Październik jest
Europejskim Miesiącem Bezpieczeństwa Cybernetycznego
, a świadomość bezpieczeństwa online w UE jeszcze nigdy nie była tak
wysoka. Szacuje się, że z powodu cyberprzestępczości europejska
gospodarka ponosi rok rocznie straty rzędu dziesiątków miliardów euro, z
czego większość to kradzieże danych kart kredytowych, które są
sprzedawane później na czarnym rynku.
Jednym z przedsięwzięć dofinansowanych ze środków UE w ramach walki z cyberprzestępczością jest projekt
WEBSAND
(Server-driven Outbound Web-application Sandboxing), w ramach którego
powstały nowe narzędzia utrudniające hakerom włamywanie się do systemów.
Informatycy z projektu WEBSAND zbudowali rozwiązania opierające się
na „piaskownicach” – restrykcyjnych mechanizmach, które oddzielają
systemy serwerowe i strumienie informacji (między serwerami a
przeglądarkami użytkowników) od kodu, który nie należy do zaufanych.
NAPRAWMY INTERNET
„Najważniejszy sukces WEBSAND to zademonstrowanie inżynierom, jak
sprawić, by zabezpieczenia były domyślną częścią systemu, a nie
późniejszym dodatkiem” – wyjaśnia koordynator,
dr Martin Johns .
Internet przeszedł istotne zmiany od 1990 r., kiedy to służył jako
statyczne narzędzie do przekazywania dokumentów. Stał się teraz
wieloźródłowym środowiskiem w czasie rzeczywistym, zmuszając
programistów do włączania zabezpieczeń do systemów a nie tylko
integrowania ich z modelem klient-serwer. Zespół WEBSAND został
powołany, aby ten stan rzeczy zmienić.
„Umyślnie wyznaczyliśmy ambitny cel na początku projektu.
Pomyśleliśmy: ‘Spróbujmy naprawić Internet’. I to się nam do pewnego
stopnia udało. Opracowaliśmy wiele rozwiązań po stronie serwera, które
wymuszają bezpieczeństwo, jakiego potrzebujemy w niektórych obszarach”.
Celem było umieszczenie programisty na miejscu kierowcy, obierając
od-serwerowe podejście do bezpieczeństwa oraz zbudowanie modułowej i
łatwej w użyciu struktury, umożliwiającej programistom, nawet o
ograniczonej wiedzy na temat zabezpieczeń, budowanie domyślnie
bezpiecznych aplikacji.
Kolejną pozycją w dorobku WEBSAND jest zestaw dodatków do przeglądarki dla użytkowników końcowych. To między innymi
CSFIRE
, które jest niewidoczne dla użytkowników w tym sensie, że stara się
nie zakłócać funkcjonalności użytkowanych aplikacji – czy będzie to
program pocztowy, Facebook, Google czy powiedzmy kalkulator walut –
chroniąc ich jednocześnie niezauważalnie przez atakami internetowymi.
Naukowcy z WEBSAND przeprowadzili także analizę niektórych z
bieżących, zasadniczych problemów Internetu i opracowali dla nich
rozwiązania.
Zaprojektowali lekki dodatek do przeglądarek po stronie klienta,
który zapobiega atakom DNS rebinding – powszechna i wykorzystywana raz
po raz metoda wydobywania informacji z serwera bez wiedzy hosta.
Niewielkie poszerzenie „zasady tożsamego pochodzenia” wyklucza tego typu
ryzyko.
Wypracowali także odmienny sposób uwierzytelniania haseł poprzez
wdrożenie nowego systemu wezwanie-odzew inicjowanego przez serwer
zamiast przez przeglądarkę.
Teraz główni partnerzy projektu – niemieckie przedsiębiorstwa
SAP ,
Siemens oraz uczelnie z
Leuven w Belgii i
Chalmers
w Szwecji – zwarli szeregi z międzynarodowymi organizacjami
normalizacyjnymi ds. Internetu – W3C i IETF – z zamiarem przekonania
przedsiębiorców opracowujących przeglądarki do przyjęcia technologii
WEBSAND. Należą także do organizacji non-profit
OWASP
(Open Web Application Security Project) i upowszechniają dorobek swoich
prac za pośrednictwem grup użytkowników oraz spotkań w ramach tej
organizacji.
„W SAP i Siemens stosujemy technologię WEBSAND, aby nasze produkty
były bezpieczniejsze. Ale również moglibyśmy czerpać bezpośrednie
korzyści z Internetu, który jest domyślnie bezpieczny” – stwierdził dr
Johns. „Bezpieczeństwo jest niezwykle kosztowne, a bezpieczniejszy
Internet mógłby także umożliwić przedsiębiorstwom poświęcenie większych
zasobów na funkcjonalność”.
Projekt WEBSAND, który był realizowany od października 2010 r. do
kwietnia 2014 r., otrzymał dofinansowanie w wysokości 3,2 mln EUR z
budżetu 7PR, a pracowało nad nim pięciu partnerów z trzech krajów.
Link do strony internetowej projektu
poleca:
