Ochrona ruchu webowego

Od pewnego czasu jesteśmy świadkami przeobrażania internetu. Web 2.0 to usługi tworzone i aktualizowane przez użytkowników sieci (np. portale wiki, blogi, pod/webcasty, portale społecznościowe). Prowadzone cyklicznie badania statystyczne pokazują, że obecnie ok. 40% firm wykorzystuje dobrodziejstwa Web 2.0 w swoich działaniach biznesowych, z czego lwią część stanowią komunikatory i blogi. Jak łatwo sobie wyobrazić, takie serwisy to również duże możliwości nadużyć.

Od pewnego czasu jesteśmy świadkami przeobrażania internetu. Web 2.0 to usługi tworzone i aktualizowane przez użytkowników sieci (np. portale wiki, blogi, pod/webcasty, portale społecznościowe). Prowadzone cyklicznie badania statystyczne pokazują, że obecnie ok. 40% firm wykorzystuje dobrodziejstwa Web 2.0 w swoich działaniach biznesowych, z czego lwią część stanowią komunikatory i blogi. Jak łatwo sobie wyobrazić, takie serwisy to również duże możliwości nadużyć.

Ochrona ruchu webowego

Rzekomo genialne oprogramowanie antyspyware - "SpySheriff", w rzeczywistości było typowym spywarem/trojanem i swoistym proxy dla innej zarazy.

Mówiąc o ochronie ruchu webowego z punktu widzenia korporacji, należy mieć na uwadze całe spektrum bardzo zróżnicowanych zagrożeń. Najbardziej nagłośnionym i wciąż utrzymującym pozycję lidera jest niewątpliwie różnego rodzaju kod złośliwy. W rankingach kodu złośliwego na pierwszym miejscu plasują się rozmaite konie trojańskie. Według Symanteca, właśnie takie robaki stanowiły ponad 54% kodu złośliwego, wykrytego w pierwszej połowie 2007 r. Google twierdzi, że co dziesiąta odwiedzona przez ich silnik wyszukiwawczy strona zawiera kod złośliwy, a Secure Computing, że tylko 15% firm skanuje ruch webowy pod kątem malware. Statystyka trochę przeraża. Kod złośliwy pod każdą postacią tradycyjnie już jest dołączany do stron zawierających cracki, treści pornograficzne, pseudodarmowe oprogramowanie itp. Coraz częściej jednak powstają specjalizowane serwisy, które na pierwszy rzut oka wydają się nieszkodliwe, a nawet pomocne użytkownikom. Przykładem może tu być znana sprawa nieistniejącej już stronyhttp://www.spysheriff.com udostępniającej rzekomo genialne oprogramowanie antyspyware - "SpySheriff", w rzeczywistości będące typowym spywarem/trojanem i swoistym proxy dla innej zarazy.

Nie wszystkie zagrożenia są tak namacalne dla użytkownika jak SpySheriff. Często zdarza się, że podczas naszego przeglądania strony gdzieś w tle ściągany jest skrypt, który np. sprawdza, z jakiego oprogramowania antywirusowego (i w jakiej wersji) korzystamy. Taki rekonesans pozwala na pobranie kodu złośliwego, który nie zostanie rozpoznany przez naszego hostowego antywirusa, a następnie posłuży jako bramka dla robaków. Przykładów z życia wziętych wcale nie trzeba szukać daleko - pod koniec 2006 r. w Wikipedii pojawiła się informacja o rzekomym narzędziu do usuwania kolejnego wariantu Blastera, gdzie załączono nawet link, który jednak prowadził nie do paczki naprawczej, ale do trojana. Ukazało się też wiele "kitów" ułatwiających umieszczanie kodu złośliwego na stronach webowych, np. MPack czy WebAttacker, a następnie infekcje odwiedzających (patrz rysunek). Słyszy się również o przypadkach wykorzystywania popularnych narzędzi deweloperskich, takich jak Google Mashup Editor, do budowania specjalizowanych ataków czy stosowania kanałów RSS do przesyłania poleceń zainfekowanym stacjom. Jak widać, portale Web 2.0 mogą być infekowane poprzez Javascripty, XSS (Cross-Site Scripting) czy CSRF (Cross-Site Request Forgeries), a malware przestał być zjawiskiem typowym dla ruchu HTTP. Rozprzestrzenia się także poprzez inne protokoły, jak prężnie rozwijający się rynek komunikatorów, włącznie z rodzimym Gadu Gadu.

Malware to nie jedyny problem

Z punktu widzenia przedsiębiorstwa dużo poważniejszy może okazać się tzw. poziom utylizacji. Brzydkie wyrażenie, ale oddaje to, do czego dążą korporacje - do maksymalnego wykorzystania swoich zasobów. Bez względu na to, czy mówimy tutaj o pracownikach czy o infrastrukturze. Szacuje się, że ok. 1 czasu pracy pracownicy przeznaczają na surfowanie po stronach niezwiązanych z obowiązkami zawodowymi. To także spadek wydajności łącza internetowego, w wyniku odwiedzania serwisów prezentujących zawartość multimedialną i usługi streamingowe (np. YouTube, tvn24.pl, wrzutka.pl). Inne niebezpieczeństwo, tak charakterystyczne dla rynku za Wielką Wodą, to dostęp do treści, które mogą być obraźliwe lub nieodpowiednie (np. strony pornograficzne, serwisy militarne, portale szerzące nienawiść rasową). Pracodawcy w USA są szczególnie czuli na tym punkcie za sprawą pozwów sądowych kierowanych przez pracowników, a dotyczących narażania pracownika na treści, które są sprzeczne z jego zasadami moralnymi lub wyznaniem. I wreszcie do niedawna zupełnie pomijany, a ostatnio będący na pierwszych stronach gazet, problem wycieku informacji. Problem, który szczególnie widoczny jest właśnie w przypadku korzystania z mediów w pełni (dwustronnie) interaktywnych - np. wymiana danych przez komunikatory, publikacja informacji na blogach czy forach.

Patrząc na to, co oferuje rynek, widać, że producenci doskonale zdają sobie sprawę z panujących trendów i starają się im ze wszystkich sił sprostać. Niestety, świadomość po drugiej stronie barykady, czyli w korporacjach, nie zawsze jest wysoka. W większości przypadków ochrona ruchu webowego ogranicza się do instalacji oprogramowania antywirusowego na stacjach końcowych i stosowania filtrów URL (wg Gartnera ok. 75-95% korporacji korzysta z tej technologii), co - jak twierdzą analitycy rynku - jest absolutnie niewystarczające. Niektórzy - zdając sobie sprawę z zagrożeń - dorzucają jeszcze jakieś dodatkowe oprogramowanie antywirusowe do swojego proxy, np. Squid, i wykorzystując protokół ICAP, skanują ruch WWW. To też ciągle za mało.

Kilka prostych rad podnoszących poziom ochrony ruchu WWW

1. Sprawdź, czy nie należy uaktualnić mechanizmów ochrony przed kodem złośliwym.

2. Stosuj podejście ochrony wielowarstwowej:

  • ochrona antywirusowa,
  • filtry URL,
  • kontrola aplikacji,
  • usługi reputacyjne,
  • techniki kontroli wyszukiwarek internetowych,
  • kontrola treści.
3. Regularnie aktualizuj oprogramowanie monitorujące.

4. Zastanów się nad ochroną firmy przed zagrożeniami płynącymi z urządzeń przenośnych - sprawdź, czy obecnie używane oprogramowanie antywirusowe radzi sobie z kodem złośliwym pochodzącym z takich urządzeń.

5. Uaktualnij politykę bezpieczeństwa i rozszerz ją o:

  • zasady korzystania z Internetu, w tym z komunikatorów,
  • obostrzenia dotyczące publikacji informacji związanych z funkcjonowaniem organizacji czy naruszających tajemnicę handlową; zasady know-how,
  • uwzględnij urządzenia przenośne.
6. Prowadź regularne (częstsze niż raz w roku) akcje edukacyjne na temat zagrożeń płynących z internetu i sposobów ich unikania.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200