Konferencja RSA 2006 - firmy kontra l33t h4k0r2
- Łukasz Bigo,
- 20.02.2006, godz. 14:24
W trakcie ubiegłotygodniowej konferencji RSA, jej uczestnicy mieli okazję nie tylko posłuchać o najnowszych zabezpieczeniach w Internet Explorerze, o zużywających się klawiszach [Ctrl]+[Alt]+[Del] wśród użytkowników Windows czy o zagrożeniach spotykanych podczas przeprowadzania transakcji online. Niektóre z firm postarały się o przygotowanie robiącej wrażenie prezentacji - na przykład Georg Kurtz (McAfee) starał się pokazać, ile interesujących danych można znaleźć korzystając wyłącznie z przeglądarki internetowej i wyszukiwarki. Postanowiliśmy pójść tym tropem i rozejrzeć się, czy rzeczywiście wyszukiwarki mogą być aż takie niebezpieczne... Okazało się, że mogą: pierwszy prywatny dokument znalazłem po 30 sekundach poszukiwań, pierwszy panel administracyjny - po 15 minutach, a pierwszą drukarkę - po godzinie.
Zanim jednak przejdziemy do sztuczek h4ck0r2ów, spróbujemy podsumować imprezę RSA Conference 2006, która odbywała się w zeszłym tygodniu w San Jose (Kalifornia, USA), a którą zorganizowała firma RSA Security. Przy okazji odpowiemy sobie na pytanie, jaką wartość dla potencjalnego użytkownika miały prezentowane tam materiały oraz czy powinniśmy w najbliższym czasie spodziewać się rewolucji, czy może ewolucji połączonej ze stopniowym edukowaniem użytkowników.
Internet Explorer 7 - lekarstwo na wszelkie bolączki
Największe kontrowersje wzbudziła zapowiedź mechanizmów bezpieczeństwa wbudowanych w IE7. Choć Microsoft bardzo stara się naprawić swój wizerunek, liczba wykrywanych w niej błędów nie napawa optymizmem (ale patrz też: "Ponarzekajmy razem na Internet Explorera").
Rewolucją w IE7 ma być mechanizm InfoCard, dzięki któremu użytkownik w bardzo wygodny sposób będzie mógł zarządzać swoimi danymi osobowymi. Bill Gates zapowiedział, że kończą się czasy, gdy na kolejnych stronach niezbędne będzie wklepywanie odpowiednich haseł i loginów, czy wypełnianie opasłych formularzy.
Co ciekawe, Access Kim Cameron - zajmujący się opieką nad wdrażaniem InfoCarda w aplikacjach MS - zaprezentował przykład witryny obsługującej InfoCard stworzonej przy pomocy PHP, dostępnego na licencji open source języka oprogramowania. Miało to rozwiać wszelkie wątpliwości sceptyków, że mechanizm związany będzie wyłącznie z Windows lub ogólniej - oprogramowaniem Microsoftu.
Odpowiedzią na problemy może być ewentualna propozycja RSA Security. Firma chce, by każdy użytkownik Sieci korzystał ze sprzętowego tokena (niewielkiego urządzenia generującego co pewien czas sześciocyfrową liczbę), który - w połączeniu z programowym tokenem w przeglądarce - zapewniałby internaucie bezpieczeństwo. Takie tokeny stosowane są już w niektórych polskich bankach - patrz choćby polskie Wiki - jako urządzenia zabezpieczające transakcję. W połączeniu z hasłem (token - "coś, co masz", hasło - "coś, co wiesz") mogą stanowić skuteczny mechanizm chroniący Sieć przyszłości. Gdyby tokeny były w stanie przeprowadzać biometryczną weryfikację użytkownika, zostałaby spełniona trzecia zasada bezpiecznego uwierzytelniania: "coś, czym jesteś".