Termín Web 2.0 se potkává s řadou definic, stejně tak jejich zastánců i odpůrců. Pokud nyní ponecháme stranou názorové neshody nebo rozdílné výklady, lze shrnout základní poslání do několika bodů: poskytnutí interaktivního obsahu návštěvníkům, následné sdílení a také upuštění od statické struktury s pevnými vazbami a hranicemi. Právě zmíněná interaktivita a volnost by se mohly stát základem zneužití ze strany ne tolik poctivých uživatelů.
XSS neboli Cross Site Scripting
Mezi hrozby s označením 2008 zařadily Web 2.0 například společnosti CA nebo Grisoft ve svých prognózách, hlavním důvodem přitom je jednoduchá tvorba ze strany vývojářů, naopak složitější problém představuje správná konfigurace neúprosnýma očima bezpečnosti. Web 2.0 opravdu staví na dřívějších technologiích, z principu však navíc nabízí volnější ruku při jejich využívání, a tedy i nižší stupeň zabezpečení a ověření vstupů nebo spouštěných akcí ze strany uživatele.
Jednu z největších hrozeb pro Web 2.0 představují takzvané XSS (neboli Cross Site Scripting) útoky, jež využívají nedostatečného ošetření vstupu při zpracování skriptů na webových stránkách. Při troše šikovnosti a nedostatečně zabezpečeném aktivním kódu má útočník možnost do stránky vložit svůj javascriptový kód, který se pak postará o vlastní zneužití. Výsledkem se nejčastěji stává změna některých výchozích prvků nebo získávání citlivých informací.
O tom, že se jedná o poměrně populární techniku zneužití aktivních webových stránek, svědčí například nedávno vyhlášená soutěž (více na serveru Heise-security.co.uk) o nejkratšího XSS červa – cílem je popularizace tohoto trendu a upozornění na jeho stoupající nebezpečí. Pokud byste se o podstatě XSS útoků chtěli dozvědět více a prohlédnout si konkrétní ukázky zdrojových kódů jednotlivých typů, zalistujte například stránkami české Wikipedie (rozsáhlejší anglická varianta zde).
JavaScript paranoidně nevypínat
Abychom ale stále nechodili kolem horké webové kaše, pojďme zapátrat po konkrétním zneužití již existujících projektů Webu 2.0. Slavným se stal především červ Yamanner, který prostřednictvím nedostatečně ošetřeného kódu JavaScriptu dokázal automaticky napadnout uživatele e-mailových schránek Yahoo Mail. Při otevření speciálně upraveného e-mailu Yamanner prozkoumal dostupné kontakty osobního adresáře a přeposlal na ně zprávy – v celkovém měřítku se jednalo o desítky milionů adres. Naštěstí se v době šíření jednalo pouze o krátkodobou vlnu, vývojáři Yahoo ve spolupráci s bezpečnostními firmami problém odstranili.
Dostatečnou ochranou se na straně uživatelů může stát vypnutí JavaScriptu mimo vybrané důvěryhodné stránky, nicméně samozřejmě se jedná o velice striktní a často neprůchodné řešení. Zčásti dokáže napomoci starý dobrý zdravý rozum, kupříkladu při obdržení podezřelého e-mailu nebo při podivných výzvách webových stránek pro zadání některých citlivých údajů. Hlavní díl zodpovědnosti by ale měl být na straně vývojářů, a sice aby nenechávali bezpečnost stranou a zároveň s psaním kódu mysleli i na možnosti potenciálního bezpečnostního zneužití, nikoli jen maximálního využití.
Jak moc se často nepříliš optimistické prognózy pro rok 2008 v souvislosti s Webem 2.0 a jeho zneužitím stanou pravdivými, to ukáže skutečně až čas. Nicméně vzhledem k jeho širokým možnostem a poskytnutí prostoru k některým dalším, dobře známým útokům popularita klesat nebude. Aktivní vložený javascriptový kód lze zneužít například ke klasickým phishingovým útokům, omezení některých dalších funkcí a prvků webové stránky nebo jejímu kompletnímu znefunkčnění.
Trendy budou určovat uživatelé
Především v zahraničí jsou stále populárnějšími útoky na rozličné sociální sítě, důvodem může být například jejich stoupající obliba u uživatelů. S tím, jak přichází více návštěvníků, se totiž logicky stávají odpovídající webové služby atraktivnějšími také pro útočníky. Za všechny jmenujme například MySpace nebo Facebook, které patří k největším a nejoblíbenějším. Zde je cestička ke zneužití a podvodům vyšlapána hlavně díky větší důvěřivosti jednotlivých uživatelů, kteří v rámci sítě svých známých, lidí se stejnými zájmy a těch, kteří se nebojí profilovat na webu, ztrácejí některé základní zábrany.
V roce 2007 jsme se mohli setkat s několika tematicky úzce specializovanými projekty, které si braly na mušku konkrétní produkt nebo službu a v průběhu jednoho měsíce pravidelně přinášely informace o možnostech zneužití. Jednalo se například o The Month of Apple bugs, Month of PHP Bugs nebo Month of Search Engines Bugs. Podobné „pocty“ se dočkala také služba MySpace, jednotlivé chyby si můžete prolistovat na domovských stránkách projektu Month of MySpace Bugs.
Na odkazované stránce se nacházejí chronologicky seřazené příspěvky v rámci měsíčního projektu, mezi možnostmi zneužití najdete například právě techniky XSS, vložení standardního HTML kódu, resetování profilu apod. Počet českých uživatelů, kteří by se na MySpace výrazně profilovali, prozatím ve srovnání se zahraničním není nikterak závratný, takže se alespoň v blízké době nebude jednat o riziko číslo jedna. Časem se to však může změnit – pamatujete například, jak vzdálený a jazykově bariérový se zpočátku zdál phishing?
Web 2.0 a uživatelsky ovlivnitelný obsah se určitě v roce 2008 budou dostávat do popředí zájmu útočníků i čistě internetových podvodníků. Můžeme očekávat klasický souboj počítačového dobra se zlem, kdy se prvně jmenovaní budou snažit udržet alespoň jeden krok napřed. Přitom však bude stále na uživatelích, jak moc budou chtít (to platí především v případě sociálních sítí) prolnout své reálné životy s těmi internetovými, nakolik se svěří cizí komunitě po celém světě a kolik toho o sobě kde prozradí. Na otázku, zda Web 2.0 a sociální sítě budou velkým hitem útočníků roku 2008, tak odpovědí sami uživatelé svým chováním.
Považujete Web 2.0 za hrozbu, která bude mít větší rozměry?
