Najważniejsze wiadomości - Bezpieczniejsza przyszłość dzięki zwalczaniu cyber-przestępczości
Szacuje się, że w internecie nieustannie krąży około 150 000 wirusów i innych złośliwych programów, które każdego dnia trafiają do komputerów ponad miliona osób. Producent oprogramowania antywirusowego, firma McAfee, posiada w swojej bazie danych informacje o 75 milionach złośliwych programów. Firma ta szacuje, że botnety wysyłające spam generują około jedną trzecią wszystkich wiadomości e-mail rozsyłanych każdego dnia. Chociaż jednostki płacą zaledwie około stu euro za oczyszczenie swych komputerów lub odzyskanie danych utraconych w wyniku działania wirusa, w skali globalnej straty finansowe ponoszone przez obywateli, przedsiębiorstwa oraz władze państwowe są kolosalne: według jednego z szacunków firmy McAfee, globalne straty będące następstwem cyber-przestępczości mogą sięgać biliona dolarów rocznie, jeśli uwzględni się zmarnowany czas, stracone okazje biznesowe oraz koszty związane z rozwiązywaniem problemów. Biorąc pod uwagę coraz większą zależność przedsiębiorstw i usług komunikacyjnych od Internetu, cyber-przestępczość jest coraz poważniejszym, globalnym problemem, z którym żadna firma nie poradzi sobie samodzielnie. W związku z powyższym różnorakie organizacje, takie jak Komisja Europejska i władze państwowe, a także MŚP i uniwersytety, łączą swe siły oraz współpracują z innymi podmiotami, w celu opracowania efektywnych strategii, polityk oraz technologii, pozwalających prowadzić skuteczną walkę z tą epidemią. Komisja Europejska zamierza w niedalekiej przyszłości opublikować "Europejską Strategię w zakresie Cyber-Bezpieczeństwa", obejmującą odpowiednie przygotowanie, prewencję oraz reakcję. Utworzono ponadto zespół ds. reagowania na przypadki naruszenia bezpieczeństwa teleinformatycznego ('Computer Emergency Response Team' - CERT-EU). Jednocześnie Unia Europejska przeznacza fundusze na szereg ogólnoeuropejskich projektów, których celem jest zwiększenie cyber-bezpieczeństwa. W ciągu ostatnich dwóch lat Komisja przeznaczyła 2,5 miliona euro na stworzenie Syssec (1), europejskiej "Sieci doskonałości" ('Network of Excellence' - NoE), bazując na stuletniej prawdzie głoszącej, że lepiej zapobiegać, niż leczyć. Celem powyższej sieci doskonałości jest opracowanie rozwiązań pozwalających przewidywać zagrożenia i słabości zanim się pojawią, tym samym umożliwiając potencjalnym ofiarom cyber-ataków odpowiednie przygotowanie się. W ramach powyższego projektu stworzono "wirtualne centrum doskonałości", ułatwiające budowanie więzi pomiędzy europejską społecznością zaangażowaną w badania nad bezpieczeństwem systemów, wspieranie współpracy badawczej, pracę nad agendą badawczą oraz realizowanie szeregu inicjatyw edukacyjnych związanych z cyber-bezpieczeństwem. "Członkowie sieci doskonałości SysSec obrali rewolucyjne podejście do cyber-bezpieczeństwa: zamiast ścigać cyber-przestępców po ataku, zespół zaangażowany w projekt SysSec pragnie z wyprzedzeniem wykrywać zagrożenia i słabe punkty. Głównym celem powyższej sieci doskonałości jest opracowanie planu działania w zakresie zagrożeń oraz stworzenie infrastruktury wspierającej kształcenie w dziedzinie bezpieczeństwa systemów. Działania te zagwarantują zbudowanie kompetencji niezbędnych do przeciwdziałania nowym zagrożeniom", stwierdzili Evangelos Markatos, koordynator projektu SysSec oraz Herbert Bos, naukowiec uczestniczący w tym projekcie, na łamach artykułu dotyczącego prowadzonych przez nich prac. Projektowanie z uwzględnieniem bezpieczeństwa Podczas gdy uczestnicy projektu SysSec obrali gobalne podejście do przewidywania zagrożeń, naukowcy zaangażowani w sieć doskonałości Nessos (2) skupili się na projektowaniu i tworzeniu bezpiecznych systemów i oprogramowania w kontekście "Internetu Przyszłości" ('Future Internet'). Celem ich prac jest zagwarantowanie, że inżynierowie i programiści uwzględnią aspekty związane z bezpieczeństwem już na wczesnym etapie analizy i projektowania. Zespół projektowy skupił się na sześciu kluczowych zagadnieniach: wymaganiach z dziedziny bezpieczeństwa w kontekście usług przeznaczonych dla Internetu przyszłości, tworzeniu bezpiecznych projektów i architektur usługowych, tworzeniu środowisk programistycznych wspierających bezpieczne, modularne usługi, promowaniu gwarancji z dziedziny bezpieczeństwa, opracowywaniu cykli produkcji oprogramowania uwzględniających zagrożenia i koszty, a także przygotowywaniu studiów przypadku i scenariuszy dotyczących oprogramowania przeznaczonego dla Internetu Przyszłości. Doskonałym przykładem projektowania pod kątem bezpieczeństwa jest inny projekt unijny. W ramach inicjatywy SecureChange (3) naukowcy z dziewięciu europejskich krajów opracowują metodologię, techniki oraz narzędzia, które zwiększą wydajność, elastyczność i bezpieczeństwo, a także ograniczą koszty czasowe i finansowe całego cyklu życia oprogramowania – począwszy od inżynierii wymagań, projektowania, tworzenia, testowania i weryfikacji, aż po wdrażanie i aktualizację. Koordynator projektu SecureChange, Fabio Massacci, opisuje problem w następujący sposób: "Wyobraźmy sobie, że tworzycie Państwo bezpieczne oprogramowanie. Dostarczacie je następnie klientowi, po czym pojawia się potrzeba zaktualizowania programu, na przykład w celu dodania do niego funkcji pozwalających wyprzedzić konkurencję". Jeśli za każdym razem mielibyście Państwo sprawdzać cały kod, nawet, jeśli zmianie uległa tylko niewielka jego część, to musielibyście poświęcić na to dużą ilość czasu i pieniędzy". Z trwającej pięć lat analizy przeprowadzonej przez zespół SecureChange, obejmującej sześć aktualizacji przeglądarki Firefox, posiadającej otwarty kod źródłowy, wynika, że przy wprowadzaniu nowej wersji zmianie ulega zwykle zaledwie około jedna trzecia kodu źródłowego. Co więcej, nowe wersje oprogramowania często zawierają liczne luki bezpieczeństwa, obecne we wcześniejszych wersjach. Zjawisko to jest powszechne także w przypadku innych przeglądarek, np. Chrome i IE. Potrzeba częstego udostępniania kolejnych aktualizacji oprogramowania oznacza, że na weryfikację i testowanie nowych wersji pozostaje niewiele czasu. Podejście obrane przez uczestników projektu SecureChange umożliwia testowanie jedynie nowych fragmentów kodu, gwarantując jednocześnie bezpieczeństwo i integralność całego systemu. Patrząc w przyszłość Internetu, którego użytkownicy zrezygnują z obecnych, statycznych usług na rzecz łączenia komponentów w zależności od ich dostępności, jakości i ceny, uczestnicy projektu Aniketos (4) skupiają się na zagwarantowaniu bezpieczeństwa i poufności w tak heterogenicznym środowisku. W powyższych uwarunkowaniach oprogramowanie będzie się prawdopodobnie składać z wielu usług pochodzących od licznych dostawców, jednak użytkownikom końcowym trudno będzie upewnić się, że dana usługa lub konkretny dostawca zapewniają deklarowany poziom bezpieczeństwa. W związku z tym zespół uczestniczący w projekcie Aniketos, do którego należą kluczowi gracze przemysłowi oraz instytuty badawcze, opracowuje nowe technologie, narzędzia oraz usługi z zakresu bezpieczeństwa, które będą wspierać projektowanie oraz działanie bezpiecznych, heterogenicznych usług. Uczestnicy projektu opracowują także metody analizy, rozwiązywania problemów oraz współdzielenia informacji na temat przeciwdziałania zagrożeniom i lukom bezpieczeństwa. Na drodze do Internetu bezpiecznych przedmiotów Chociaż duża część zrealizowanych dotychczas prac w dziedzinie cyber-bezpieczeństwa dotyczyła ochrony klasycznych systemów komputerowych, programów i urządzeń, takich jak komputery osobiste, serwery i bazy danych, rozwój technologii pokroju wbudowanego przetwarzania danych ('embedded computing'), "Internetu przedmiotów" ('Internet of things' – IoT), składającego się z czujników i aktywatorów, a także chmur obliczeniowych sprawił, że niezbędna jest także ewolucja w dziedzinie cyber-ochrony. Przykładowo, "zaufane przetwarzanie danych" ('Trusted Computing' - TC) jest znaną technologią, w której wykorzystuje się zarówno sprzętową, jak i programową weryfikację i implementację nienaruszalności i bezpieczeństwa w komputerach osobistych. Technologia ta znajduje obecnie zastosowanie także w systemach wbudowanych. W przeciwieństwie do tradycyjnych komputerów osobistych czy laptopów, systemy wbudowane to systemy komputerowe zaprojektowane pod kątem "ukrytej" (wbudowanej) pracy w obrębie urządzeń stosowanych na co dzień. Systemy wbudowane transmitują dane pomiędzy Państwa telefonem komórkowym a siecią komórkową, zarządzają połączeniem internetowym w Państwa domu oraz zapobiegają atakom sieciowym, a także sterują sygnalizacją świetlną na Państwa ulicy. Są także obecne w samolotach, samochodach, a nawet elektrowniach. Jednak wraz ze wzrostem wykorzystania systemów wbudowanych, obecnych w urządzeniach, które są stale włączone i podłączone do Internetu, wzrasta ryzyko włamań do tych systemów oraz groźba zainfekowania ich przez wirusy i inne złośliwe oprogramowanie ('malware'). Zespół uczestniczący w projekcie TECOM (5) pracował nad wykorzystaniem technik zaufanego przetwarzania danych w systemach wbudowanych, dostosowując rozwiązania opracowane początkowo z myślą o komputerach stacjonarnych i serwerach do potrzeb różnorakich urządzeń wbudowanych, począwszy od smartfonów, aż po inteligentne liczniki energii. "Zakres zastosowań dla systemów wbudowanych TC jest ogromny. Podczas projektu TECOM stworzyliśmy ramy technologiczne, które umożliwiają wdrożenie tej technologii, oraz wykazaliśmy, że może ona działać', mówi Klaus-Michael Koch, którego firma nadzorowała tę inicjatywę. "W najbliższych latach będziemy obserwować wykorzystanie tej technologii na wielu obszarach." Internet przedmiotów jest nierozerwalnie powiązany z chmurami obliczeniowymi, w których dane są rozproszone oraz dostępne od ręki, niezależnie od czasu i lokalizacji. W związku z powyższym niezbędna jest także ochrona chmur obliczeniowych oraz sprawienie, by były godne zaufania, podobnie jak aplikacje i usługi pracujące w ich obrębie. Pragnąc zagwarantować odpowiednią ochronę chmur obliczeniowych, uczestnicy projektu Tclouds (6) skupili się na zapewnianiu bezpieczeństwa, poufności oraz niezawodności w niedrogi, prosty i skalowalny sposób, wspierając tym samym dalszy rozwój infrastruktury, zasobów i usług chmurowych w nadchodzących latach. Enigmatyczne rozwiązania Kryptografia odgrywa kluczową rolę w zabezpieczaniu danych, zarówno w chmurach obliczeniowych, jak i np. na serwerach, z których Państwo korzystacie. Za każdym razem, gdy używacie Państwo karty kredytowej, logujecie się przez Internet na konto bankowe, lub też wysyłacie poufną wiadomość e-mail, w tle pracują algorytmy kryptograficzne. Jednak wraz ze wzrostem mocy obliczeniowej komputerów, przepustowości sieci oraz pojemności hurtowni danych, na istniejące metody ochrony danych czyhają coraz liczniejsze zagrożenia. Powyższym wyzwaniom stawili czoła uczestnicy projektu Ecrypt oraz jego następcy – inicjatywy Ecrypt-II (7). W ramach sieci doskonałości Ecrypt-II zgromadzono 32 wiodące instytuty badawcze oraz przedsiębiorstwa, które stworzyły ulepszone algorytmy kryptograficzne, szyfry oraz funkcje haszujące, przeanalizowały protokoły oraz metody implementacji, a także pracowały nad bardziej niezawodnymi algorytmami podpisu cyfrowego. Do głównych osiągnięć zespołu projektowego należy zaliczyć osiem nowych algorytmów, przewyższających swą skutecznością szyfr blokowy AES ('Advanced Encryption Standard'), opracowany przez dwóch belgijskich badaczy w latach 90-tych, a następnie wykorzystywany przez rząd USA do ochrony poufnych informacji. "Przed kryptografami stoją trzy podstawowe wyzwania", twierdzi Bart Preneel, koordynator projektu: "Koszty, szybkość oraz bezpieczeństwo długoterminowe". To samo można powiedzieć o całości cyber-bezpieczeństwa, jednak zarówno powyższe wyzwania, jak i wiele innych, uda się prawdopodobnie pokonać w najbliższych latach dzięki badaniom prowadzonym w Europie, umożliwiając tym samym użytkownikom komputerów na całym świecie bycie przynajmniej o krok przed hakerami, trojanami oraz wirusami, stanowiącymi plagę współczesnego Internetu. --- Projekty opisane w niniejszym artykule uzyskały wsparcie na rzecz badań naukowych w ramach Siódmego Programu Ramowego (7PR). (1) Syssec: Europejska sieć doskonałości na rzecz zarządzania zagrożeniami i lukami bezpieczeństwa w kontekście Internetu przyszłości: Europa dla Świata ('Syssec: A European Network of Excellence in Managing Threats and Vulnerabilities in the Future Internet: Europe for the World') (2) Nessos: Sieć Doskonałości na rzecz inżynierii bezpiecznych usług i systemów informatycznych w kontekście Internetu Przyszłości ('Nessos: Network of Excellence on Engineering Secure Future Internet Software Services and Systems') (3) SecureChange: Inżynieria bezpieczeństwa systemów ewoluujących przez całą długość życia ('SecureChange: Security engineering for lifelong evolvable systems') (4) Aniketos: Bezpieczne i godne zaufania usługi złożone ('Aniketos: Secure and Trustworthy Composite Services') (5) TECOM: Bezpieczeństwo wbudowanego przetwarzania danych ('TECOM: Trusted embedded computing') (6) Tclouds: chmury godne zaufania? Poufność i niezawodność internetowej infrastruktury krytycznej ('Tclouds: Trustworthy Clouds? Privacy and Resilience for Internet-scale Critical Infrastructure') (7) Ecrypt-II: Europejska sieć doskonałości w dziedzinie kryptologii – faza II ('Ecrypt-II: European network of excellence in cryptology - Phase II') Odnośniki do projektów na stronie CORDIS: - 7PR na stronie CORDIS - Syssec na stronie CORDIS - Nessos na stronie CORDIS - SecureChange na stronie CORDIS - TECOM na stronie CORDIS - Aniketos na stronie CORDIS - Tclouds na stronie CORDIS - Ecrypt-II na stronie CORDIS Pozostałe odnośniki: - strona internetowa Agendy Cyfrowej Komisji Europejskiej