Πρέπει να εμπιστεύεστε το λογισμικό ασφαλείας που χρησιμοποιείτε;

Εδώ στο iGuRu.gr αναφέρουμε συχνά ότι ασφάλεια στο διαδίκτυο δεν υπάρχει και φυσικά υπάρχουν πάρα πολλοί που συμφωνούν. Οι εταιρείες ξοδεύουν δισεκατομμύρια δολάρια κάθε χρόνο για να αγοράσουν ενημερωμένα προϊόντα ασφάλειας και όμως οι επιθέσεις στον κυβερνοχώρο και οι παραβιάσεις δεδομένων δεν σταματούν. Τελευταία μάλιστα ανακαλύφθηκαν και “αξιόπιστα εργαλεία ασφαλείας” που περιείχαν τρωτά σημεία!

Πρόσφατα, το Project Zero της Google αποκάλυψε ένα σωρό τρωτά σημεία κρίσιμης σημασίας σε δύο προϊόντα ασφάλειας που χρησιμοποιούν δωδεκάδες επιχειρήσει και καταναλωτές από τη Symantec και το εμπορικό της σήμα Norton.

Τα κενά επέτρεπαν σε hackers να αποκτήσουν πλήρη έλεγχο σε υπολογιστές που χρησιμοποιούσαν τις εφαρμογές με την αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου που σερβίρουν κακόβουλο αυτοαναπαραγόμενο κώδικα σε δίκτυα, ακόμη και αν αυτά τα μηνύματα δεν ανοιχτούν ποτέ και κανείς δεν πατήσει τις συνδέσεις που περιέχουν, σύμφωνα με τον ερευνητή Tavis Ormandy του Project Zero της Google.key ασφαλείας

Ο Ormandy έχει ανακαλύψει στο παρελθόν κενά ασφαλείας σε προϊόντα ασφαλείας εταιριών πολύ υψηλού προφίλ, όπως: Kaspersky, FireEye, ESET, Comodo, McAfee και Trend Micro.

Όπως καταλαβαίνετε από τα παραπάνω, έχουμε φτάσει σε μια εποχή που είναι αδύνατο να εμπιστευτούμε προϊόντα που υποτίθεται ότι μπορούν να διατηρήσουν τα δεδομένα μας ασφαλή. Η βιομηχανία ασφαλείας που έχει στηθεί φαίνεται να αντιμετωπίζει σοβαρά προβλήματα με παραλείψεις που βάζουν σε κίνδυνο τους πελάτες της.

Οι προμηθευτές φυσικά μέχρι σήμερα δεν φαίνεται να λογοδοτούν, αν και θα έπρεπε να λογοδοτήσουν για τα κενά ασφαλείας που ανακαλύφθηκαν στα προϊόντα τους και θέτουν τους πελάτες τους σε κίνδυνο. Είναι διαφορετικό πρόβλημα αν τα προϊόντα που πωλούν δεν αναγνωρίζουν κάποια απειλή και εντελώς άλλο όταν τα προϊόντα που διαθέτουν στην αγορά παρέχουν “παράθυρο” πρόσβασης στους επιτιθέμενους.

  Lenovo MWC 2017: Όλες οι παρουσιάσεις

Ο κ. Ormandy αναφέρει πολύ σωστά, ότι το λογισμικό ασφαλείας θα πρέπει να επωφεληθεί από τεχνικές όπως το περιβάλλον δοκιμών (sandboxing) που μπορεί να βοηθήσει στον έλεγχο των δραστηριοτήτων του κακόβουλου κώδικα. Και θα πρέπει όλοι να έχουν συγκεκριμένο κύκλο ζωής ανάπτυξης με τις βέλτιστες πρακτικές ασφαλείας, όπως αυτές που ξεκίνησε η Microsoft και η Cigital. Οι προμηθευτές θα πρέπει, επίσης, να αναζητούν για τα τρωτά σημεία στον σχεδιασμό των προϊόντων τους που μπορούν να χρησιμοποιηθούν από επιτιθέμενους να εκμεταλλευτούν νόμιμα χαρακτηριστικά ή λειτουργίες για να θέσουν σε κίνδυνο συστήματα. Οι προμηθευτές θα πρέπει να ιεραρχήσουν την ασφάλεια στα προϊόντα τους και δεν θα πρέπει να υπάρχει καμία δικαιολογία όταν δεν το κάνουν.

Όμως όταν βρεθούν τρωτά σημεία, ο πάταγος δεν διαρκεί πολύ. Η διαπόμπευση στα μέσα ενημέρωσης κρατάει ελάχιστα, ενώ θα έπρεπε να κινηθούν κάποιες αγωγές ή να αλλάξει η νομοθεσία, για να γίνουν τα πράγματα καλύτερα.

Μετά από όλα τα παραπάνω: Πως μπορείτε να προστατευτείτε; Μάλλον θα πρέπει να ελαχιστοποιήσετε την έκθεσή σας στο διαδίκτυο προσαρμόζοντας καλύτερα τη νοοτροπία σας. Έτσι μάλλον ζητούμενο είναι το να έχετε ρεαλιστικές προσδοκίες.

  To bionic μάτι έρχεται να θεραπεύσει την τύφλωση

Μην υποθέσετε ότι τα προϊόντα ασφάλειας είναι ασφαλή

Οι εταιρείες θα πρέπει να εφαρμόσουν πολιτικές ασφαλείας σε όλα τα εργαλεία ασφάλειας που χρησιμοποιούν. Αυτό σημαίνει ότι θα πρέπει να απαιτούν από τους πωλητές την παροχή αυτοματοποιημένων επιδιορθώσεων, σε βάθος εξέταση των υποδομών τους και pen-testing σε όλα τα προϊόντα ασφαλείας.

Υποθέστε ότι το δίκτυο σας θα παραβιαστεί

Ακόμα και όταν τα προϊόντα ασφαλείας που χρησιμοποιείτε λειτουργούν όπως διαφημίζεται, αυτό δεν σημαίνει ότι πιάνουν όλες τις απειλές. Η διαδικτυακή κοινότητα και οι εταιρείες θα πρέπει να προετοιμαστούν για την πιθανότητα παραβίασης (που είναι όλο και περισσότερο είναι μια πραγματικότητα).

Παραδοσιακά προϊόντα antivirus που ελέγχουν συστήματα με τον προσδιορισμό συγκεκριμένων υπογραφών κακόβουλου λογισμικού, όταν αλλάζουν οι υπογραφές, (κάτι που συμβαίνει συνεχώς), τα malware δεν αναγνωρίζονται.

Η ευθύνη

Η βιομηχανία ασφαλείας έχει την ευθύνη εφόσον υπόσχεται ασφάλεια, στο να είναι σίγουρη ότι τα προϊόντα ασφάλειας που πωλούνται όχι μόνο λειτουργούν όπως θα έπρεπε, αλλά δεν βάζουν και τον τελικό χρήστη σε κίνδυνο ανοίγοντας διάπλατα backdoors στους hackers.

Και η ουτοπία

Οι προμηθευτές προϊόντων ασφαλείας θα πρέπει να λειτουργούν σαν πρότυπα για ολόκληρο τον κλάδο της τεχνολογίας με την ανάπτυξη ασφαλούς λογισμικού για την αποκατάσταση της πίστης των πελατών τους.

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


8  +  2  =