Helion - "WWW - bezpieczeństwo i handel", rozdział 1

Rozdział 1.
Bezpieczeństwo WWW
w zarysie

Simon Garfinkel i Gene Spafford

W tym rozdziale przyjrzymy się podstawowym zagadnieniom bezpieczeństwa WWW. Omówimy zagrożenia płynące z prowadzenia serwera WWW i podamy informacje, które posłużą jako podstawa do zrozumienia sposobów obrony przed tymi zagrożeniami. Przyjrzymy się także mitom otaczającym zagadnienia bezpieczeństwa WWW, przeanalizujemy, co firmy mają na myśli mówiąc o "bezpiecznych serwerach" i rozważymy ogólne strategie zmniejszania ryzyka wiążącego się z utrzymywaniem serwera i publikowaniem informacji na stronach WWW.

W tym rozdziale:

Bezpieczeństwo WWW w pigułce
Problem bezpieczeństwa WWW
Karty kredytowe, szyfrowanie i WWW
Firewall jako element rozwiązania problemu

Zarządzanie ryzykiem

Bezpieczeństwo WWW w pigułce

W książce Bezpieczeństwo w UNIX-ie i Internecie podaliśmy prostą definicję bezpieczeństwa komputerowego: Komputer jest bezpieczny, jeśli można zawierzyć, że sprzęt i działające na nim oprogramowanie będzie się zachowywało zgodnie z oczekiwaniami użytkownika.

W świetle tej definicji bezpieczeństwo WWW jest zbiorem procedur, metod i technologii używanych do zabezpieczania serwerów WWW, użytkowników oraz stojących za nimi organizacji. Zabezpieczenia mają ochraniać użytkowników przed zachowaniem komputerów niezgodnym z oczekiwaniami.

Dlaczego bezpieczeństwo WWW wymaga szczególnej uwagi, wykraczającej poza normalne zagadnienia zabezpieczania komputerów i bezpieczeństwa w Internecie? Dzieje się tak dlatego, iż WWW zmieniła wiele tradycyjnych założeń dotyczących bezpieczeństwa komputerów i publikowania informacji:

Internet jest siecią dwukierunkową. Umożliwia on publikowanie na serwerach informacji dostępnych dla milionów osób; pozwala także wszelkiego rodzaju hackerom, włamywaczom, wandalom i kryminalistom na włamywanie się do komputerów, na których działają serwery WWW. Zagrożenia te nie występują w większości innych mediów, takich jak gazety czy czasopisma, ani w innych środowiskach elektronicznych takich jak teletekst czy systemy automatycznej informacji telefonicznej i faksowej.

Sieć WWW jest coraz szerzej wykorzystywana przez firmy i rządy do prezentowania ważnych informacji i przeprowadzania transakcji handlowych. Złamanie zabezpieczeń serwerów WWW może nie tylko doprowadzić do strat finansowych, lecz również nadwerężyć reputację użytkowników.

Choć sama sieć WWW jest prosta w użyciu, serwery i przeglądarki WWW są wysoce skomplikowanymi programami, będącymi potencjalnym źródłem wielu błędów i zagrożeń bezpieczeństwa. W przeszłości programy te wielokrotnie uzupełniano o nowe funkcje, nie zwracając przy tym dostatecznej uwagi na sprawy bezpieczeństwa. Z tego względu nawet poprawnie zainstalowane oprogramowanie może stwarzać zagrożenia bezpieczeństwa.

Raz złamane zabezpieczenia przeglądarki lub serwera WWW mogą zostać wykorzystane przez atakujących jako punkt wyjścia do dalszych ataków na użytkowników i organizacje.

Usługi dostępne w sieci WWW wykorzystywane są na ogół przez przeciętnych użytkowników, nie posiadających specjalnej wiedzy ani doświadczenia. Aktualnie dostępne oprogramowanie wymaga od użytkownika częstego podejmowania decyzji związanych z kwestiami bezpieczeństwa, nie dając mu jednocześnie wystarczającej ilości informacji do podjęcia świadomego wyboru.

Naprawienie skutków naruszenia bezpieczeństwa pochłania znacznie więcej czasu i środków, niż zabezpieczenie komputera przed atakiem.

Dlaczego należy zająć się bezpieczeństwem WWW?

WWW jest najszybciej rozwijającą się gałęzią Internetu; niestety jest to także część najbardziej wrażliwa na wszelkiego rodzaju ataki.

Istnieje wiele powodów, dla których serwery WWW są atrakcyjnymi celami dla wszelkiego rodzaju napastników.

Rozpowszechnianie informacji

Serwery WWW to oblicze organizacji i firm, dostępne dla szerokiego kręgu odbiorców Internetu i całego "świata elektronicznego". Udany atak na serwer jest wydarzeniem publicznym, które w ciągu kilku godzin może zostać zauważone przez setki tysięcy osób. Ataki mogą być wykonywane z pobudek ideologicznych lub finansowych, choć mogą to być także zwyczajne akty bezinteresownej złośliwości.

Handel

Wiele serwerów WWW związanych jest z możliwościami dokonywania operacji finansowych. Pierwotnym powodem wyposażenia programu Netscape Navigator i innych przeglądarek WWW w protokoły kryptograficzne było umożliwienie użytkownikom przesyłania przez Internet numerów kart kredytowych bez obaw o ich przechwycenie i wykorzystanie przez niepowołane osoby. W efekcie tego liczne serwery WWW stały się składnicami ważnych i poufnych informacji finansowych, co uczyniło je bardzo atrakcyjnym obiektem wszelkiego rodzaju ataków. Interesującym celem dla włamywaczy są również usługi komercyjne udostępniane przez takie serwery.

Informacje prywatne

Firmy wykorzystują sieć WWW zarówno jako prosty środek wewnętrznej wymiany informacji (pomiędzy własnymi pracownikami), jak również do komunikacji z odbiorcami zewnętrznymi na przykład z partnerami firmy rozsianymi po całym świecie. Zastrzeżone informacje firmowe są atrakcyjnym celem zarówno dla wrogów firmy, jak i dla jej konkurentów.

Dostęp do sieci

Ze względu na to, iż serwery WWW wykorzystywane są zarówno przez pracowników firmy, jak i przez osoby spoza niej, stanowią one faktyczny pomost pomiędzy światem zewnętrznym, a wewnętrzną siecią firmy. Taka uprzywilejowana pozycja w sieci czyni z nich idealny cel ataku serwer, do którego udało się włamać, może być z powodzeniem użyty do dalszych ataków na inne komputery podłączone do wewnętrznej sieci firmowej.

Ogromne możliwości technologii WWW sprawiają niestety, że serwery i przeglądarki są czułym punktem systemu zabezpieczeń, szczególnie narażonym na ataki.

Rozszerzalność serwerów

Ze względu na swoje przeznaczenie, serwery WWW projektowane były z myślą o możliwościach ich rozbudowy. Możliwości te pozwalają na podłączanie serwerów do baz danych, systemów oprogramowania starszej generacji oraz wszelkich innych programów działających w sieciach firmowych. Jeśli moduły dołączane do serwerów WWW nie zostaną zainstalowane poprawnie, mogą stanowić źródło zagrożenia bezpieczeństwa całej sieci firmowej.

Rozszerzalność przeglądarek

Podobnie jak serwery WWW, również przeglądarki mogą być rozszerzane. Dostępne obecnie technologie i narzędzia, jak ActiveX, Java, JavaScript, VBScript czy aplikacje pomocnicze, pozwalają na wzbogacenie możliwości przeglądarek o funkcje niedostępne w standardzie HTML. Niestety, technologie te mogą zostać wykorzystane także przeciwko użytkownikom przeglądarek często bez ich wiedzy.

Możliwość przerwania usługi

Ze względu na to, iż technologia WWW bazuje na rodzinie protokołów TCP/IP, jest ona narażona na przerwanie wykonywania usługi. Może ono być przypadkowe, ale może również wynikać z ataku metodą blokady usługi (ang. denial-of-service attack) Osoby korzystające z WWW muszą zdawać sobie sprawę z możliwości awarii i muszą być przygotowane na przerwanie działania usługi.

Złożoność usług pomocniczych

Poprawne funkcjonowanie przeglądarki WWW wymaga współpracy z usługami zewnętrznymi, takimi jak DNS (ang. Domain Name Service serwis nazw domenowych) czy trasowanie (ang. IP routing). Działanie usług pomocniczych nie zawsze jest stuprocentowo wiarygodne i stabilne, narażone jest także na błędy, awarie i ataki włamywaczy. Dywersja w obszarze usług niższego poziomu może więc również spowodować błędne działanie przeglądarek.

Pośpiech w tworzeniu oprogramowania

Gwałtowny rozwój WWW i handlu elektronicznego napędzany był (i wciąż jest) szalonym pędem do wprowadzania ulepszeń i dodawania nowych możliwości. Producenci oprogramowania oferują nowe wersje aplikacji wyposażone w nowe opcje, często nie przykładając należytej (lub żadnej) uwagi do starannego projektowania i testowania, także pod względem bezpieczeństwa. Siły rynku i mechanizmy konkurencji zmuszają użytkowników do zaakceptowania nowych wersji programów, które jednak nie zawsze są zgodne z wersjami poprzednimi i mogą także zawierać nowe słabe punkty, których istnienia użytkownicy nie będą świadomi.

Rozwiązanie powyższych problemów polega nie na odrzuceniu istniejących technologii, lecz na zaakceptowaniu ich ograniczeń i koniecznych środków bezpieczeństwa. Należy także być świadomym ograniczeń wykorzystywanych systemów i odpowiednio przygotować się na potencjalne awarie i wypadki.

Terminologia

Pisząc tę książkę założyliśmy, że użytkownik będzie znał podstawowe zagadnienia związane z Internetem i WWW. Jednakże wiele podobnych pojęć opisywanych jest za pomocą bardzo różnych określeń, dlatego też w tej części rozdziału przedstawimy podstawowe terminy używane w książce.

Sieć komputerowa jest zbiorem komputerów połączonych fizycznie i logicznie w celu wzajemnej wymiany informacji. Sieci lokalne (LAN Local Area Network) są sieciami, w których wszystkie komputery są fizycznie podłączone do krótkich (liczących nie więcej niż kilkaset metrów) odcinków kabla Ethernet, token-ring lub do tego samego koncentratora sieciowego. Sieci rozległe (WAN Wide Area Network) są sieciami w których poszczególne komputery oddalone są od siebie na znaczne odległości od kilku do tysięcy kilometrów. Intersieć (ang. internetwork) jest natomiast siecią sieci komputerowych. Największą istniejącą intersiecią jest Internet, który został stworzony na początku lat 70 i bazuje na protokole IP (Internet Protocol).

Informacje podróżujące po Internecie podzielone są na małe fragmenty zwane pakietami. Sposób podziału danych na pakiety i ich ponownego łączenia po przesłaniu określony jest przez protokół IP. Informacje przekazywane przez użytkownika mogą być przesyłane strumieniami za pomocą protokołu TCP/IP (Transmission Control Protocol/Internet Protocol) lub w postaci serii pakietów za pomocą protokołu UDP (User Datagram Protocol). Do przesyłania informacji kontrolnych stosowane są jeszcze inne protokoły.

Komputery mogą być włączone do jednej lub kilku sieci. Komputer włączony do przynajmniej jednej sieci nazywany jest hostem (lub komputerem głównym). Komputery włączone jednocześnie do kilku sieci nazywane są hostami "wielosieciowymi" (ang. multi--homed host). Komputer automatycznie przekazujący transmitowane pakiety z jednej sieci do drugiej zwany jest bramą (ang. gateway). Bramy badające pakiety i określające, do jakich sieci należy je dalej przesłać, określane są mianem ruterów (ang. router). Komputery mogą także działać jako regeneratory (ang. repeater), czyli po prostu retransmitować wszystkie odebrane pakiety z jednej sieci do innej, lub jako mosty (ang. bridge), kiedy do innej sieci przekazywane są jedynie te pakiety, które mają do niej trafić. Firewall to specjalny komputer podłączony do dwóch sieci i wykorzystywany do selektywnego przekazywania informacji. Rozróżniane są dwa podstawowe typy firewalli. Pierwszym z nich są firewalle filtrujące pakiety, które analizują wszystkie przesyłane pakiety i na podstawie ich zawartości decydują, czy konkretny pakiet ma zostać przekazany do sieci docelowej, czy też nie. Drugim rodzajem są firewalle implementowane w postaci tak zwanych aplikacji pośredniczących (ang. proxy) i operują na wyższym poziomie od firewalli filtrujących pakiety. Ze względy na to, że firewall ściśle kontroluje przesyłaną pomiędzy sieciami informację, uważa się powszechnie, iż jego użycie znacznie poprawia bezpieczeństwo systemu komputerowego.¹

Większość usług internetowych oparta jest ma modelu klient-serwer. W modelu tym jeden program prosi inny o wykonanie określonej usługi. Oba programy mogą działać na tym samym komputerze, lub (znacznie częściej) na dwóch różnych komputerach. Program żądający wykonania usługi nazywany jest klientem, a program realizujący tę usługę serwerem. Zdarza się też, że słowa klient i serwer używane są w odniesieniu do komputerów, choć z technicznego punktu widzenia nie jest to poprawne. Większość programów-klientów jest zazwyczaj wykonywana na komputerach osobistych, pracujących np. pod nadzorem systemu operacyjnego Windows 95 lub MacOS. Z kolei oprogramowanie serwerów zazwyczaj wykonywane jest na komputerach UNIX-owych lub pracujących w systemie Windows NT. Jednakże rozróżnianie klientów i serwerów sieciowych ze względu na system operacyjny nie jest zbyt dobrym pomysłem, gdyż obie te klasy programów są dostępne praktycznie dla wszystkich systemach operacyjnych.

Sieć World Wide Web została wymyślona w 1990 roku przez Tima Bernersa-Lee, pracownika Europejskiego Laboratorium Fizyki Cząstek (CERN) w Szwajcarii. Sieć zrodziła się jako wizja sposobu publikowania w Internecie artykułów z dziedziny fizyki bez konieczności zmuszania naukowców do żmudnego kopiowania i drukowania plików. WWW, pierwotnie opracowana na platformie komputerów NeXT, nie zyskała szerszego rozgłosu aż do momentu, gdy grupa pracowników Uniwersytetu Stanu Illinois w Champaign-Urbana stworzyła przeglądarkę Mosaic, działającą w systemach MacOS i Windows. Pierwszym, który zdał sobie sprawę z potencjału handlowego nowej technologii, był biznesmen z Doliny Krzemowej, Jim Clark. On to założył firmę Mosaic Communications, której celem była komercjalizacja WWW. Clark zaprosił do współpracy Marca Andreessena, szefa grupy twórców przeglądarki Mosaic. Niedługo potem w firmie Mosaic Communications powstała nowa wersja przeglądarki, której nadano nazwę Mozilla, zmienioną następnie na Netscape. Firma Clarka zmieniła wkrótce nazwę na Netscape Communications, a przeglądarkę nazwano Nestscape Navigator.

Informacje dostępne w sieci WWW prezentowane są w postaci stron. Strony te tworzone są za pomocą specjalnego języka o nazwie HTML (ang. HyperText Markup Language). Strony WWW są zazwyczaj przechowywane na dedykowanych komputerach zwanych serwerami WWW. Określenie serwer WWW stosowane jest zarówno w odniesieniu do komputera, na którym przechowywane są strony WWW, jak i do programu działającego na tym komputerze i odpowiedzialnego za odbieranie żądań dostępu do stron i transmitowanie odpowiednich dokumentów HTML do użytkowników. Zarówno żądania dostępu do stron WWW, jak i same strony przekazywane są za pomocą komunikatów o postaci określonej protokołem HTTP (ang. HyperText Transfer Protocol).

Oprócz przesyłania plików, serwer WWW może w odpowiedzi na odpowiednie żądanie wykonać wskazany program. Pierwotnie, programy takie uruchamiane były poprzez interfejs programowy o nazwie CGI (ang. Common Gateway Interface). Choć CGI oferuje proste metody uruchamiania na serwerze WWW nawet złożonych programów (np. przeszukania bazy danych), to jednak nie jest to technologia efektywna, wymaga bowiem uruchomienia oddzielnego programu dla każdego zgłoszonego żądania. Znacznie bardziej efektywne jest nakazanie wykonania odpowiedniej czynności samemu programowi serwera. Osiąga się to poprzez użycie jednego z kilku dostępnych obecnie interfejsów programowych serwera (ang. API, Applications Programming Interface), np. NSAPI (Netscape API).

Na komputerach, na których pracują serwery WWW, można także uruchamiać inne serwery np. serwery poczty elektronicznej, grup dyskusyjnych (news) lub serwery DNS. Można także zezwolić użytkownikom na logowanie i interaktywną pracę w systemie operacyjnym serwera, choć z punktu widzenia bezpieczeństwa nie jest to dobry pomysł.

Technologia WWW została stworzona z myślą o rozpowszechnieniu jej w Internecie. W latach 1995 i 1996 wiele firm, w tym także Netscape, uświadomiło sobie, że znacznie większym rynkiem dla ich produktów (przynajmniej w pierwszym okresie rozwoju) są firmy pragnące wykorzystać WWW do publikowania informacji i dostarczania usług swoim własnym pracownikom. Sieci firmowe, izolowane od świata zewnętrznego, nazywane są intranetami; słowo to ma zaznaczyć, iż celem tych sieci jest udostępnianie informacji wewnątrz firmy, a nie przekazywanie ich pomiędzy firmami.

Wirus to złośliwy program komputerowy, który potrafi tworzyć swoje kopie i dołączać je do innych programów. Robaki (ang. worm) jest programem zbliżonym do wirusa, jednak jego działanie polega na rozsyłaniu swoich kopii do innych komputerów, gdzie są one wykonywane jako niezależne programy. Istnieją także konie trojańskie programy, które pozornie wykonują jakąś użyteczną operację, jednak de facto ich zadaniem jest zaszkodzenie użytkownikowi. Dla przykładu, koniem trojańskim będzie program, który przedstawia się jako elektroniczna książką adresowa, zaś po uruchomieniu powoduje sformatowanie twardego dysku.

Cóż to jest "bezpieczny serwer WWW"?

Określenie "bezpieczny serwer WWW" ma kilka interpretacji, zależnych od punktu widzenia i umiejscowienia podmiotu w kręgach komputerowych.

Dla firm opracowujących i sprzedających serwery określenie to oznacza, iż oprogramowanie serwera wykorzystuje protokoły szyfrujące, dzięki którym informacje przekazywane pomiędzy przeglądarką i serwerem nie mogą zostać przechwycone i użyte przez niepowołane osoby.

Dla użytkowników bezpieczny serwer WWW to taki, który chroni odbierane i przechowywane w swoich zasobach informacje prywatne, nie udostępniając ich osobom niepowołanym. Bezpieczny serwer umożliwia zachowanie prywatności użytkownika i nie dopuszcza do przeniknięcia na jego komputer (poprzez przeglądarkę) wirusów i innych niebezpiecznych programów.

Dla firm posiadających własne serwery WWW, pojęcie "bezpieczny serwer" oznacza serwer odporny na celowe ataki przeprowadzane zarówno z zewnątrz (z Internetu), jak i przez użytkowników mających dostęp do wewnętrznej sieci firmy.

Bezpieczny serwer WWW musi spełniać wszystkie powyższe kryteria krótko mówiąc, jest to serwer, któremu można w pełni zaufać. Serwer taki musi spełniać jeszcze kilka dodatkowych warunków. Jego zawartość musi być zabezpieczona poprzez utworzenie kopii zapasowych lub za pomocą serwera lustrzanego (ang. mirror), dzięki czemu w razie awarii sprzętu lub oprogramowania będzie go można szybko ponownie uruchomić. Poza tym serwer musi być rozszerzalny, aby mógł zapewnić właściwą obsługę ruchu o dużym natężeniu.

Niestety, używane przez twórców serwerów określenie "bezpieczny serwer WWW" prawie zawsze oznacza tylko i wyłącznie serwer, w którym zastosowane zostały protokoły kryptograficzne. Protokoły te umożliwiają wymianę informacji pomiędzy przeglądarką i serwerem bez niebezpieczeństwa ich przechwycenia i podsłuchania w trakcie transmisji. Szyfrowanie danych jest powszechnie uważane za podstawowy i niezbędny wymóg dla realizacji transakcji handlowych w Internecie.

Jak pokażemy w książce, chociaż protokoły kryptograficzne są niewątpliwie użytecznym środkiem zabezpieczającym informacje przed podsłuchiwaniem, nie są one ani niezbędne do zapewnienia bezpieczeństwa WWW, ani też wystarczające, by je zapewnić. Dlatego też serwery z wbudowanymi protokołami kryptograficznymi będziemy nazywali serwerami umożliwiającymi szyfrowanie, a nie "bezpiecznymi serwerami WWW". Aby zrozumieć różnicę pomiędzy tymi określeniami, posłużymy się analogią, której Gene Spafford używał przez kilka ostatnich lat:

"Bezpieczne" serwery WWW są odpowiednikami pojazdów pancernych. Problem polega na tym, iż są one używane do przekazywania bilonu i czeków wypisanych ołówkiem od ludzi stojących na rogu ulicy do bankierów pracujących w samochodowych przyczepach na parkingach przy autostradzie. Co więcej, na ich drodze często zdarzają się nieprzewidziane objazdy, działanie świateł ulicznych kontrolować może każdy, kto ma śrubokręt, a policja nie istnieje.

Jak zobaczymy, bezpieczeństwo WWW wymaga znacznie więcej, niż jedynie zabezpieczenia przed podsłuchiwaniem.

Problem bezpieczeństwa WWW

Na całość zagadnienia bezpieczeństwa WWW składają się trzy podstawowe części:

Zabezpieczenie serwera WWW oraz zgromadzonych na nim danych. Użytkownik serwera musi mieć pewność, że ten ostatni będzie działał poprawnie i nieprzerwanie, zgromadzone na nim informacje nie zostaną zmodyfikowane przez nieupoważnione osoby, a dane będą udostępniane tylko tym użytkownikom, dla których są przeznaczone.

Zabezpieczanie informacji przekazywanych pomiędzy serwerem i użytkownikiem. Należy tu zapewnić, by informacje przekazywane przez użytkowników do serwera (nazwy kont, hasła, informacje finansowe itp.) nie mogły być odczytane, zmodyfikowane lub zniszczone przez żadne niepowołane osoby. Wiele systemów sieciowych jest szczególnie wrażliwych na podsłuchiwanie, gdyż informacje przekazywane są do wszystkich komputerów włączonych do sieci lokalnej.

Zabezpieczanie komputera użytkownika. Użytkownik musi być przekonany, że kopiowane na jego komputer informacje, dane i pliki nie spowodują żadnej szkody w przeciwnym wypadku nie będzie zbyt skłonny do korzystania z danej usługi. Niezbędna jest również metoda weryfikacji, czy skopiowane przez użytkownika informacje używane są w sposób kontrolowany i zgodny z założeniami umowy licencyjnej i prawa autorskiego.

Oprócz kwestii opisanych powyżej, w specyficznych przypadkach mogą pojawić się dodatkowe wymagania. Oto kilka przykładowych problemów, przed którymi możemy stanąć:

Weryfikacja tożsamości użytkownika na serwerze.

Weryfikacja tożsamości serwera u użytkownika.

Zapewnienie terminowej, wiarygodnej i pozbawionej powtórzeń wymiany danych pomiędzy serwerem a klientem.

Rejestracja i sprawdzanie informacji o dokonywanych transakcjach dla potrzeb fakturowania, rozwiązywania konfliktów lub wyjaśniania nadużyć.

Wyrównywanie obciążenia pomiędzy serwerami.

Poprawne rozwiązanie wszystkich tych zagadnień będzie wymagało odpowiedniej koordynacji omówionych trzech podstawowych elementów bezpieczeństwa WWW, jak również odpowiedniego wsparcia służących im za bazę sieci i systemów operacyjnych.

Zabezpieczanie serwerów WWW

Zabezpieczanie serwerów WWW jest procesem dwuetapowym. Etap pierwszy polega na zabezpieczeniu samego komputera z wykorzystaniem tradycyjnych mechanizmów bezpieczeństwa. Mechanizmy te zapewniają uprawnionym użytkownikom odpowiednie możliwości wykonywania swoich zadań i nic ponad to. Możemy więc zezwolić anonimowym użytkownikom na odczytanie naszej głównej strony WWW, nie damy im natomiast możliwości zamknięcia systemu czy modyfikowania systemowych plików rozliczeń użytkowników. Omówione metody pozwalają także zapewnić, że nieupoważnione osoby, nie będące użytkownikami systemu, nie będą mogły włamać się do niego z Internetu i przejąć nad nim kontroli. Dyskusję kilku ogólnych technik zabezpieczania komputerów zamieszczono w rozdziale 13, Bezpieczeństwo hosta i witryny; dodatkowe informacje można też znaleźć w dodatku D Materiały źródłowe.

Zagadnienie bezpieczeństwa serwera komplikuje się znacznie w przypadku, gdy komputer jest wykorzystywany jednocześnie jako tradycyjna maszyna wielozadaniowa i serwer WWW. Dzieje się tak dlatego, iż serwer WWW może zostać użyty do wykrycia luk w systemie zabezpieczeń komputera, a te z kolei można wykorzystać do badania nieszczelności zabezpieczeń serwera WWW. Dla przykładu, błędnie napisany skrypt CGI może posłużyć do zmodyfikowania pliku konfiguracyjnego serwera WWW, co pozwala np. na przydzielenie temu ostatniemu uprawnień wykraczających poza normalny zakres praw dostępu. Wykorzystując lukę w zabezpieczeniach komputera głównego, włamywacz może stworzyć skrypt CGI, który da mu pełny dostęp do całego systemu komputerowego. Dlatego też jednym z najlepszych sposobów poprawy bezpieczeństwa serwera WWW jest zminimalizowanie liczby usług udostępnianych przez komputer, na którym serwer ten jest uruchomiony. Jeśli zachodzi konieczność jednoczesnego prowadzenia serwera WWW i serwera poczty elektronicznej, najlepiej uruchomić je na osobnych komputerach.

Inną dobrą metodą zabezpieczania informacji na serwerze WWW jest ograniczanie możliwości dostępu do niego. Serwer powinien być umieszczony w bezpiecznym miejscu, tak aby nieupoważnione osoby nie miały do niego fizycznego dostępu. Należy także ograniczyć liczbę użytkowników, którzy mają prawo logowania się na komputer, na którym uruchomiony jest serwer. Serwer powinien być używany tylko i wyłącznie do obsługi danej aplikacji, gdyż w przeciwnym wypadku osoby mające do niego dostęp mogłyby korzystać z Twoich informacji. Co więcej, należy upewnić się, że dostęp do serwera w celach administracyjnych realizowany jest za pomocą narzędzi gwarantujących bezpieczeństwo, takich jak Kerberized Telnet, SecureID, S/Key lub ssh.

Zabezpieczanie przesyłanych informacji

Znaczna część uwagi poświęconej zagadnieniom bezpieczeństwa WWW wiąże się z problemem zabezpieczenia przesyłanych przez Internet danych przed nieautoryzowanym dostępem. Istnieje wiele sposobów zabezpieczania transmitowanych siecią informacji przed podsłuchiwaniem:

Fizyczne zabezpieczenie sieci, uniemożliwiające podsłuch.

Ukrycie zabezpieczanych informacji wśród innych, z pozoru nieistotnych.

Zaszyfrowanie informacji, dzięki czemu staną się one bezużyteczne dla wszystkich, którzy nie posiadają odpowiedniego klucza.

Ze wszystkich tych technik do praktycznego zastosowania najlepiej nadaje się szyfrowanie. Fizyczne zabezpieczenie Internetu jest niemożliwe, zaś ukrywanie informacji spełnia swoją rolę tylko wtedy, gdy osoby, przed którymi ukrywamy informacje, nie wiedzą w jaki sposób dane są ukrywane.

Jedną z wczesnych innowacji wprowadzonych przez firmę Netscape Communications było opracowanie i wdrożenie protokołu SSL (Secure Sockets Layer), czyli systemu automatycznego szyfrowania informacji przed ich przekazaniem do Internetu oraz deszyfrowania po ich odebraniu a przed dalszym użyciem.

SSL jest istotną częścią bezpieczeństwa WWW; istotną, choć nie jedyną. Tak się składa, że choć protokół SSL został opracowany z myślą o bezpiecznym przesyłaniu przez Internet danych w rodzaju numerów kart kredytowych, aktualnie dostępne są protokoły umożliwiające transmitowanie informacji finansowych w sposób prostszy i bezpieczniejszy. W międzyczasie opracowano także technologie (jak np. certyfikaty cyfrowe) pozwalające na wyeliminowanie użycia protokołu SSL do przesyłania takich informacji, jak nazwy użytkowników czy hasła. SSL może natomiast być z powodzeniem wykorzystany do realizacji bezpiecznego dostępu administracyjnego do serwerów WWW oraz do umożliwienia firmom bezpiecznego przesyłania poufnych informacji wewnętrznych poprzez sieci publiczne.

Aktualnie istniejące w USA implementacje SSL oferują dwa poziomy bezpieczeństwa wewnętrzny oraz "eksportowy". Podział ten jest bezpośrednim wynikiem restrykcji narzuconych przez rząd USA na eksport technologii kryptograficznych. Eksportowa wersja protokołu SSL może zabezpieczyć dane przed przypadkowym podsłuchaniem, nie jest jednak w stanie ochronić ich przed celowym i systematycznym atakiem. Dla przykładu, niezbyt zaawansowany użytkownik dysponujący komputerem z procesorem Pentium może złamać przekaz zaszyfrowany za pomocą SSL w ciągu roku² , używając do tego algorytmu siłowego (ang. brute force), wypróbowującego wszystkie możliwe kombinacje klucza. Wersja SSL przeznaczona do użytku wewnętrznego w USA gwarantuje znacznie wyższy poziom bezpieczeństwa. Dla przykładu, wiadomości zabezpieczane przy pomocy tego protokołu powinny wytrzymywać próby rozszyfrowania algorytmem siłowym przez około 10 lat i powinny zapewniać bezpieczeństwo danych przez okres najbliższych 30 lat lub dłużej³ . Niestety, większość dostępnych na rynku wersji przeglądarki Netscape Navigator udostępnia jedynie eksportową wersję protokołu SSL.

Innym niebezpieczeństwem czyhającym na transmitowane informacje jest atak typu blokady usługi (ang. denial-of-service), wynikający z przerwania łączności w sieci. Blokada usługi może być spowodowana zdarzeniem fizycznym, takim jak przerwanie światłowodu, lub logicznym, jak np. błąd w tablicy marszrut (ang. routing table). Może także wynikać z intensywnego ataku na serwer przeprowadzonego za pomocą Internetu atakujący mogą bombardować serwer tysiącami żądań obsługi na sekundę, co spowoduje, że żądania nadsyłane przez autoryzowanych użytkowników nie będą mogły być realizowane.

Zabezpieczanie komputera użytkownika

Błędy w systemach zabezpieczeń przeglądarek stanowiły zawsze przedmiot sensacji. Czasopisma uwielbiają publikować artykuły o osobach, które kopiowały z Internetu wirusy lub inne niebezpieczne programy. Na skutek takiego postępowania mediów użytkownicy Internetu stają się coraz ostrożniejsi.

Coraz szersze zastosowanie technologii WWW do realizacji transakcji finansowych powinno skłaniać nas do jeszcze większej ostrożności już obecnie jesteśmy świadkami pierwszych ataków. W trakcie druku tej książki grupa Chaos Computer Club zademonstrowała napisany w Visual Basicu komponent ActiveX, który był w stanie zainicjować elektroniczny przekaz pieniężny z użyciem programu Quicken (popularna aplikacja finansowa używana m.in. do obsługi transakcji typu home-banking przyp. tłum.). Jeden z amerykańskich sądów nakazał zawieszenie działalności pewnej witryny WWW, udostępniającej "darmowe" materiały pornograficzne użytkownikom, którzy skopiują i uruchomią specjalną "przeglądarkę". Użytkownicy nie wiedzieli, że przeglądarka rozłączała połączenie z lokalnym serwerem i zestawiała międzynarodowe połączenie telefoniczne z Europą Wschodnią. Nietrudno wyobrazić sobie wirusa, który pozostaje uśpiony aż do momentu wpisania przez użytkownika hasła udostępniającego zawartość elektronicznego portfela, i który po aktywacji dyskretnie przekazuje numer karty kredytowej i inne dane finansowe na adres internetowy znany włamywaczowi.

Chociaż proste pliki HTML i pliki graficzne nie stanowią same z siebie żadnego bezpośredniego zagrożenia dla użytkowników (pomijając problemy prawne wiążące się z ich treścią), to jednak istotnie ograniczają możliwości interakcji w korzystaniu z usług WWW. Z tego względu firmy rozwijające technologie WWW promują takie technologie, jak Java, JavaScript, ActiveX, czy też oferują moduły rozszerzające (ang. plug-in). Technologie te dają użytkownikom możliwość "ożywienia" stron WWW i tworzenia aplikacji, które nie mogłyby powstać przy użyciu standardowego języka HTML.

Dodatkowe możliwości wniesione przez aktywne rozszerzenia języka HTML spowodowały powstanie nowych zagrożeń. Po ich wprowadzeniu niejednokrotnie donoszono o naruszeniach bezpieczeństwa wynikłych z uruchamiania programów napisanych w językach JavaScript i Java lub spowodowanych użyciem komponentów ActiveX. Z upływem czasu użytkownicy WWW będą zapewne coraz ostrożniej podchodzili do omawianych technologii; to samo tyczy się modułów rozszerzających tworzonych dla przeglądarki Netscape Navigator.

Również twórcy witryn WWW starają zabezpieczać się przed użytkownikami. Firmy udostępniające informacje odpłatnie pragną uniemożliwić ich dalsze przekazywanie innym użytkownikom, którzy nie uiścili odpowiednich opłat. Także wiele firm publicznie udostępniających informacje na swoich stronach wolałoby, aby użytkownicy pobierali je bezpośrednio z serwerów (a nie wymieniali się nimi), gdyż ułatwia to śledzenie odwołań do witryny i pozwala na zdobywanie dodatkowych informacji o korzystających z niej użytkownikach, a to w efekcie umożliwia zwiększenie zysków z zamieszczanych na stronach reklam.

Stworzenie technicznych środków ograniczających rozpowszechnianie informacji raz przekazanej użytkownikom jest niemożliwe. Dane wyświetlone na ekranie użytkownika zawsze mogą zostać z niego skopiowane i zapisane w pliku lub wydrukowane. Co prawda przedstawiono już (i wprowadzono na rynek) kilka propozycji systemów zabezpieczających dostępne w sieci WWW dane przed skopiowaniem, jednak wszystkie te rozwiązania dają się obejść. Prawdopodobnie najlepszą metodą zabezpieczania niektórych rodzajów danych binarnych są tak zwane "cyfrowe znaki wodne" (ang. digital watermark). Są to bardzo nieznaczne, ukryte modyfikacje danych, w których przechowywane są informacje identyfikacyjne. Modyfikacje te są niezauważalne dla użytkownika i wykonywane są tak, by uniemożliwić ich usunięcie. Pliki graficzne, dźwiękowe i inne oznakowane w ten sposób dane mogą zostać przebadane za pomocą specjalnego oprogramowania, które odtworzy dane identyfikacyjne, pozwoli ustalić właściciela oryginalnego pliku i, w niektórych przypadkach, właściciela pierwszej kopii.

Karty kredytowe, szyfrowanie i WWW

Zabezpieczanie numerów kart kredytowych używanych w transakcjach elektronicznych jest jednym z najczęściej podawanych przykładów konieczności zapewnienia bezpieczeństwa w sieci WWW. Przyjrzymy się teraz typowej transakcji z wykorzystaniem karty kredytowej, zagrożeniom, na jakie jest ona narażona oraz wpływowi bezpieczeństwa WWW na tę transakcję.

Typowa transakcja

Oto najbardziej typowa transakcja w sieci WWW wykorzystująca kartę kredytową zakup płyty kompaktowej w internetowej księgarni muzycznej (rysunek 1.1).

Rysunek 1.1. Zakup płyty kompaktowej w Internecie z wykorzystaniem karty kredytowej

Załóżmy, że pewna nastolatka dajmy na to Sonia siada przy komputerze swojego tatusia, odnajduje w sieci WWW wysyłkową księgarnię muzyczną i przegląda katalog dostępnych płyt. Sonia wyszukuje w katalogu płytę, której od pewnego czasu rozpaczliwie i bezskutecznie poszukuje powiedzmy, unikatowe nagrania Elvisa Presleya, "wrzuca" kupioną płytę do wirtualnego koszyka, wpisuje swoje imię, nazwisko, adres, numer karty kredytowej taty i naciska widoczny w oknie przeglądarki przycisk z napisem KUPUJ. Płyta kompaktowa zakupiona przez Sonię zostaje przysłana pocztą po kilku dniach. Miesiąc później jej tato otrzymuje, także pocztą, wyciąg transakcji dokonanych przy użyciu karty kredytowej, czego efektem jest mała dyskusja pomiędzy ojcem i córką na temat wysokości kieszonkowego i zakresu obowiązków domowych.

Podczas takiej transakcji na ryzyko narażone są obie strony zarówno właściciel księgarni wysyłkowej, jak i posiadacz karty kredytowej (ojciec Soni). Posiadacz karty narażony jest na zagrożenia dwóch rodzajów (oba są oczywiste i dobrze znane):

Numer karty kredytowej może zostać przechwycony przez niepowołaną osobę w trakcie jego przesyłania Internetem, a następnie użyty przez nią do dokonania nadużycia. Co gorsza, posiadacz karty kredytowej zazwyczaj nie będzie zdawał sobie sprawy z faktu kradzieży numeru, aż do otrzymania zestawienia dokonanych transakcji. Do tego czasu limit karty zostanie zapewne wyczerpany nielegalnymi transakcjami o wartości tysięcy dolarów (miejmy nadzieję, że takie zdarzenie nie będzie miało miejsca podczas pobytu taty na delegacji służbowej).

Konto karty zostanie obciążone, lecz zamówiona płyta kompaktowa nigdy nie dotrze do odbiorcy. Dokładniejsze badanie doprowadzi zapewne do odkrycia, że nie było żadnej wysyłkowej księgarni muzycznej, cała sprawa to oszustwo, a Sonia bezpowrotnie straciła pieniądze swojego ojca, gdyż firma, która wystawiła rachunek obciążający kartę, zapewne już nie istnieje.

Właśnie tym zagrożeniom miał zapobiegać opracowany przez firmę Netscape protokół SSL. Protokół ten używa szyfrowania matematycznego sposobu modyfikowania postaci wiadomości, dzięki któremu dane przesyłane pomiędzy przeglądarką Soni i internetową księgarnią muzyczną nie będą mogły być potajemnie przechwycone podczas przesyłania (patrz rysunek 1.2). SSL obsługuje także skomplikowany system służący do cyfrowej identyfikacji, dzięki któremu Sonia może mieć pewność, że osoby prowadzące wysyłkową księgarnię muzyczną są naprawdę tymi osobami, za które się podają (szyfrowanie przedstawione zostało w rozdziale 10, Podstawy kryptografii; cyfrowe identyfikatory tożsamości opisane zostały w rozdziale 6, Metody identyfikacji cyfrowej).

Protokół SSL sprawdza się dobrze w ochronie transmitowanych informacji, dając użytkownikom pewność, że kontaktują się z witryną, z którą chcą się połączyć. Programy implementujące SSL dostępne są w dwóch wersjach: eksportowej sprzedawanej przez amerykańskie firmy odbiorcom zagranicznym, oraz wewnętrznej przeznaczonej wyłącznie na rynek USA i wykorzystującej bardziej bezpieczną wersję protokołu. Nawet jednak wersja eksportowa, mimo iż okrzyknięta przez wielu niewystarczająco bezpieczną, jest wystarczająco odporna dla skutecznego zabezpieczenia większości operacji dokonywanych z użyciem kart kredytowych.⁴

Rysunek 1.2. Sposób, w jaki SSL zabezpiecza transmisje danych

Znaczenie prawdziwej nazwy

Carl Ellison z firmy Cybercash twierdzi, że w dzisiejszym świecie coraz mniej przydatna okazuje się znajomość prawdziwej nazwy firmy lub użytkownika w WWW. "W dawnych czasach, począwszy od wspólnot pierwotnych aż do epoki naszych dziadków, nazwy ludzi i rzeczy były ustalone raz na całe życie. Ówczesny świat zawierał wystarczająco mało osób i rzeczy, aby móc zapamiętać ich nazwy i posługiwać się nimi. Osoby, z którymi się komunikowaliśmy, pochodziły z naszego świata, czy też z naszej "przestrzeni nazw", a wszystkie nazwy miały konkretne znaczenie. Wraz z nastaniem cywilizacji "globalnej wioski", a szczególnie dzięki Internetowi, osoby, z którymi się komunikuję, coraz częściej pochodzą spoza obrębu mojego prywatnego świata Wartości, na które Sonia zwraca uwagę uczciwość, jakość obsługi, umiejętności, trwałość to coś, co poznała ona w innym, dawnym świecie, operującym innymi kanałami wymiany informacji, i co zawsze wiązało się dla niej z określoną, "prawdziwą" nazwą lub nazwiskiem. W świecie dzisiejszym Sonia nie ma dostępu do dawniejszych kanałów informacyjnych, a wielkość współczesnego środowiska informacyjnego najprawdopodobniej nie pozwala jej skojarzyć istotnych dla niej wartości z pojawiającymi się nazwami i zapamiętać ich. W dzisiejszym świecie nazwy zmieniają się bardzo szybko (całkiem przyzwoity hotel, w którym się kiedyś zatrzymałem, zmienił nazwę dwa razy w ciągu ostatnich dwóch lat), nie wspominając już o tym, że jedna instytucja może mieć kilka nazw. Założenia, na jakich my, ludzie, opieramy swoje zaufanie do nazw, powoli przestają istnieć, a jak na razie nie wymyśliliśmy dla nich żadnej alternatywy."

Według Ellisona, Soni w rzeczywistości nie obchodzi, kim naprawdę są ludzie, od których chce kupić płytę. "Tak naprawdę, interesuje ją jedynie ich uczciwość i to, czy będą prowadzili firmę wystarczająco długo, aby przesłać jej zamówioną płytę. Najprawdopodobniej nazwisko czy imię kogoś odległego i zupełnie nieznajomego nic dla Soni nie znaczy [] Potrzebuje ona natomiast potwierdzenia uczciwości i kompetencji osób prowadzących księgarnię. Aktualnie pracujemy właśnie nad certyfikatami, które będą w stanie przekazywać takie informacje."

Jak na ironię, chociaż pierwszym zaproponowanym zastosowaniem protokołu SSL było zabezpieczanie przesyłanych przez Internet numerów kart kredytowych, to jednak wcale nie był on do tego potrzebny. Dlaczego?

Zgodnie z przepisami amerykańskiego prawa bankowego, regulującymi korzystanie z kart kredytowych, posiadacz karty odpowiada za dokonane za jej pomocą nadużycia jedynie do wysokości 50 dolarów. W większości wypadków wystawcy kart nie egzekwują nawet tej kwoty, gdyż klient, który zgłosi defraudację, może po prostu zaalarmować swój bank i nie zapłacić za taką transakcję. Dlatego też przejęcie numeru karty kredytowej nie jest de facto żadnym zagrożeniem dla konsumenta.⁵

Jeśli ojciec Soni zostałby obciążony należnością za płytę kompaktową, której córka nie otrzymała, mógłby po prostu przesłać do wystawcy karty kredytowej pisemną reklamację transakcji.⁶

Klient nie musi sprawdzać tożsamości sprzedawcy przyjmującego kartę kredytową, gdyż robi to za niego bank obsługujący rachunek kredytowy sprzedawcy. Aby sprzedawca mógł obciążyć kartę kredytowej klienta, musi wpierw otworzyć rachunek przeznaczony do obsługi transakcji dokonywanych za pomocą takich kart. Procedura otwarcia takiego rachunku jest bardzo złożona; obejmuje dokładne sprawdzenie firmy i, na ogół, osobistą rozmowę z przedsiębiorcą. W rzeczywistości firmy wystawiające karty kredytowe sprawdzają przedsiębiorstwa handlowe znacznie dokładniej, niż mogłaby to zrobić Sonia.

Pomysł zabezpieczenia transakcji finansowych za pomocą protokołu SSL był istotnym elementem promocji handlu internetowego wśród konsumentów w szczególności chodzi tu o sprzedaż produktów firmy Netscape. Przekaz był prosty i przekonujący: "Nie kupujcie niczego od firm, które nie dysponują bezpiecznymi serwerami WWW (czytaj: serwerami firmy Netscape)". Jednakże skutek tej kampanii przekroczył oczekiwania autorów: wielu użytkowników Internetu, w tym także dziennikarzy, tak przeraziło się wizją możliwości ukradzenia numerów ich kart kredytowych, iż w ogóle przestało dokonywać jakichkolwiek zakupów w Internecie nawet w firmach, których serwery obsługiwały szyfrowanie danych.

Jak na ironię, technologia firmy Netscape chroniła w rzeczywistości nie konsumentów, lecz sprzedawców i banki. Wynikało to z faktu, iż to właśnie oni byli w ostatecznym rozrachunku odpowiedzialni za defraudacje realizowane za pomocą kart kredytowych. Jeśli firma handlowa akceptująca karty kredytowe potwierdzi użycie karty i wyśle zamówiony towar, to bank ma obowiązek wypłacić jej należność, nawet jeśli tego samego dnia okaże się, że numer karty kredytowej został skradziony. Szyfrowanie chroni także handlowców: jeśli numer karty kredytowej zostanie skradziony w wyniku zaniedbania sprzedawcy, bank może obciążyć go odpowiedzialnością za wszystkie nadużycia wykonywane za jej pomocą (wystawcy kart kredytowych twierdzą w związku z tym, że sprzedawca nie używający serwera z wbudowanymi algorytmami kryptograficznymi jest w rzeczywistości odpowiedzialny za wszystkie defraudacje wynikłe z faktu kradzieży numeru karty kredytowej. Nie zmienia to faktu, że do tej pory nie odnotowano publicznie ani jednego przypadku przechwycenia przesyłanego Internetem numeru karty kredytowej ani zaszyfrowanego, ani przesyłanego jawnie).

Amerykańskie Stowarzyszenie Bankowców utrzymuje, że ochrona banków i handlowców przed defraudacjami leży w interesie konsumentów wszak defraudacje pomniejszają zyski banków, zmuszając je do podwyższania oprocentowania kredytów i utrudniając wprowadzanie nowych usług. Również konsumenci nie zawsze potrafią poradzić sobie w przypadku popełnienia defraudacji. Na widok wyciągu zawierającego informacje o kilkutysięcznych nadużyciach niektórzy klienci wpadają w panikę, inni zaś zwyczajnie go ignorują. Obraca się to ostatecznie przeciwko nim, gdyż niezgłoszenie reklamacji w czasie ustalonym przez wystawcę karty powoduje, iż odpowiedzialność za nadużycia spada w końcu na klienta.

Nowe wnioski wynikające z naszego przykładu

Okazuje się, że dokonując transakcji poprzez Internet zarówno Sonia, jak i sprzedawca narażają się na wiele niebezpieczeństw, przed którymi szyfrowanie transmisji nie jest w stanie ich uchronić. W przypadku Soni są to:

Niebezpieczeństwo, że podane przez nią informacje zostaną kiedyś wykorzystane na jej szkodę. Dane osobowe Soni mogą np. wpaść w ręce jakiegoś naciągacza, który użyje ich do zdobycia jej zaufania. Podany przez nią adres może trafić na listę dystrybucyjną, co może doprowadzić do zasypania jej niechcianymi listami (tak elektronicznymi, jak i normalnymi).

Ryzyko, że sprzedawca będzie próbował ustalić odporność Soni na podnoszenie cen, lub określić, w których jeszcze sklepach dokonuje ona zakupów. Może to pozwolić mu na selektywne windowanie cen oferowanych Soni towarów do maksymalnej granicy, którą jest ona skłonna zaakceptować (przy czym ceny te będą oczywiście znacznie wyższe od standardowych cen oferowanych innym klientom).

Ryzyko, że sprzedawca w jakiś sposób przejmie kontrolę nad przeglądarką Soni i wykorzysta ją do pobrania z jej komputera informacji dotyczących jej upodobań i pragnień.

Ryzyko, że jakiś komputerowy włamywacz przejmie kontrolę nad programem przeglądarki Soni i wykorzysta go np. do sformatowania dysku twardego w jej komputerze. W jeszcze gorszym przypadku złośliwy program może zainstalować w komputerze Soni kod poszukujący istotnych informacji (numerów kont bankowych, kart kredytowych, haseł, numeru ubezpieczenia itd.) i potajemnie przesłać uzyskane informacje pod zadany adres w Internecie, co umożliwi ich późniejsze nadużycie.

Również sprzedawca narażony jest na realne niebezpieczeństwa:

Próbując wejść do internetowego sklepu, Sonia może stwierdzić, że jest on niedostępny lub działa bardzo powoli. W wyniku tego Sonia kupi to samo u konkurencji, lub co gorsza opublikuje krytyczne uwagi na listach i grupach dyskusyjnych lub na własnej stronie WWW.

Pod Sonię może podszywać się przedstawiciel konkurencyjnej firmy lub wykorzystywany przez nią robot, który systematycznie bada ofertę księgarni i podgląda jej cennik.

Sonia może w rzeczywistości okazać się Jasonem 14-letnim komputerowym włamywaczem-amatorem, który ukradł numer karty kredytowej Soni i teraz za jego pomocą poszerza swoją kolekcję płyt kompaktowych.

Przekazany sprzedawcy numer karty kredytowej Soni będzie przechowywany na twardym dysku komputera, na którym działa serwer księgarni. Jason może się włamać na serwer i ukraść zapisane w jego zasobach numery kart, zaś konsekwencje ewentualnych nadużyć spadną na sprzedawcę.

Po włamaniu się do komputera sprzedawcy, Jason może bezpośrednio zaingerować w treść odpowiedniej bazy danych, umieszczając w niej sfałszowane zamówienia, zaś po kilku dniach odbierze przesyłkę zawierającą "zamówione" w ten sposób płyty.

Jason może mieć swoją własną kartę kredytową. Po złamaniu zabezpieczeń komputera sprzedawcy, może on umieścić w systemie księgowym polecenia dokonania zwrotów pieniędzy na swoje konto. Po dokonaniu transferu i pojawieniu się odpowiednich kwot na koncie karty Jasona, wystarczy podjąć gotówkę w najbliższym bankomacie.

Z czystej złośliwości lub dla zemsty, Jason może zmodyfikować bazę danych na serwerze księgarni lub strony jej serwisu WWW tak, by klienci otrzymywali inne płyty kompaktowe niż te, które zamówili. Efekt takiej akcji może pozostać niezauważony nawet przez tydzień lub dwa, w trakcie których klienci zdążą złożyć tysiące zamówień. W takim wypadku handlowiec zostanie zmuszony do pokrycia kosztów zwrotów płyt kompaktowych i obsłużenie zwrotów należności, a przy tym straci zaufanie klientów.

Tak przedstawiają się prawdziwe zagrożenia wiążące się z prowadzeniem działalności handlowej w Internecie. Niektóre z nich zostały przedstawione na rysunku 1.3.

W zasadzie żadne z omówionych zagrożeń nie jest niczym nowym: istniały one od czasu, gdy ludzie zaczęli robić interesy za pomocą komputerów, a niektóre z nich w równym stopniu odnoszą się do operacji realizowanych za pomocą telefonu lub listownie. Jednakże Internet i WWW w znaczący sposób zwiększyły występujące wcześniej zagrożenia. Jednym z powodów tego zwiększenia jest fakt, iż Internet ułatwia przeprowadzanie anonimowych (lub prawie anonimowych) ataków na osoby prywatne i przedsiębiorstwa. Co więcej, prowadzenie takich ataków może zostać zautomatyzowane, co pozwala napastnikom w krótkim czasie zbadać tysiące serwisów WWW i miliony indywidualnych użytkowników w celu określenia ich słabych punktów. Należy także pamiętać o tym, iż ataki mogą być przeprowadzane na obiekty znajdujące się w dowolnym miejscu na świecie co jest niekorzystną konsekwencją międzynarodowego charakteru Internetu.

Rysunek 1.3. Prawdziwe zagrożenia związane z dokonywaniem transakcji w Internecie

Firewall jako element rozwiązania problemu

Firewall jest urządzeniem (zazwyczaj jest to komputer pracujący pod nadzorem dedykowanego lub odpowiednio zmodyfikowanego systemu operacyjnego), które oddziela wewnętrzną sieć firmową od Internetu, przepuszczając jedynie ściśle określone połączenia, a blokując możliwość realizacji pozostałych. W idealnej sytuacji firewall skonfigurowany jest tak, iż wszystkie odwołania z Internetu do sieci wewnętrznej przechodzą przez kilka ściśle kontrolowanych punktów. Takie zastosowanie czyni zeń element całościowej strategii bezpieczeństwa firmy.

Niestety, dla wielu firm firewall jest jedynym elementem struktury zabezpieczeń. W wielu przypadkach, po uświadomieniu sobie istnienia poważnych zagrożeń bezpieczeństwa sieci wewnętrznych, przedsiębiorstwa starały się "rozwiązać" ten problem, blokując dostęp z zewnątrz za pomocą firewalla.

Firewall często bywa mechanizmem wykorzystywanym w sposób niewłaściwy, dlatego też stosunek autorów do niego jest dość dwuznaczny; zbyt często jest on używany jako proteza, zastępująca prawidłowe rozwiązanie problemu. Ponieważ sprawcami wielu ataków są niezadowoleni lub nielojalni pracownicy firmy, stosowanie firewalli niejednokrotnie odwraca uwagę od prawdziwych zagrożeń bezpieczeństwa sieci, słabych punktów systemów zabezpieczeń komputerów centralnych, błędnego planowania czy braku skutecznej organizacji wewnętrznej. Wszystkie te czynniki powodują, że niejednokrotnie firewall jedynie w nieznacznym stopniu poprawia bezpieczeństwo sieci, dając swoim posiadaczom złudne poczucie bezpieczeństwa.

Zdarzają się jednak sytuacje, w których użycie firewalla jest jak najbardziej wskazane. Jedną z nich jest sytuacja, w której firma musi używać starszego systemu przetwarzania danych, który nie może być inaczej zabezpieczony. W takim przypadku firewall może być z powodzeniem wykorzystany do ograniczenia dostępu do systemu (ściślej, powinien on być użyty do kontroli wszelkiego dostępu, a nie jedynie kontroli dostępu z Internetu.) Innym powodem, dla którego należy stosować firewall, jest fakt, iż znacznie trudniej jest wytropić napastnika operującego z Internetu, niż działającego w sieci wewnętrznej.

Jak widać, firewall powinien być stosowany jako dodatkowy środek zabezpieczający, współpracujący z systemami kontroli wewnętrznej ale nigdy zamiast nich.

Położenie serwera WWW względem firewalla

Firma używająca firewalla do zabezpieczenia sieci wewnętrznej przed atakami z zewnątrz dysponuje kilkoma możliwościami umieszczenia serwera WWW:

Serwer WWW można ulokować na zewnątrz strefy chronionej przez firewall (patrz rysunek 1.4). Korzyści płynące z takiego rozwiązania polegają na tym, iż włamanie się na serwer (który jest w znacznym stopniu narażony na ataki), nie daje napastnikom punktu wyjścia do prowadzenia dalszej akcji przeciwko komputerom włączonym do wewnętrznej sieci firmowej. Z drugiej jednak strony w rozwiązaniu takim ochrona zapewniana przez firewall nie obejmuje serwera WWW.

Można także umieścić serwer WWW wewnątrz strefy chronionej przez firewall (patrz rysunek 1.5). Stosując to rozwiązanie, należy skonfigurować firewall w taki sposób, aby przepuszczał on wszystkie transakcje realizowane poprzez port 80 TCP. Można to osiągnąć przez bezpośrednie zezwolenie na transmisję wszystkich pakietów, lub też zastosowanie odpowiedniego systemu pośredniczącego (proxy). Umieszczenie serwera WWW wewnątrz strefy chronionej przez firewall ma tę zaletę, iż będzie on zabezpieczony przed atakami dokonywanymi z zewnątrz za pomocą innych usług internetowych (np. telnet lub FTP). Z drugiej strony, złamanie zabezpieczeń serwera (na przykład za pomocą błędnie napisanego skryptu CGI) daje napastnikom pełny dostęp do całej sieci wewnętrznej.

Trzecim rozwiązaniem jest użycie dwóch firewalli: jednego chroniącego sieć wewnętrzną oraz drugiego ochraniającego serwer WWW (patrz rysunek 1.6).

Rysunek 1.4. Serwer WWW umieszczony poza firewallem

Rysunek 1.5. Serwer WWW umieszczony wewnątrz strefy chronionej przez firewall

Rysunek 1.6. Rysunek 1.6. Serwer WWW umieszczony pomiędzy zewnętrznym i wewnętrznym firewallem

Dla poprawnie zabezpieczonego serwera WWW umieszczenie go wewnątrz strefy chronionej przez firewall nie przynosi żadnych dodatkowych korzyści. Dzieje się tak dlatego, iż właściwie zabezpieczony serwer WWW udostępnia światu zewnętrznemu poprzez protokół TCP/IP jedynie dwie usługi: HTTP poprzez port 80 oraz HTTP szyfrowany protokołem SSL poprzez port 443. Umieszczając serwer WWW wewnątrz strefy chronionej przez firewall i tak trzeba skonfigurować ten ostatni w taki sposób, aby zezwalał na połączenia z Internetu z portami 80 i 443.

Oczywiście, komputer, na którym uruchomiony jest serwer WWW, może udostępniać także inne usługi sieciowe. Dla przykładu, administratorzy muszą mieć możliwość logowania się do niego w celu konserwacji i aktualizacji zawartości serwera. Chociaż usługi takie mogą korzystać z ochrony zapewnianej przez firewall, te same zabezpieczenia mogą być bez żadnych problemów zaimplementowane na komputerze, na którym działa serwer WWW. Dla przykładu, większość firewalli blokuje próby uruchamiania sesji telnetowych lub przy ich realizacji wymaga dodatkowej identyfikacji poprzez użycie np. inteligentnych kart identyfikacyjnych lub jednorazowych haseł dostępu. Okazuje się jednak, iż selektywne blokowanie usług i stosowanie dodatkowych metod identyfikacji można realizować bezpośrednio na komputerze, na którym uruchomiony jest serwer WWW. W systemach UNIX-owych jest to możliwe dzięki zastosowaniu i odpowiedniemu skonfigurowaniu programu TCP Wrapper (autorstwa Wietse Venemy), a na komputerach pracujących w systemie Windows NT 4 poprzez sporządzenie odpowiednich list kontroli dostępu. Praktycznie na wszystkich komputerach pracujących w sieci da się też zastosować dodatkowe metody identyfikacji użytkowników oparte na przedmiotach (np. kartach SecureID firmy Security Dynamics). Wiele takich metod opiszemy szczegółowo w dalszych rozdziałach książki.

Kolejnym powodem, dla którego wskazane jest umieszczanie serwera WWW poza obszarem chronionym przez firewall jest fakt, iż ze względu na swoją dostępność i "widzialność" jest to on jednym z najbardziej narażonych na ataki komputerów firmy. Jeśli serwer WWW umieszczony zostanie wewnątrz strefy chronionej przez firewall, w przypadku złamania jego zabezpieczeń napastnicy będą dysponowali doskonałym punktem wyjścia do prowadzenia dalszych ataków na inne komputery przedsiębiorstwa. Jest to bardzo poważne zagrożenie, gdyż wewnętrzne mechanizmy bezpieczeństwa firm używających firewalli są często znacznie słabsze w porównaniu z firmami przykładającymi dużą wagę do bezpieczeństwa sieci wewnętrznej i ochrony jej przed włamaniami i nieautoryzowanym dostępem.

Jeśli dany serwer WWW jest systematycznie atakowany z konkretnego hosta, można zastosować prowizoryczne rozwiązanie polegające na umieszczeniu pomiędzy serwerem a punktem wyjścia sieci w świat dodatkowego rutera, odrzucającego pakiety nadsyłane przez napastnika. Właściwym rozwiązaniem problemu jest poinformowanie dostawcy usług internetowych obsługującego nękającego firmę napastnika, ewentualnie zwrócenie się do organów ścigania.

Zarządzanie ryzykiem

Bezpieczeństwo WWW nie jest problemem typu "wszystko albo nic" możemy wyróżnić wiele jego poziomów i stopni. Im większej ilości środków zapobiegawczych użyjemy, tym mniejsze jest ponoszone ryzyko. Zadaniem użytkownika powinno być zminimalizowanie tego ryzyka w granicach rozsądku (i budżetu), a następnie zastosowanie dodatkowych środków zabezpieczających, pozwalających na szybkie odtworzenie strat wynikłych z potencjalnego ataku.

W swoich kontaktach zawodowych możesz również mieć styczność z osobami wyrażającymi pogląd, iż kwestie bezpieczeństwa są złożone, a każde zabezpieczenie daje się złamać, wobec czego nie warto podejmować w tej kwestii żadnych środków zaradczych. Niestety, zabezpieczanie komputerów nie jest procesem bezbolesnym ani tanim. Firmy, które celowo odrzucają wszelkie zabezpieczenia i podejmują ryzyko działania bez nich, decydują się na operowanie w znacznie bardziej niebezpiecznym środowisku. Administrator, który skonfiguruje system nie wykorzystujący zabezpieczeń, do którego mimo to nie będzie żadnych włamań, może nawet zostać nagrodzony za swoją lekkomyślność na przykład poprzez awans lub lepszą ofertę z innej firmy. Jeśli jednak system taki zostanie z powodzeniem zaatakowany, to nieszczęsny administrator może mieć problemy ze znalezieniem nowej pracy.

Z drugiej jednak strony okazuje się (i wykażemy to w naszej książce), że zapewnienie bezpieczeństwa w WWW staje się coraz łatwiejsze. Co więcej, dzięki temu iż handel staje się integralną częścią Internetu, dobre metody zabezpieczania stają się czymś naturalnym i oczekiwanym. Należy jednak zdawać sobie sprawę z istotnego faktu bezpieczeństwo WWW nie jest produktem, który można po prostu kupić. Musi ono być integralną częścią polityki przedsiębiorstwa.

Przypisy:

1) Poprawne zainstalowanie firewalla nie jest zadaniem prostym; co więcej, po jego zainstalowaniu firmy często przestają się przejmować sprawą bezpieczeństwa swych sieci wewnętrznych. Dlatego też w wielu przypadkach firewall daje jedynie złudzenie większego bezpieczeństwa, podczas gdy w rzeczywistości po jego zainstalowaniu poziom bezpieczeństwa komputerów lub sieci ulega pogorszeniu. ^

2) Oznacza to, że osoba dysponująca dostępem do przeciętnego uniwersyteckiego laboratorium komputerowego lub zespołu stacji roboczych może rozszyfrować tę samą wiadomość w ciągu kilku godzin, natomiast zainwestowanie niewygórowanej kwoty w odpowiedni sprzęt i oprogramowanie może pozwolić na skrócenie czasu deszyfrowania do kilkuset sekund. ^

3) Chociaż 128-bitowe szyfrowanie symetryczne stosowane w protokole SSL będzie prawdopodobnie niemożliwe do złamania przez tysiące lat, postępy metod obliczeniowych i wzrost szybkości komputerów spowoduje z czasem, że 1024-bitowe klucze publiczne używane do szyfrowania kluczy 128-bitowych staną się mniej odporne na ataki. ^

4) Nawet słabe metody szyfrowania są wystarczające do zabezpieczania większości operacji finansowych, gdyż operacje te są bardzo dokładnie weryfikowane, a malwersacje finansowe są szybko wykrywane. To prawda, że transakcje zabezpieczane za pomocą protokołu SSL o 40-bitowym kluczu szyfrującym mogą być w ciągu kilku godzin rozszyfrowane przez przeciętnego studenta dysponującego dostępem do uczelnianego laboratorium komputerowego, należy jednak pamiętać, że przed rozszyfrowaniem wiadomości nigdy nie można ocenić, czy jest ona warta zachodu. Znacznie łatwiej jest po prostu przeszukiwać Internet w poszukiwaniu niezakodowanych numerów kart kredytowych. ^

5) Należy jednak pamiętać, że zabezpieczenie takie może nie obowiązywać w przypadku lansowanych obecnie przez wiele banków kart debetowych. Użytkownicy takich kart powinni uważnie zapoznać się z umową o prowadzenie rachunku karty. ^

6) Według ustaleń prawnych obowiązujących w USA, reklamacja musi mieć formę pisemną. Rozmowa telefoniczna nie ma tu mocy prawnej, chociaż wystawca karty może na jej podstawie udzielić klientowi tymczasowego kredytu. ^