Bezpieczeństwo 2.0

Serwisy Web 2.0 to narzędzia efektywnej komunikacji wewnętrznej i marketingowej. Niestety bezpieczne jedynie pod warunkiem przestrzegania kilku podstawowych zasad.

Ostatni raport McAfee Avert Labs nieco nieoczekiwanie już na trzecim miejscu najważniejszych zagrożeń teleinformatycznym, tuż za phishingiem i spamem, umieszcza infekcje przenoszone przez pliki multimedialne rozpowszechniane za pomocą popularnych serwisów Web 2.0, takich jak YouTube i MySpace. Niedawno hakerzy wykorzystali profil francuskiej grupy Mama said na serwisie MySpace do infekcji użytkowników koniem trojańskim JS/SpaceStalk. Skorzystali przy tym z funkcji odtwarzacza QuickTime, automatycznie przekierowującego przeglądającego plik do serwisu WWW, w tym konkretnym przypadku do strony, z której automatycznie ładowany był koń trojański. Liczba podobnych doniesień o naruszeniach bezpieczeństwa rośnie w lawinowym tempie.

Niebezpieczny, bo masowy

Serwisy Web 2.0, wykorzystujące nowy model aplikacji z interfejsem RIA (Rich Interface Applications), nowe mechanizmy syndykacji treści i oparte na materiałach tworzonych przez użytkowników są doskonałymi narzędziami wspomagającymi zarządzanie wiedzą, komunikację marketingową czy wręcz prowadzenie projektów w firmach. Niestety ich wprowadzanie wewnątrz firm wiąże się ze sporym ryzykiem. Jest ono związane przede wszystkim z wykorzystaniem nowych mechanizmów współdzielenia treści. Nawet jeśli są one umieszczone na najbardziej renomowanych serwisach, to często pochodzą z niewiadomych i niekoniecznie bezpiecznych źródeł. To realne zagrożenie także dla naszych wewnętrznych serwisów, które nagminnie korzystają z materiałów umieszczonych wcześniej na witrynach takich jak YouTube.

Wraz z koncepcją Web 2.0 upowszechniły się nowe technologie, takie jak AJAX, które ułatwiają elastyczny dostęp do zasobów serwera poza standardowymi zabezpieczeniami stosowanymi przez korporację. Dzięki umieszczeniu złośliwego kodu w treściach dostępnych poprzez sieć WWW oraz przy użyciu AJAX hakerzy stworzyli nowe metody włamań, korzystając z dobrze ukrytego złośliwego kodu. W ten sposób rośnie ryzyko infekcji za pomocą ataków, takich jak typu SQL Injection czy cross site scripting (XSS). Nowy bogaty interfejs obsługujących kompleksowe skrypty utrudnia identyfikację logiczną struktury i zasobów otwieranej aplikacji. Obsługa wątków RSS prowadzi do ustawicznego zasilania stacji nowym kodem, którym nie jest w stanie zapobiec typowy firewall.

Zagrożenia związane z upowszechnieniem serwisów Web 2.0 mają nie tylko technologiczny charakter. Cała koncepcja powstała jako pomysł na usprawnienie wymiany spersonalizowanych informacji pomiędzy użytkownikami. Naturalnymi konsekwencjami tego faktu jest decentralizacja komunikacji, a także większe zaufanie do publikowanych treści. To także czyni z serwisów Web 2.0 świetne narzędzie do rozpowszechniania złośliwego kodu.

Nowe podejście

Czy w obliczu tego typu zagrożeń korporacje powinny zablokować dostęp do serwisów Web 2.0, czy wręcz zrezygnować z wewnętrznych inicjatyw wykorzystujących założenia tej koncepcji? Część ekspertów ds. bezpieczeństwa radzi wyłączenie możliwości korzystania z JavaScript. Wydaje się, że tak daleko idąca zapobiegliwość jest bezcelowa i przypominałaby wylewanie dziecka z kąpielą. "Większość zagrożeń, związanych z Web 2.0 można zwalczyć za pomocą standardowych zabezpieczeń, takich jak sondy wychwytujące zagrożenia, a także hostowanych narzędzi IPS" - mówi Robert Żelazo.

Zagrożenia upowszechniane za pomocą serwisów Web 2.0 wymagają nieco innego podejścia do tematyki bezpieczeństwa. Amerykańscy specjaliści ukuli nawet specjalny termin na określenie tych zmian i mówią dziś o Bezpieczeństwie 2.0. Oznacza to przede wszystkim poświęcenie większej uwagi monitoringowi i zabezpieczeniu stacji klienckich. Wymaga to także uświadomienia użytkownikom skali zagrożeń płynących z korzystania z serwisów Web 2.0, a także, a może przede wszystkim udostępniania przez nich wrażliwych informacji na blogach czy w sieciach społecznych. Profile umieszczane na serwisach, takich jak FaceBook czy MySpace, mogą być kopalnią wiedzy o strukturze, zasadach podejmowania decyzji i nieformalnych relacjach panujących w firmie. Dlatego też jednym z wyzwań, przed którymi stają dziś specjaliści ds. bezpieczeństwa, jest uświadomienie pracownikom jak duże znaczenie ma zachowanie poufności niektórych informacji.