spyware alien, Google Project Zero, ransomware Magniber

Systemy weryfikują bezpieczeństwo naszych danych. Kto weryfikuje te systemy?

Bezpieczeństwo cyfrowe to nieodłączny element codziennego funkcjonowania w sieci. Pojawia się jednak pytanie: kto kontroluje tych, którzy dbają o bezpieczeństwo naszych danych?

Podstawę działań mających na celu zapewnienie bezpieczeństwa stanowi zasada „zero zaufania”. W jej myśl nie ufa się żadnej osobie ani systemowi. Każda interakcja jest natomiast weryfikowana przez jednostkę centralną. Jeśli ta zostanie zaatakowana, cały system może ulec załamaniu, dlatego coraz częściej mówi się o podejściu opartym na decentralizacji.

Czytaj też: Poznaliśmy najpopularniejsze hasła w Polsce i oniemieliśmy. Apelujemy – zadbajcie o swoje bezpieczeństwo

Naukowcy postanowili przeanalizować działanie algorytmów oraz zaprojektować nowe, które są niezbędne do stworzenia skutecznego zdecentralizowanego systemu weryfikacji. W skład zespołu zajmującego się tym tematem weszli Joanne Hall, Geetika Verma i Matthew Skerritt. Jak wyjaśniają, ich dokonania powinny pomóc w ochronie cyfrowej tożsamości i zwiększyć bezpieczeństwo procesów weryfikacji.

Jednym z problemów związanych z zasadą zero zaufania jest nadmierna wiara pokładana w nieomylność systemów weryfikujących. Te, jeśli padną, mogą utorować drogę do przejęcia kontroli nad wszystkimi podmiotami. Innymi słowy: jeden, pozornie w pełni bezpieczny element układanki, może dać nieograniczony dostęp do wszystkich systemów.

Bezpieczeństwo danych zazwyczaj opiera się na scentralizowanych systemach

Na początku tego roku doszło do włamania do zasobów firmy Okta, która zajmuje się zarządzaniem tożsamością. Usługa jednokrotnego logowania umożliwia pracownikom firmy posiadanie jednego hasła do wszystkich systemów, ale włamanie dało hakerom możliwość przejęcia kontroli nad tamtejszymi systemami. Naukowcy dodają, że dopóki systemy zarządzania tożsamością będą centralnym punktem zabezpieczeń, dopóty będą one kuszącym celem dla hakerów.

Hall i jej współpracownicy dostarczyli algorytmów, które można będzie wykorzystać do stworzenia zdecentralizowanego systemu weryfikacji. W projekcie wzięła udział firma TIDE, która opracowała prototypowy system wykorzystujący zatwierdzone algorytmy. Użytkownik zakłada w nim konto, wybiera hasło, a system szyfruje je i przechowuje do późniejszego wykorzystania. Wykorzystywane jest też uwierzytelnianie wieloczynnikowe, ale to i tak nie wystarcza. Gdyby hasła mogły być weryfikowane bez konieczności ich przechowywania w ten sposób, hakerzy nie mieliby konkretnego celu do ataku.

Czytaj też: Hakerzy na wojnie. Ich działalność w imię dobra i praworządności jest nieoceniona

Matematyczna struktura algorytmów powoduje, iż żaden pojedynczy węzeł nie może funkcjonować samodzielnie. Każdy z nich może też być obsługiwany przez niezależnie działającą organizację, na przykład bank. Kradzież wymagałaby wtedy włamania do wielu niezależnych węzłów. Nawet w przypadku naruszenia systemu weryfikacja haker uzyskałby dostęp tylko do niektórych danych użytkowników, a nie do całego systemu. Ta ostatnia możliwość pojawiłaby się wyłącznie po złamaniu 14 niezależnie działających węzłów, co byłoby naprawdę wymagającym wyzwaniem. Mimo to, na popularyzację tego typu rozwiązań zapewne przyjdzie nam jeszcze nieco poczekać.