Bezpieczeństwo 2.0

Serwisy Web 2.0 są bezpieczne pod warunkiem przestrzegania kilku zasad.

Serwisy Web 2.0 są bezpieczne pod warunkiem przestrzegania kilku zasad.

Bezpieczeństwo 2.0

Robert Żelazo, szef McAfee na Europę Środkowo-Wschodnią. Większość zagrożeń związanych z Web 2.0 można zwalczyć za pomocą standardowych zabezpieczeń, takich jak sondy wychwytujące zagrożenia, a także narzędzi IPS.

Ostatni raport McAfee Avert Labs nieco nieoczekiwanie już na trzecim miejscu najważniejszych zagrożeń teleinformatycznych, tuż za phishingiem i spamem, umieszcza infekcje przenoszone przez pliki multimedialne rozpowszechniane za pomocą popularnych serwisów Web 2.0, takich jak YouTube i MySpace. Niedawno hakerzy wykorzystali profil francuskiej grupy Mama said na serwisie MySpace do infekcji użytkowników koniem trojańskim JS/SpaceStalk. Skorzystali przy tym z funkcji odtwarzacza QuickTime, automatycznie przekierowującego przeglądającego plik do serwisu WWW, w tym konkretnym przypadku do strony, z której automatycznie ładowany był koń trojański. Liczba podobnych doniesień rośnie w lawinowym tempie.

Serwisy Web 2.0, wykorzystujące nowy model aplikacji z interfejsem RIA, technologię AJAX, nowe mechanizmy syndykacji treści i materiały tworzone przez użytkowników, są doskonałymi narzędziami wspomagającymi zarządzanie wiedzą, komunikację czy wręcz prowadzenie projektów w firmach. Niestety ich wprowadzanie wiąże się ze sporym ryzykiem. Jest ono związane z wykorzystaniem mechanizmów współdzielenia treści. Nawet jeśli są one umieszczone na najbardziej renomowanych serwisach, to często pochodzą niekoniecznie z bezpiecznych źródeł. To zagrożenie także dla firmowych serwisów, które korzystają z materiałów umieszczonych wcześniej na witrynach takich jak YouTube.

Dzięki umieszczeniu złośliwego kodu w treściach dostępnych poprzez sieć WWW oraz przy użyciu AJAX hakerzy stworzyli nowe metody włamań, korzystając z dobrze ukrytego złośliwego kodu. W ten sposób rośnie ryzyko infekcji za pomocą ataków, takich jak typu SQL Injection czy cross site scripting. Nowy bogaty interfejs obsługujący kompleksowe skrypty utrudnia identyfikację logiczną struktury i zasobów otwieranej aplikacji. Obsługa wątków RSS prowadzi do ustawicznego zasilania stacji nowym kodem, którym nie jest w stanie zapobiec typowy firewall.

Zagrożenia upowszechniane za pomocą Web 2.0 wymagają nieco innego podejścia do tematyki bezpieczeństwa. Oznacza to poświęcenie większej uwagi monitoringowi i zabezpieczeniu stacji klienckich. Wymaga to także uświadomienia skali zagrożeń płynących z korzystania z Web 2.0, a także, a może przede wszystkim udostępniania przez nich wrażliwych informacji na blogach czy w sieciach społecznych. Profile umieszczane na FaceBook czy MySpace mogą być kopalnią wiedzy o strukturze, zasadach podejmowania decyzji i nieformalnych relacjach w firmie. Dlatego jednym z wyzwań, przed którymi stają dziś specjaliści ds. bezpieczeństwa, jest uświadomienie pracownikom jak duże znaczenie ma zachowanie poufności informacji.

<hr>


TOP 200