości strategii zabezpieczeń sieci komputerowych. Uczestnicy stają w konfrontacji z realnym, ale także specjalnie przygotowanym i zabezpieczonym obiektem, który ma zmusić ich do kreatywnego rozpracowywania systemu i jednocześnie obnażyć ich wypracowane przez lata chwyty, na które oczywiście po fakcie opracowywana jest odpowiednia szczepionka.

     Podczas, gdy jedni przyjmują za punkt honoru pokonywanie barier i zabezpieczeń strzegących informacji, zawartych w komputerowych bazach danych lub przesyłanych w żyłach sieci teleinformatycznych, inni głowią się nad projektowaniem nowszych i skuteczniejszych metod chroniących te dane. Choć bezpieczeństwo systemów informatycznych jest złożonym zagadnieniem, które obejmuje zarówno warstwę technologiczną, formalną i ludzką – to poprzez nieustanną walkę oba te gatunki w cybernetycznym środowisku uzupełniają się wzajemnie z dnia na dzień tworząc doskonalsze formy i kształty w bezpieczeństwie sektora IT. Coraz nowsze rozwiązania poddawane są coraz nowszym obejściom wzajemnie na siebie wpływając – pomagają stworzyć proaktywną i dynamicznie rozwojową naturę, w której bezpieczeństwo jest wynikiem doświadczeń i wyprzedzaniem negatywnych zdarzeń, które moją zaistnieć w przyszłości, a nie reakcją na już zaistniałe incydenty.

Felieton ten pochodzi z magazynu: Linux+ Nr 2 (118) Luty 2007.