Tęsiant socialinių tinklų bei internetinių tarnybų saugumo temą...

Jau dvyliktus metus rengiama kasmetinė konferencija „ToorCon“, skirta virtualios erdvės saugumo nagrinėjimui. Šis renginys unikalus tuo, kad suburia saugumo ekspertus iš viso pasaulio į vieną vietą. Šių metu konferencijoje, vykusioje spalio 22 - 24 dienomis, vienas nepriklausomų internetinių aplikacijų kūrėjas Erikas Batleris (Erik Batler) pademonstravo savo šedevrą kodiniu pavadinimu „Firesheep“, kuris atskleidė ir įrodė faktą apie nesaugius socialinius tinklus, populiariausias internetines tarnybas bei atviro kodo platformas. „Firesheep“ pagalba bet kuris, kad ir vos minimalių IT srities žinių turintis, asmuo gali lengvai perimti jūsų socialinio tinklo paskyrą arba atviro kodo produktų valdymą.

„Firesheep“ yra interneto naršyklės „Firefox“ įskiepis, kuris kiekvienam interneto vartotojui gali leisti pasijusti visagaliu socialinių tinklų „Facebook“, „Twitter“, tarnybų bit.ly, „Dropbox“ bei atviro kodo platformų „WodrPress“ programišiumi.

Spalio 24 dieną Erikui Batleriui paskelbus apie savo įskiepio pasirodymą, per parą buvo atsiųsta daugiau nei 130 tūkstančių „Firesheep“ kopijų.

„Firesheep“ veikimo principas pagrįstas atviru bevielio interneto kanalų nuskaitymu („skenavimu“) bei neapsaugotų duomenų surinkimu ir analize. Analizuojant surinktus duomenis, bandoma atrasti plačiai paplitusią populiariausių tarnybų saugumo spragą „sidejacking“.

Tiems, kam IT terminologija nepažįstama, galima paaiškinti, kad atviras bevielis interneto ryšys dažniausiai prieinamas kavinėse, degalinėse, taip pat kai kuriuose viešbučiuose ir tai reiškia, kad jūs galite jungtis prie šio interneto prieigos taško bet kuriuo metu bei laisvai naudotis internetu. Mūsų kalbamu atveju tai reiškia, kad, kavinėje prisijungę prie atviros interneto prieigos ir besinaudodami „Facebook“, „Twitter“ ar „bloginimo“ platforma „Wordpress“, jūs esate potenciali auka.

„Sidejacking“ spragos esmė yra ta, kad bet kurios tarnybos autentifikacijos metu duomenys yra siunčiami tarnybinei stočiai, tuo metu tarnybinė stotis patikrina autentifikacijos duomenis, o vartotojui atsiunčia „stebuklingą“ failą, lietuviškai vadinamą sausainuku (IT terminas – „cookies“). Išsaugotas „cookies“ failas toliau yra naudojamas naršyklei sąveikaujant su tam tikromis internetinėmis tarnybomis. De facto, autentifikuojant save, siunčiami prisijungimo duomenys yra šifruojami, bet, duomenys saugomi „cookies“ faile, lieka nešifruoti. Tai reiškia, kad, prisijungus kompiuteriu prie atvirų bevielių tinklų, šio failo duomenų perėmimas tampa lengva užduotimi.

Autoriaus Eriko Batlerio teigimu, sukuriant vienos populiariausių naršyklės įskiepį, leidžiantį bet kam perimti svetimos internetinės tarnybos valdymą, pagrindinis tikslas buvo noras atkreipti internetinių tarnybų ir socialinių tinklų vartotojų bei šių tinklų kūrėjų dėmesį į saugumo spragas, kurios tiesiogiai liečia vartotojus.

Naujajam „Firefox“ naršyklės papildymui išvydus šviesą ir suvokus, kokią grėsmę jis kelia kiekvienam potencialiam vartotojui, kyla pagrįsta baimė, kad besinaudojant savo socialine paskyra, internetine tarnyba arba atviro kodo produktu kavinėje ar kitur, jūs galite būti šnipinėjamas šalia esančio programišiaus ar šiaip susidomėjusiojo jumis. Nelabai malonus jausmas – jūs tampate potencialia auka, pažeista jūsų privati erdvė, nors to jūs galite taip ir nesužinoti.

Problemos sprendimas itin keblus. Pasirodžius pirmiesiems pranešimams apie „Firesheep“ įskiepio pavojų, daugelis pasitenkino paburnojimais esą nereikia naudoti atviro bevielio interneto prieigų ir nebeliks problemų. Tačiau tai – ne išeitis, kadangi daugelis turi nuolat kintančią darbo vietą, daugelis keliauja, o darbus tenka tęsti kavinėse sustojus išgerti kavos.

Nesnaudžia ir IT saugumo specialistai. Iškart pasirodė pasiūlymų naudotis viena ar kita mokama apsaugine programine įranga bei technologijomis, tokiomis kaip „VPN“ („Virtual Private Network“ )ir „SSH tunnel“. Ar tai sprendimas? Ar privalo eilinis vartotojai pirkti papildomos programinės įrangos, gilintis į tam tikras technologijas, kad galėtų saugiai naudotis savo paskyra socialiniame tinkle?

Socialiniams tinklams ir internetinių tarnybų kūrėjams jau seniai priekaištaujama dėl per mažo dėmesio asmeninių duomenų saugumui, tad dabar šie turi puikią progą susirūpinti problemos sprendimo paieškomis. Pasak „Firesheep“ autoriaus Eriko Batlerio, problemos sprendimas galėtų būti pilnas socialinių tinklų ir įvairiausių internetinių tarnybų perėjimas prie HTTPS protokolo, t. y., visi duomenys, siunčiami tarp vartotojo ir internetinių tarnybų, turėtų būti šifruojami.

Skaitantiems angliškai - Eriko Batlerio pamąstymai šia tema jo asmeniniame „bloge“.