Za medijsko najodmevnejše zgodbe sta poskrbeli hekerski združenji Anonymous in LulzSec, vendar njuni člani niso edini, ki izkoriščajo slabosti spletnih strani in informacijskih sistemov. Živa je tudi scena solističnih »domačih« hekerjev oziroma ta celo raste, po zaslugi ogromnega števila hekerskih »vadnic« (tutorials), dosegljivih po spletu. Dovolj je vpisati kratek očiten iskalni niz v Googlovem iskalniku in že so na voljo številni videoposnetki tipa »how to« in navodila, kako korak za korakom izkoristiti varnostno luknjo, ki jo opisujejo. Na eni strani imamo množico posameznikov, ki bi se radi izkazali, na drugi pa tudi številne spletne strani in informacijske sisteme, katerih skrbniki varnostnih lukenj še niso zakrpali oziroma tega niso storili iz drugih, nerazumljivih razlogov.

Ne samo da je večina teh »navodil« brezplačnih, nekatera v resnici tudi delujejo. Podjetje CCP Group je izvedlo nadzorovan učilniški eksperiment, izsledke pa nato objavilo na svoji spletni strani (http://tinyurl.com/6azlj3a). Začetnikom – posameznikom z osnovnim računalniškem znanjem, ki so skupaj sedeli v učilnici, vsak pred svojim računalnikom, je uspelo pridobiti vstopna gesla svojih »sošolcev« z uporabo napada »mož v sredini« (man in the middle). In to skoraj takoj po tem, ko so si ogledali 14-minutni videoposnetek, v katerem je bilo na razumljiv način korak za korakom razloženo, kako tak napad izpeljati, hkrati pa je vseboval tudi povezave do potrebnih brezplačnih hekerskih orodji.

V YouTubu mrgoli »etičnih« videoposnetkov za navodili za hekerje. Malce preko tisoč jih razlaga napad tipa mož v sredini, skoraj dvajset tisoč pa, kako vdreti v Facebook. Da je zakonom zadoščeno, jih je večina opremljena z opozorilom, da jih ne smete uporabljati v škodljive namene in da ne smete vdreti v računalnik, spletno stran ali sistem brez dovoljenja lastnika ter da so objavljeni izključno v izobraževalne namene. Ni malo takih, ki zagovarjajo prepoved objavljanja teh vsebin, vendar po našem mnenju ni problem v obstoju »receptov«, večji problem je, da delujejo. Res pa je, da če ne bi bilo varnostnih lukenj, o katerih nas programske hiše stalno preprečujejo, da se jim je nemogoče izogniti, saj gre za programiranje, tudi teh navodil ne bi bilo. Kdo pa bi se upal blamirati in objavljati nekaj, kar ne deluje? So videoposnetki in besedila problem? O tem bi lahko razpravljali! Morda nas lahko skrbi, da hekerska navodila kažejo, kako preprosti so lahko vdori. A po drugi strani bi to moralo biti opozorilo skrbnikom, še več, ti bi jih morali redno spremljati in skrbeti, da so njihovi sistemi varni. Bankam ne pade na pamet, da bi denar hranile v lesenih omarah, nato pa krivdo za tatvino zvalile izključno na roparje. Namesto tega imajo trezorje! Enako bi moralo veljati za spletne strani, računalnike in informacijske sisteme, ki bi morali biti tako varni, da »petminutni« heker niti po naključju ne bi mogel vdreti vanje.

Googlove tvegane strani

Googlova funkcija dinamičnega (sprotnega) iskanja omogoča prikaz potencialnih iskanih strani, še preden do konca vpišemo iskalni niz. S tem privarčujemo morda dve sekundi, kolikor je potrebno, da pritisnemo tipko Enter. Kakšen smisel ima to, je drugo vprašanje. Razburjajo se le avtorji strani, ki niso visoko uvrščene in jih zato ni med sprotnimi zadetki.

Varnostni strokovnjaki pa so pokazali na drug problem, ki je posledica Googlove »obsesije« z varčevanjem s časom. Funkcija dinamičnih strani (instant pages) deluje tako, da se strani delno že naložijo oziroma pametni algoritem med tipkanjem iskalnega niza, dobesedno po vpisu prve črke, začne odločati, katere so take strani, te pa se med tem, ko iščemo na tipkovnici naslednji znak, v ozadju nalagajo v sistem. Nato pa sistem svojo odločitev sproti korigira med pisanjem iskalnega niza do konca. Kakšen je smisel tega? Da je stran na voljo dobesedno takoj in ni treba po kliku na povezavo počakati par sekund, da se naloži. Lahko nekaj sekund odloča med »življenjem in smrtjo«, ko je govor o spletnem iskanju? Morda, če morate na hitro odgovoriti na radijsko vprašanje, ki obljublja zanimive nagrade! Dejstvo, da se spletna stran naloži v sistem, ne da bi aktivno kliknili povezavo, je lahko potencialno varnostna grožnja. Google ima vpeljane filtre, ki preprečujejo, da bi se okužene spletne strani sploh pojavile med rezultati iskanja, vendar se avtorji škodljivih kod in okuženih spletnih stran z vsemi močmi trudijo, da bi filtre obšli. Obstaja torej možnost, da se okužena stran pojavi med rezultati, kakor tudi, da se vnaprej naloži. Google seveda to možnost zanika in stavi na svoje filtre. Olajševalna okoliščina je, da funkcija deluje le v brskalniku Chrome, znano pa je, da te vrste okuženih spletnih strani, torej strani, pri katerih je za okužbo dovolj odpreti strani, največkrat izkoriščajo luknje v Internet Explorerju. Največkrat, ne pa vedno! V skrajnem primeru bi se zaradi delovanja funkcije dinamičnih strani uporabnik lahko okužil s škodljivo kodo, ne da bi okuženo stran sploh obiskal oziroma kliknil na povezavo do okužene strani. Kar je načeloma lahko velika težava, toliko bolj, ker se bo ta funkcija prej ali pozneje pojavila tudi v drugih brskalnikih.

4/4

Moj mikro, november 2011 | Marjan Kodelja |