Podpis według wzoru

Wiedeńska konferencja RSA 2005 była w dużej mierze poświęcona podpisowi elektronicznemu i sposobom jego upowszechnienia na potrzeby inicjatyw e-government. Nie zabrakło jednak wątków związanych z badaniami nad atakami i metodami zabezpieczania się przed nimi.

Wiedeńska konferencja RSA 2005 była w dużej mierze poświęcona podpisowi elektronicznemu i sposobom jego upowszechnienia na potrzeby inicjatyw e-government. Nie zabrakło jednak wątków związanych z badaniami nad atakami i metodami zabezpieczania się przed nimi.

Europejska edycja konferencji RSA, która odbywała się w Wiedniu w dniach 17-19 października, przyciągnęła ok. 1,3 tys. osób, co, biorąc pod uwagę fakt, że jest to konferencja bardzo specjalistyczna, potwierdza jej prestiżowy status. Na RSA 2005 występowało 115 prelegentów, którzy wygłaszali wykłady w dziewięciu ścieżkach tematycznych począwszy od biznesowej, przez nowe trendy w atakach sieciowych, aż po implementacje technik zabezpieczeń. Sporo miejsca poświęcono również zarządzaniu i ochronie tożsamości, bezpieczeństwu usług sieciowych oraz standaryzacji i regulacjom prawnym.

E-government w praktyce

Leon Sprooten, przedstawiciel holenderskiej instytucji UWV, pełniącej funkcje podobne do naszego ZUS-u, wystąpił z prezentacją systemu informatycznego obsługującego obecnie 400 tys. pracodawców, 8,5 mln pracowników i 18 tys. osób zatrudnionych przez UWV. Niejako przy okazji UWV stał się centralnym, krajowym usługodawcą elektronicznego uwierzytelnienia obywateli za pomocą DigiD (elektroniczny dowód osobisty). Z usług UWV w celu potwierdzenia tożsamości korzysta cały szereg innych holenderskich instytucji rządowych, dzięki czemu uniknięto wdrażania odrębnych systemów logowania do systemów każdego z nich. Obywatele rejestrują się w systemie tylko raz, właśnie w UWV. Docelowo w 2007 r. 2/3 wszystkich kontaktów z władzami ma przebiegać drogą elektroniczną.

Publiczna część systemu została oparta na otwartych technologiach, takich jak SOAP i XML. Dane do systemu można wprowadzać na różne sposoby i w wielu formatach, począwszy od dokumentów papierowych, przez e-mail, formularze WWW, aż po dostęp przez usługi sieciowe (aplikacje). Transakcje są przetwarzane przez system mainframe. Jako jedną z podstawowych zasad podczas projektowania systemu przyjęto korzystanie z otwartych standardów i oprogramowania open source. Znacząco obniżono w ten sposób koszty oraz wyeliminowano uzależnienie od jednego dostawcy. System posiada interfejsy przeznaczone do bezpośredniej obsługi przez pracodawców i pracowników, np. zgłaszających fakt przejścia na zwolnienie chorobowe, dlatego musiał zostać wyposażony w system silnego uwierzytelnienia. UWV wykorzystała trzy poziomy uwierzytelnienia: pracownicy jako osoby fizyczne uwierzytelniają się kartą DigiD, pracodawcy za pomocą loginu i hasła z szyfrowaniem SSL, natomiast dla personelu UWV wdrożono uwierzytelnienie tokenami RSA SecurID.

Pracownicy UWV przygotowując system spędzili większość czasu na określaniu własnych potrzeb i planowaniu. Samo wdrożenie było stosunkowo szybkie, podobnie jak główne procesy decyzyjne. W ten sposób udało się zachować zarówno ramy czasowe projektu, jak i jego budżet. Dzięki wdrożeniu UWV ograniczyła koszty administracyjne o 25% i liczbę urzędników z 20 do 18 tys. Czytelników Computerworld zainteresuje zapewne fakt, że holenderski system został wdrożony w ciągu zaledwie 8 (słownie ośmiu) miesięcy. Przy naszym systemie KSI ZUS, CEPiK, obsługującym dopłaty dla rolników i innych "projektach", wydaje się mgnieniem oka.

Podpis elektroniczny

Podpis elektroniczny nie tylko w Polsce budzi ożywione dyskusje i na konferencji RSA również był głównym przedmiotem co najmniej trzech wystąpień i dyskusji panelowych. Według wielu dyskutantów z podpisem elektronicznym wiązano zbyt duże nadzieje, które były stopniowo niweczone przez niedostatki prawne i standaryzacyjne. Zbytnie skomplikowanie e-podpisu to najczęściej przywoływana przyczyna braku odpowiedzi rynku na ustawodawstwo. Innym problemem, na jaki wskazywano, jest brak przygotowania sądów do oceny rzetelności podpisu elektronicznego. Przedstawiono kuriozalny przypadek z Grecji, gdzie sędzia zdecydował, że ważnym podpisem elektronicznym jest... adres e-mail, ignorując całkowicie argumentację dowodzącą łatwości jego sfałszowania. Jeden z dyskutantów podczas panelu poświęconego podpisowi elektronicznemu powiedział wprost, że w sytuacji kiedy rynek praktycznie zignorował ten temat, użytkownicy nie widzą potrzeby kupowania certyfikatów, a sądy nie mają doświadczenia w orzekaniu w sprawach spornych związanych z e-podpisem, "mówienie o powszechnym wprowadzeniu elektronicznych dowodów tożsamości zakrawa na żart".

SQL injection

Jak zwykle na konferencjach RSA sporo miejsca poświęcono nowym technikom ataków oraz obrony przed nimi. W sesji bazodanowej omawiano nowe aspekty ataków na aplikacje webowe z wykorzystaniem SQL injection. Prowadzący Amichai Schulman przekonywał, że według doświadczeń zebranych podczas prowadzonych przez niego testów penetracyjnych na nieautoryzowane wykonywanie poleceń SQL jest podatne ponad 2/3 aplikacji WWW . Są one wynikiem błędów popełnianych przez programistów, którzy budują kompletne zapytania SQL z fragmentów składanych m.in. z danych przysłanych z zewnątrz przez użytkownika. Odpowiednie sformatowanie tych fragmentów przy braku ich filtrowania na wejściu do systemu pozwala atakującemu nie tylko na swobodne przeglądanie całej zawartości bazy, ale i blokowanie jej (ataki DoS), kasowanie i dodawanie rekordów.

Schulman zaprezentował nowatorskie metody eksploracji struktury baz danych (wykrywania typów poszczególnych pól, liczby rekordów i innych parametrów) oraz - co istotniejsze - metody unikania wykrycia przez systemy IDS. Schulman przekonywał, że dla atakującego dobrze znającego SQL możliwości ukrycia swoich manipulacji w bazie są nieograniczone. Idzie za tym zmniejszona wykrywalność takich ataków przez systemy IDS. Według autora prezentacji, obrona przed atakami typu SQL injection powinna zaczynać się tam, gdzie powstają umożliwiające te ataki dziury - to znaczy we wnętrzu aplikacji i jej styku z bazą danych. Systemy IDS "uczulone" na komendy SQL można traktować jedynie jako pomocnicze zabezpieczenie.

Jako główne techniki podnoszące bezpieczeństwo aplikacji Schulman wymienił korzystanie z parametryzacji zapytań SQL (np. bind variables w Oracle), zamiast budowania ich ze sklejanych fragmentów kodu przesłanych przez aplikację działającą w przeglądarce. Kolejny ważny krok to kontrola parametrów na wejściu, np. określenie dopuszczalnego zestawu znaków w poszczególnych parametrach, przykładowo nazwisko nie zawiera cyfr, data urodzenia - liter, a w żadnym z nich nie powinien występować średnik czy apostrof.

Według Schulmana autorzy aplikacji nie doceniają także mechanizmów ochronnych zapewnianych przez same bazy danych, np. systemów uprawnień i list dostępowych (ACL) do poszczególnych rekordów czy tabel. Także separacja przywilejów pomiędzy modułami programu pozwala uniknąć rozszerzenia uprawnień do całej bazy.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200