Nieproszeni goście Web'a

Oddział do spraw zabezpieczeń komputerowych w amerykańskim Ministerstwie Energetyki poinformował użytkowników Internetu o usterce występującej w systemie zabezpieczeń popularnego oprogramowania używanego do wyświetlania dokumentów w World Wide Web.

Oddział do spraw zabezpieczeń komputerowych w amerykańskim Ministerstwie Energetyki poinformował użytkowników Internetu o usterce występującej w systemie zabezpieczeń popularnego oprogramowania używanego do wyświetlania dokumentów w World Wide Web.

Oprogramowanie - httpd wersja 1.3 for Unix - stworzył National Center for Supercomputing Applications (NCSA) podlegający National Science Foundation. Jest ono dostępne za darmo w sieci Internet.

Stosując usterkę haker może zapełnić wewnętrzne bufory serwera WWW i uzyskać nieautoryzowany dostęp. "Trudno jest się tam dostać" - twierdzi Carlos Varela asystent w dziale badań NCSA. Hakerzy w prosty sposób mogą zniweczyć swoje wysiłki przypadkowo "zabijając" serwer podczas prób uzyskania do niego dostępu.

"Jednak gdy ktoś uparcie próbuje, może się przebić. Jeśli, na dodatek, administrator źle skonfigurował system będzie on szczególnie podatny na uzyskanie nieautoryzowanego dostępu pozwalając hakerowi na otrzymanie przywilejów" - twierdzi Varela. Oddział ds. zabezpieczeń komputerowych DOE, znany pod nazwą Computer Incident Advisory Capability, po raz pierwszy ogłosił alarm, gdy niemiecka grupa poinformowała CIAC o podatności produktu na uszkodzenia.

"Nie odnotowaliśmy żadnych ataków", stwierdziła Sandy Sparks menedżer w CIAC. Sparks powiedziała także, że znalazła opublikowane w Internecie szczegółowe informacje o tym, w jaki sposób można wykorzystać "nieszczelności" aby włamać się do systemu. "Pojawianie się takich danych po ukazaniu się naszego raportu nie zaskoczyło mnie zbytnio".

W ciągu dwóch dni po ogłoszeniu alarmu NCSA udostępniło wstawkę do programu dostępną w Internecie pod adresem: comp.infosystems.www.providers.

Oprogramowanie httpd wersja 1.3 cieszy się dużą popularnością. Według Uniwersytetu Georgia Tech używa go 58% wszystkich ludzi korzystających z "homepages" na WWW. Większość z nich pracuje z wersją unixową oprogramowania dla serwera NCSA charakteryzującą się podatnością na uzyskanie nieautoryzowanego dostępu.

"Trudno jest podać dokładne dane, ale sami jesteśmy zaskoczeni liczbą użytkowników" - powiedział Jae Allen, menedżer w dziale programistycznym NCSA.

"Bardzo poważnie traktujemy dziurę w zabezpieczeniach. Staramy się także powiadomić klientów, że oprogramowanie to nie jest produktem komercyjnym. Nie dajemy żadnej gwarancji na zabezpieczenia" - twierdzi J. Allen.

NCSA stara się zapewnić swojemu darmowemu oprogramowaniu lepszy system zabezpieczeń. "Jesteśmy zainteresowani rynkiem oraz możliwościami sieci. Przez ostatnie sześć, dziewięć miesięcy próbowaliśmy współpracować z federalnymi agencjami aby nauczyć się tak dużo, jak tylko można o systemach zabezpieczeń w Internecie" - poinformował J. Allen.

Wraz ze zwiększeniem się ruchu w WWW - wg niektórych danych 1,713% w ub.r. - mamy nadzieję na szersze wykorzystanie sprzedaży elektronicznej. Równocześnie wciąż obawiamy się problemów z zabezpieczeniami.

"Ponieważ dużo ludzi zaczyna publikować w Web, oprogramowanie NCSA poddano także wielu testom. Sądzę zatem, że wykrycie błędu było dobrą wiadomością" - powiedział Nick Arnette menedżer w Velocity, firmy która zamierzała rozwinąć nowe oprogramowanie dla serwera, używające kodów źródłowych NCSA. "Wiele osób korzysta z niego ponieważ jest darmowe i działa wystarczająco dobrze".

Niektóre firmy opracowują oprogramowanie dla serwerów WWW wyposażone w na tyle dobre systemy zabezpieczeń, by stały się one produktami komercyjnymi.

"W aplikacjach komercyjnych, niezbędnym elementem staje się bezpieczeństwo" - twierdzi Jeff Treuhaft, menedżer w Netscape Communications. "RSA przyjrzało się naszemu systemowi i zatwierdziło jego system zabezpieczeń".

Bezpieczne oprogramowanie dla serwera produkcji Netscape Communications, znane pod nazwą Netsite Commerce Server, wyposażone jest w Secure Socket Layer. Poziom Secure Socket pozwala na korzystanie z autoryzacji, szyfrowania oraz usług integrujących. Wielu producentów oprogramowania dla Internetu zapowiedziało wprowadzenie Secure Hyper Text Transfer Protocol. Umożliwiłby on klientowi dobór poziomu zabezpieczeń w zależności od typu transakcji.

"Większość ludzi nie wykorzystuje Web do przekazywania ważnych informacji. Wszyscy przecież wiedzą, że systemy zabezpieczeń są niezbyt skuteczne" - twiedzi N. Arnette. W przyszłości, elektroniczny handel wymagać będzie efektywnych systemów bezpieczeństwa danych. Producenci komercyjnych pakietów dla Internetu koncentrują się zatem na wyposażaniu swych produktów w coraz lepsze systemy zabezpieczeń.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200