Bezpieczeństwo 2.0

Serwisy Web 2.0 są bezpieczne pod warunkiem przestrzegania kilku zasad.

Ostatni raport McAfee Avert Labs nieco nieoczekiwanie już na trzecim miejscu najważniejszych zagrożeń teleinformatycznych, tuż za phishingiem i spamem, umieszcza infekcje przenoszone przez pliki multimedialne rozpowszechniane za pomocą popularnych serwisów Web 2.0, takich jak YouTube i MySpace. Niedawno hakerzy wykorzystali profil francuskiej grupy Mama said na serwisie MySpace do infekcji użytkowników koniem trojańskim JS/SpaceStalk. Skorzystali przy tym z funkcji odtwarzacza QuickTime, automatycznie przekierowującego przeglądającego plik do serwisu WWW, w tym konkretnym przypadku do strony, z której automatycznie ładowany był koń trojański. Liczba podobnych doniesień rośnie w lawinowym tempie.

Serwisy Web 2.0, wykorzystujące nowy model aplikacji z interfejsem RIA, technologię AJAX, nowe mechanizmy syndykacji treści i materiały tworzone przez użytkowników, są doskonałymi narzędziami wspomagającymi zarządzanie wiedzą, komunikację czy wręcz prowadzenie projektów w firmach. Niestety ich wprowadzanie wiąże się ze sporym ryzykiem. Jest ono związane z wykorzystaniem mechanizmów współdzielenia treści. Nawet jeśli są one umieszczone na najbardziej renomowanych serwisach, to często pochodzą niekoniecznie z bezpiecznych źródeł. To zagrożenie także dla firmowych serwisów, które korzystają z materiałów umieszczonych wcześniej na witrynach takich jak YouTube.

Dzięki umieszczeniu złośliwego kodu w treściach dostępnych poprzez sieć WWW oraz przy użyciu AJAX hakerzy stworzyli nowe metody włamań, korzystając z dobrze ukrytego złośliwego kodu. W ten sposób rośnie ryzyko infekcji za pomocą ataków, takich jak typu SQL Injection czy cross site scripting. Nowy bogaty interfejs obsługujący kompleksowe skrypty utrudnia identyfikację logiczną struktury i zasobów otwieranej aplikacji. Obsługa wątków RSS prowadzi do ustawicznego zasilania stacji nowym kodem, którym nie jest w stanie zapobiec typowy firewall.

Zagrożenia upowszechniane za pomocą Web 2.0 wymagają nieco innego podejścia do tematyki bezpieczeństwa. Oznacza to poświęcenie większej uwagi monitoringowi i zabezpieczeniu stacji klienckich. Wymaga to także uświadomienia skali zagrożeń płynących z korzystania z Web 2.0, a także, a może przede wszystkim udostępniania przez nich wrażliwych informacji na blogach czy w sieciach społecznych. Profile umieszczane na FaceBook czy MySpace mogą być kopalnią wiedzy o strukturze, zasadach podejmowania decyzji i nieformalnych relacjach w firmie. Dlatego jednym z wyzwań, przed którymi stają dziś specjaliści ds. bezpieczeństwa, jest uświadomienie pracownikom jak duże znaczenie ma zachowanie poufności informacji.

<hr>