P RZYKŁADY REALNYCH ZAGROŻEŃ

Działanie aplikacji internetowych wykorzystuje parametry przesyłane pomiędzy stroną WWW a przeglądarką użytkownika. W celu uniemożliwienia ataku na stronę WWW poprzez modyfikację tych parametrów, muszą być one weryfikowane, i nie powinny przechowywać danych istotnych dla działania aplikacji. Manipulowanie parametrami może być przeprowadzone za pomocą cookies, adresu URL, pól formularza lub nagłówków HTTP.

W Polsce, jak na całym świecie, coraz bardziej popularne stają się zakupy przez Internet. Według danych Poznańskiego Centrum Superkomputerowo-Sieciowego (PCSS), w 2007 roku funkcjonowało w Polsce ok. 3 tysięcy portali oferujących towary w Internecie, a dokonane tą drogą zakupy sięgały sumy 8 miliardów złotych realizowane transakcje wymagają podania przez klienta danych osobowych (imienia, nazwiska, adresu, numeru karty kredytowej itp.). Opublikowany w styczniu 2008 roku Raport Zespołu Bezpieczeństwa PCSS zawiera między innymi opis błędnych mechanizmów obsługujących cookies wykorzystywanych w procesie identyfikacji użytkowników logowanych do sklepu internetowego [SEG08]. Z przeprowadzonych przez ten zespół testów (na pięćdziesięciu sklepach) wynika, że 32% z nich zapisuje dane sesyjne w katalogu /tmp na serwerach firm hostingowych, co nie jest

bezpieczne, ponieważ umożliwia ich pobranie innym aktualnie zalogowanym użytkownikom.

Według standardu OWASP, cookies identyfikujące zalogowanego użytkownika powinny być przechowywane maksymalnie 5 minut, a tymczasem 2% sklepów ma ustawiony czas ich życia na 7 dni, 4% – na godzinę i aż 94% testowanych sklepów ma ten czas ustawiony do końca sesji. Stwarza to duże zagrożenia w przypadku opuszczenia sesji bez wylogowania, gdyż system nie rozpoznaje zamknięcia przeglądarki internetowej (a czas życia sesji opartych o pliki wynosi aż 24 godziny).

Po wylogowaniu użytkownika, 72% sklepów kończy sesję na serwerze sklepu w ciągu 30 minut, natomiast 8% – w ciągu godziny, a 20% - w ciągu 24 godzin! Aż 70%

sklepów umożliwiało nadanie numeru sesji przez użytkownika. W 98% przypadków odnotowano brak powiązania numerów sesji z adresami IP, co oznacza realizację niebezpiecznych transakcji zakupu poprzez popularne nieszyfrowane połączenia bezprzewodowe [SEC08].

W marcu 2007 roku firma McAfee opublikowała informacje dotyczące bezpieczeństwa odwiedzanych w Internecie miejsc. Z jej badań wynika między innymi, że [EBI08]:

 najbardziej niebezpieczne domeny to .info (7,5%) i .com (5,5%),

 najbezpieczniejszą jest domena .gov,

 najbezpieczniejsze strony mają kraje skandynawskie,

 na 266 domen biorących udział w badaniu polska domena .pl zajmuje 18 miejsce wśród zagrożonych exploitami, 25 miejsce pod względem zagrożenia szkodliwym oprogramowaniem, 56 miejsce pod względem zagrożenia spamem.

Coraz częściej media donoszą o różnego typu zagrożeniach dla użytkowników sieci rozległej. Nawet używane oprogramowanie ochronne może zawierać niebezpieczne wady. W kwietniu 2008 roku firma Symantec poinformowała o występowaniu luki w kontrolce ActiveX dostarczanej z oprogramowaniem ochronnym serii Norton (AntiVirus, Norton Internet Security, Norton System Works i Norton 360). Wykryta luka może być wykorzystywana do przejęcia kontroli nad komputerami wykorzystującymi platformę systemową Windows.

Niecodzienna sytuacja miała miejsce w lutym 2008 r. przy okazji uruchomienia internetowej rezerwacji biletów na Euro 2008. Osoby, po zalogowaniu do systemu mogły oglądać dane osobowe, w tym numery PESEL i dowodów osobistych, osób wcześniej zapisanych do udziału w losowaniu.

W marcu 2008 roku poinformowano o zidentyfikowaniu w Internecie botnetu utworzonego z przejętych ruterów firmy D-link w celu prowadzenia ataków DDoS [CER08]. Infekcja następuje przez port 23/TCP, a szkodliwe oprogramowanie, które przejmuje kontrolę nad ruterem najprawdopodobniej wykorzystuje lukę w zestawie aplikacji BusyBox. W tym samym miesiącu pojawiło się ostrzeżenie przed krążącymi w sieci plikami w formacie pdf (umieszczanymi na stronach WWW lub wysyłanymi jako załączniki pocztowe) wykorzystującymi lukę w aplikacjach Adobe Reader i Acrobat (we fragmencie obsługującym kod JavaScript). Wykryta wada pozwala na przepełnienie bufora, a tym samym wykonanie w systemie dowolnego kodu. Po otwarciu szkodliwego pliku ściągany jest koń trojański (Zonebac), który między innymi wyłącza programy antywirusowe i modyfikuje wyniki wyszukiwania stron WWW.

Duże zagrożenie dla bezpieczeństwa danych pojawia się podczas masowych imprez informatycznych takich jak np. CeBIT (Centrum der Büro- und Informationstechnik), gdzie wiele osób korzysta z niezabezpieczonych prawidłowo sieci WLAN. Należy zachować szczególną ostrożność przy korzystaniu z darmowych hotspotów, które mogą w sposób nieuprawniony pobierać dane z komputerów przenośnych podczas trwania połączenia.

Ostatnio obserwuje się podejmowanie, w różnych celach, penetracji serwisów społecznościowych, takich jak „nasza-klasa”. Wielu użytkowników bezmyślnie umieszcza na nich szczegółowe informacje na swój temat dostarczając danych do przeprowadzania ataków dedykowanych, kierowanych na wybrane osoby.

Ze wspomnianego już Raportu 2007 CERT Polska wynika, iż zaobserwowano nowe zagrożenie dla użytkowników sieci, jakim jest pojawienie się firm działających na granicy prawa, które udostępniają klientom (gwarantując im anonimowość) swoje łącza oraz serwery fizyczne i wirtualne do umieszczania nielegalnych treści (związanych z działalnością terrorystyczną, hasła nazistowskie, rasistowskie itp.).

6.7. P

Pomimo świadomości realnego zagrożenia, jakie niesie ze sobą podłączenie komputera do sieci globalnej, użytkownicy nie rezygnują z korzystania z usług i zasobów Internetu. Całkowite odizolowanie się od sieci nie jest już po prostu możliwe. Problemy z bezpieczeństwem wynikają głównie z błędów popełnianych przez programistów (wady oprogramowania), twórców stron WWW, administratorów (niewłaściwa konfiguracja i ochrona) oraz użytkowników (nieprzestrzeganie ustalonych zasad bezpiecznej eksploatacji systemu). Ataki często przeprowadzane są w sposób całkowicie niezauważalny, co uniemożliwia szybką reakcję w momencie pojawienia się zagrożenia. Na szczęście wiedza wśród użytkowników sieci o potrzebie utrzymywania wysokiego poziomu bezpieczeństwa danych i usług nieustannie rośnie, a producenci dostarczają do ochrony systemów coraz bardziej skuteczne narzędzia.

Najnowsze wersje platform systemowych serwerów zawierają znacznie mniej wad, a wykrywane luki są szybciej usuwane, gdyż do ich identyfikacji wykorzystuje się zautomatyzowane programy. Przed znanymi atakami na serwery, aplikacje internetowe i komputery PC można próbować się bronić, jednak należy mieć świadomość, że realne niebezpieczeństwa istnieją i trzeba znać sposoby przeciwdziałania zidentyfikowanym zagrożeniom. Niestety, nieustannie wykrywane są nieznane dotychczas luki, które stwarzają hakerom nowe możliwości atakowania systemów z wykorzystaniem najnowszych technik. Taka szkodliwa działalność w sieci staje się coraz bardziej intratnym zajęciem. Znany jest nawet przypadek zażądania przez hakerów wysokiej sumy pieniędzy za nieujawnianie znalezionych luk na serwerach tysięcy Polaków, banków i sklepów.

Nie sposób omówić wszystkie aspekty bezpieczeństwa sieciowego z powodu złożoności i mnogości problemów. Nawet oprogramowanie ochronne może zawierać wady, i też stanowi przedmiot ataków. Powszechnie wiadomo, iż stuprocentowe zabezpieczenie pracy w sieci jest nieosiągalne. Zdaniem ekspertów dostęp do każdego komputera tak naprawdę ograniczony jest jedynie budżetem osoby, która dany system zamierza zaatakować.

Interfejs użytkownika w warstwowych aplikacjach