Hlavní navigace

Web 2.0 a sociální sítě hitem útočníků v roce 2008?

 Autor: 29
Ondřej Bitto

Fenomény Webu 2.0 a sociálních sítí se staly hlavními tahouny nejen v mediální sféře, bublina se nafukovala (a stále nafukuje), přičemž se stává šťavnatější. Některé bezpečnostní firmy zařadily uvedené duo na listinu hrozeb roku 2008 – co je na tom pravdy, jaká nebezpečí mohou přijít?

Termín Web 2.0 se potkává s řadou definic, stejně tak jejich zastánců i odpůrců. Pokud nyní ponecháme stranou názorové neshody nebo rozdílné výklady, lze shrnout základní poslání do několika bodů: poskytnutí interaktivního obsahu návštěvníkům, následné sdílení a také upuštění od statické struktury s pevnými vazbami a hranicemi. Právě zmíněná interaktivita a volnost by se mohly stát základem zneužití ze strany ne tolik poctivých uživatelů.

XSS neboli Cross Site Scripting

Mezi hrozby s označením 2008 zařadily Web 2.0 například společnosti CA nebo Grisoft ve svých prognózách, hlavním důvodem přitom je jednoduchá tvorba ze strany vývojářů, naopak složitější problém představuje správná konfigurace neúprosnýma očima bezpečnosti. Web 2.0 opravdu staví na dřívějších technologiích, z principu však navíc nabízí volnější ruku při jejich využívání, a tedy i nižší stupeň zabezpečení a ověření vstupů nebo spouštěných akcí ze strany uživatele.

Jednu z největších hrozeb pro Web 2.0 představují takzvané XSS (neboli Cross Site Scripting) útoky, jež využívají nedostatečného ošetření vstupu při zpracování skriptů na webových stránkách. Při troše šikovnosti a nedostatečně zabezpečeném aktivním kódu má útočník možnost do stránky vložit svůj javascriptový kód, který se pak postará o vlastní zneužití. Výsledkem se nejčastěji stává změna některých výchozích prvků nebo získávání citlivých informací.

O tom, že se jedná o poměrně populární techniku zneužití aktivních webových stránek, svědčí například nedávno vyhlášená soutěž (více na serveru Heise-security.co.uk) o nejkratšího XSS červa – cílem je popularizace tohoto trendu a upozornění na jeho stoupající nebezpečí. Pokud byste se o podstatě XSS útoků chtěli dozvědět více a prohlédnout si konkrétní ukázky zdrojových kódů jednotlivých typů, zalistujte například stránkami české Wikipedie (rozsáhlejší anglická varianta zde).

JavaScript paranoidně nevypínat

Abychom ale stále nechodili kolem horké webové kaše, pojďme zapátrat po konkrétním zneužití již existujících projektů Webu 2.0. Slavným se stal především červ Yamanner, který prostřednictvím nedostatečně ošetřeného kódu JavaScriptu dokázal automaticky napadnout uživatele e-mailových schránek Yahoo Mail. Při otevření speciálně upraveného e-mailu Yamanner prozkoumal dostupné kontakty osobního adresáře a přeposlal na ně zprávy – v celkovém měřítku se jednalo o desítky milionů adres. Naštěstí se v době šíření jednalo pouze o krátkodobou vlnu, vývojáři Yahoo ve spolupráci s bezpečnostními firmami problém odstranili.

Dostatečnou ochranou se na straně uživatelů může stát vypnutí JavaScriptu mimo vybrané důvěryhodné stránky, nicméně samozřejmě se jedná o velice striktní a často neprůchodné řešení. Zčásti dokáže napomoci starý dobrý zdravý rozum, kupříkladu při obdržení podezřelého e-mailu nebo při podivných výzvách webových stránek pro zadání některých citlivých údajů. Hlavní díl zodpovědnosti by ale měl být na straně vývojářů, a sice aby nenechávali bezpečnost stranou a zároveň s psaním kódu mysleli i na možnosti potenciálního bezpečnostního zneužití, nikoli jen maximálního využití.

Jak moc se často nepříliš optimistické prognózy pro rok 2008 v souvislosti s Webem 2.0 a jeho zneužitím stanou pravdivými, to ukáže skutečně až čas. Nicméně vzhledem k jeho širokým možnostem a poskytnutí prostoru k některým dalším, dobře známým útokům popularita klesat nebude. Aktivní vložený javascriptový kód lze zneužít například ke klasickým phishingovým útokům, omezení některých dalších funkcí a prvků webové stránky nebo jejímu kompletnímu znefunkčnění.

Trendy budou určovat uživatelé

Především v zahraničí jsou stále populárnějšími útoky na rozličné sociální sítě, důvodem může být například jejich stoupající obliba u uživatelů. S tím, jak přichází více návštěvníků, se totiž logicky stávají odpovídající webové služby atraktivnějšími také pro útočníky. Za všechny jmenujme například MySpace nebo Facebook, které patří k největším a nejoblíbenějším. Zde je cestička ke zneužití a podvodům vyšlapána hlavně díky větší důvěřivosti jednotlivých uživatelů, kteří v rámci sítě svých známých, lidí se stejnými zájmy a těch, kteří se nebojí profilovat na webu, ztrácejí některé základní zábrany.

V roce 2007 jsme se mohli setkat s několika tematicky úzce specializovanými projekty, které si braly na mušku konkrétní produkt nebo službu a v průběhu jednoho měsíce pravidelně přinášely informace o možnostech zneužití. Jednalo se například o The Month of Apple bugs, Month of PHP Bugs nebo Month of Search Engines Bugs. Podobné „pocty“ se dočkala také služba MySpace, jednotlivé chyby si můžete prolistovat na domovských stránkách projektu Month of MySpace Bugs.

Na odkazované stránce se nacházejí chronologicky seřazené příspěvky v rámci měsíčního projektu, mezi možnostmi zneužití najdete například právě techniky XSS, vložení standardního HTML kódu, resetování profilu apod. Počet českých uživatelů, kteří by se na MySpace výrazně profilovali, prozatím ve srovnání se zahraničním není nikterak závratný, takže se alespoň v blízké době nebude jednat o riziko číslo jedna. Časem se to však může změnit – pamatujete například, jak vzdálený a jazykově bariérový se zpočátku zdál phishing?

Web 2.0 a uživatelsky ovlivnitelný obsah se určitě v roce 2008 budou dostávat do popředí zájmu útočníků i čistě internetových podvodníků. Můžeme očekávat klasický souboj počítačového dobra se zlem, kdy se prvně jmenovaní budou snažit udržet alespoň jeden krok napřed. Přitom však bude stále na uživatelích, jak moc budou chtít (to platí především v případě sociálních sítí) prolnout své reálné životy s těmi internetovými, nakolik se svěří cizí komunitě po celém světě a kolik toho o sobě kde prozradí. Na otázku, zda Web 2.0 a sociální sítě budou velkým hitem útočníků roku 2008, tak odpovědí sami uživatelé svým chováním.

Anketa

Považujete Web 2.0 za hrozbu, která bude mít větší rozměry?

Našli jste v článku chybu?

12. 2. 2008 22:42

Runcajz (neregistrovaný)
Pokud jsem to správně pochopil, tak už třeba kvalitní fórum s perfektně zvládnutou "dělbou práce" a dostatečnou ochranou před SPAMem ( jako je třeba mnou oblíbené http://forum.mcontrollers.com/ ) je živý organizmus a proto je WEB 2.0.
Zdraví Runcajz,

5. 2. 2008 20:23

amazon (neregistrovaný)
Můžete mi prosím někdo napsat jednou větou, co je web 2.0? Dělám ve vývoji b2c osmý rok, ale stále to nevím. Děkuji.
Lupa.cz: Brněnský radní chce zničit kartel operátorů. Uspěje?

Brněnský radní chce zničit kartel operátorů. Uspěje?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Podnikatel.cz: Na 3. prosince se chystá protest proti EET

Na 3. prosince se chystá protest proti EET

Root.cz: Kamery Sony se dají ovládnout na dálku

Kamery Sony se dají ovládnout na dálku

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Vitalia.cz: Nahradí sluch, ale zvuk je zcela jiný

Nahradí sluch, ale zvuk je zcela jiný