HEKERJI

Hekerska scena je letos eksplodirala, saj še nikoli ni bilo toliko odmevnih napadov, od Sonyjevega omrežja pa do napada na ameriško obveščevalno agencijo CIA. Kdo je kriv? Organizirani hekerji ali varnostni strokovnjaki, ki svojega dela niso opravili tako, kot bi ga morali? Dokler bodo ti, ki bi morali vedeti in bi morali znati, puščali varnostne luknje, ki jih je moč izrabiti, toliko časa bo prihajalo do hekerskih vdorov in varnostni položaj se ne bo izboljšala!

Za medijsko najodmevnejše zgodbe sta poskrbeli hekerski združenji Anonymous in LulzSec, vendar njuni člani niso edini, ki izkoriščajo slabosti spletnih strani in informacijskih sistemov. Živa je tudi scena solističnih »domačih« hekerjev oziroma ta celo raste, po zaslugi ogromnega števila hekerskih »vadnic« (tutorials), dosegljivih po spletu. Dovolj je vpisati kratek očiten iskalni niz v Googlovem iskalniku in že so na voljo številni videoposnetki tipa »how to« in navodila, kako korak za korakom izkoristiti varnostno luknjo, ki jo opisujejo. Na eni strani imamo množico posameznikov, ki bi se radi izkazali, na drugi pa tudi številne spletne strani in informacijske sisteme, katerih skrbniki varnostnih lukenj še niso zakrpali oziroma tega niso storili iz drugih, nerazumljivih razlogov.

Ne samo da je večina teh »navodil« brezplačnih, nekatera v resnici tudi delujejo. Podjetje CCP Group je izvedlo nadzorovan učilniški eksperiment, izsledke pa nato objavilo na svoji spletni strani (http://tinyurl.com/6azlj3a). Začetnikom – posameznikom z osnovnim računalniškem znanjem, ki so skupaj sedeli v učilnici, vsak pred svojim računalnikom, je uspelo pridobiti vstopna gesla svojih »sošolcev« z uporabo napada »mož v sredini« (man in the middle). In to skoraj takoj po tem, ko so si ogledali 14-minutni videoposnetek, v katerem je bilo na razumljiv način korak za korakom razloženo, kako tak napad izpeljati, hkrati pa je vseboval tudi povezave do potrebnih brezplačnih hekerskih orodji.

V YouTubu mrgoli »etičnih« videoposnetkov za navodili za hekerje. Malce preko tisoč jih razlaga napad tipa mož v sredini, skoraj dvajset tisoč pa, kako vdreti v Facebook. Da je zakonom zadoščeno, jih je večina opremljena z opozorilom, da jih ne smete uporabljati v škodljive namene in da ne smete vdreti v računalnik, spletno stran ali sistem brez dovoljenja lastnika ter da so objavljeni izključno v izobraževalne namene. Ni malo takih, ki zagovarjajo prepoved objavljanja teh vsebin, vendar po našem mnenju ni problem v obstoju »receptov«, večji problem je, da delujejo. Res pa je, da če ne bi bilo varnostnih lukenj, o katerih nas programske hiše stalno preprečujejo, da se jim je nemogoče izogniti, saj gre za programiranje, tudi teh navodil ne bi bilo. Kdo pa bi se upal blamirati in objavljati nekaj, kar ne deluje? So videoposnetki in besedila problem? O tem bi lahko razpravljali! Morda nas lahko skrbi, da hekerska navodila kažejo, kako preprosti so lahko vdori. A po drugi strani bi to moralo biti opozorilo skrbnikom, še več, ti bi jih morali redno spremljati in skrbeti, da so njihovi sistemi varni. Bankam ne pade na pamet, da bi denar hranile v lesenih omarah, nato pa krivdo za tatvino zvalile izključno na roparje. Namesto tega imajo trezorje! Enako bi moralo veljati za spletne strani, računalnike in informacijske sisteme, ki bi morali biti tako varni, da »petminutni« heker niti po naključju ne bi mogel vdreti vanje.
Googlove tvegane strani

Googlova funkcija dinamičnega (sprotnega) iskanja omogoča prikaz potencialnih iskanih strani, še preden do konca vpišemo iskalni niz. S tem privarčujemo morda dve sekundi, kolikor je potrebno, da pritisnemo tipko Enter. Kakšen smisel ima to, je drugo vprašanje. Razburjajo se le avtorji strani, ki niso visoko uvrščene in jih zato ni med sprotnimi zadetki.

Varnostni strokovnjaki pa so pokazali na drug problem, ki je posledica Googlove »obsesije« z varčevanjem s časom. Funkcija dinamičnih strani (instant pages) deluje tako, da se strani delno že naložijo oziroma pametni algoritem med tipkanjem iskalnega niza, dobesedno po vpisu prve črke, začne odločati, katere so take strani, te pa se med tem, ko iščemo na tipkovnici naslednji znak, v ozadju nalagajo v sistem. Nato pa sistem svojo odločitev sproti korigira med pisanjem iskalnega niza do konca. Kakšen je smisel tega? Da je stran na voljo dobesedno takoj in ni treba po kliku na povezavo počakati par sekund, da se naloži. Lahko nekaj sekund odloča med »življenjem in smrtjo«, ko je govor o spletnem iskanju? Morda, če morate na hitro odgovoriti na radijsko vprašanje, ki obljublja zanimive nagrade! Dejstvo, da se spletna stran naloži v sistem, ne da bi aktivno kliknili povezavo, je lahko potencialno varnostna grožnja. Google ima vpeljane filtre, ki preprečujejo, da bi se okužene spletne strani sploh pojavile med rezultati iskanja, vendar se avtorji škodljivih kod in okuženih spletnih stran z vsemi močmi trudijo, da bi filtre obšli. Obstaja torej možnost, da se okužena stran pojavi med rezultati, kakor tudi, da se vnaprej naloži. Google seveda to možnost zanika in stavi na svoje filtre. Olajševalna okoliščina je, da funkcija deluje le v brskalniku Chrome, znano pa je, da te vrste okuženih spletnih strani, torej strani, pri katerih je za okužbo dovolj odpreti strani, največkrat izkoriščajo luknje v Internet Explorerju. Največkrat, ne pa vedno! V skrajnem primeru bi se zaradi delovanja funkcije dinamičnih strani uporabnik lahko okužil s škodljivo kodo, ne da bi okuženo stran sploh obiskal oziroma kliknil na povezavo do okužene strani. Kar je načeloma lahko velika težava, toliko bolj, ker se bo ta funkcija prej ali pozneje pojavila tudi v drugih brskalnikih.

WordPress Themes