Pavojai iš World Wide Web`o
“Internetas” ne tik prijungia mūsų kompiuterius prie pasaulinių informacijos lobynų. Jis sujungia mus vienus su kitais, sujungia “geriečius” su “blogiečiais”, ir neteisus yra tas, kuris mano, jog naršyti po WWW platybes nėra pavojinga. Absoliuti dauguma “įsilaužimų” į kompiuterius iš pasaulinio tinklo lieka nepastebėti. Pasak JAV federalinio tyrimų biuro (FBI), šiuo metu užregistruojami tik maždaug penki procentai nelegalaus landžiojimo po svetimus kompiuterius atvejų. Niekieno netrukdomi hakeriai patenka į bankų duomenų apdorojimo sistemas ir naudojasi kitų indėlininkų santaupomis, elektroninio pramoninio špionažo profesionalai ir šiaip mėgėjai per “Internetą” vagia slaptus naujausios produkcijos planus. Dauguma tokių elektroninių vagysčių šiuo metu įvykdoma, naudojantis specialiai tam sukurtomis “ActiveX” bei “Java” programomis, kurias drauge su kita informacija iš WWW puslapių parsisiunčia nieko blogo nenutuokiantys internautai. Koncerno “Sun” sukurta, šiuo matu plačiai paplitusi ir vis populiarėjanti universali programavimo kalba “Java” bei kompanijos “Microsoft” propaguojama “ActiveX” technologija skirtos visų pirma interaktyvių WWW puslapių kūrimui, animacijai bei kitiems vizualiniams efektams. Bet ne tik. Sumanūs hakeriai nesunkiai suranda būdų panaudoti “Javą” ir “ActiveX” saviems tikslams. Šios dvi “Interneto” technologijos saugumo požiūriu yra visiškai skirtingos.
“Javą” kūrę koncerno “Sun Microsystems” (dažniausiai vadinamo tiesiog “Sun”) programuotojai iš pat pradžių galvojo apie programų darbą “Internete” ir apie informacijos apsaugą. Iš WWW puslapio parsiųsta “Java” programėlė (Java applet) startuoja ir dirba griežtai apribotoje srityje – “virtualioje mašinoje”. Ji gali kreiptis tik į tam tikslui skirtą kompiuterio disko sritį, neturi teisės paleidinėti kokių nors kitų programų, gali “bendrauti” (siųsti ir priimti duomenis) tik su tuo “Interneto” serveriu, iš kurio ji pati buvo parsiųsta ir t.t. Visos su “Java” kalba susijusios saugumo “skylės” atsiranda tik dėl nepakankamo šių saugumo principų paisymo ar tiesiog dėl programavimo klaidų. Vistik tenka pažymėti, jog su “Java” susijusios saugumo “skylės” įvairiose programose atrandamos kone kas antrą savaitę.
“Microsoft” sukurta “ActiveX” technologija nepaiso jokių apribojimų ir dėl to turi daug daugiau galimybių. Absoliučiai viską, ką “Windows” vartotojas gali pasiekti, valdydamas kompiuterį klaviatūra ir pele, gali padaryti ir iš “Interneto” parsiųsta “ActiveX” programėlė (ActiveX Control). Kartą startavusi, ji gali visiškai netrukdomai naudotis Jūsų kompiuterio resursais. Kurį laiką niekas nesuko sau galvos dėl tokių “ActiveX” sugebėjimų. Daug ką tiesiog sukrėtė tiesioginė vieno Vokietojos televizijos kanalo laida, kurios metu hakerių klubo “Computer Chaos Club” (http://www.ccc.de) nariai pademonstravo, kaip “ActiveX” technologiją galima panaudoti savanaudiškais tikslais. Nieko pikto nežadančiame WWW puslapyje buvo paslėpta “ActiveX” programėlė, kuri, parsiųsta į vartotojo kompiuterį, bando rasti jame gana populiarią finansinę programą “Quicken”, suradusi ją paleidžia ir užpildo banko mokėjimo pavedimą. Kitą kartą, kai nieko nenutuokdamas vartotojas prisijungs prie savo banko, su kitais duomenimis bus išsiųstas ir šis pavedimas. Tokiu būdu hakerių klubo atstovai milijonų televizijos žiūrovų akyse pasisavino simbolišką sumą – 20 Vokietijos markių. Abejojančius “ActiveX” sugebėjimais kviečiu apsilankyti WWW puslapyje http://www.thur.de/home/steffen/activex/index_e.html, kur galima rasti “ActiveX” pavyzdžių, kurie pervadins Jūsų kompiuterio katalogo “C:WINDOWS” vardą į “c:windows.activex”, persiųs elektroniniu paštu “autoexec.bat” bylos turinį ir pan. Dar kartą kartoju, jog įmanoma yra viskas: skaityti, rašyti, trinti, formatuoti.
Kaip apsisaugoti nuo galimo “ActiveX” puolimo?
“Microsoft” yra sukūrusi “ActiveX” programų žymėjimo (certifikavimo) mechanizmą. Tai, kaip “Internet Explorer” privalo reaguoti į skirtingos kilmės “ActiveX” programėles, galima nustatyti šios “Interneto” naršyklės parametrų lange “View / Options / Security”. Pagal nutylėjimą “Microsoft Internet Explorer” programa leidžia startuoti tik tokias “ActiveX” programėles, kurios yra certifikuotos. Šie “ActiveX” certifikatai patvirtina tik tai, jog programa pasiekė vartotoją nepakeistu pavidalu ir kad jos autorius yra tam tikra firma, pav., “Microsoft”, bet nieko nesako apie programos funkcijas ar pavojingumą. Jūs tik galite pasitikėti tam tikrais programuotojais ir leisti “ActiveX” programai naudotis Jūsų kompiuteriu arba tai uždrausti. Pažymėtina tai, jog startavusios “ActiveX” programos gali ir pačios pakeisti šios parametrus, netgi visiškai išjungti certifikatų tikrinimo mechanizmą.
Populiarėjant “Java” ir “ActiveX” priemonėms ir didėjant rizikai nukentėti nuo šių naujųjų technologijų, pasirodė ir programų, kurios analizuoja iš “Interneto” parsisiunčiamas “Java” bei “ActiveX” programėles ir, esant reikalui, įspėja vartotoją apie galimą pavojų. Viena iš tokių – “SurfinShield”, kurią sukūrė Izraelio firma “Finjan Software” (http://www.finjan.com). Šios bendrovės WWW puslapiuose ne tik rasite “SurfinShield” programą pabandymui, bet ir sužinosite daug naudingų su saugumu “Internete” susijusių dalykų. Panašias programas kuria ir savo antivirusinėmis prriemonėmis pagarsėjusios firmos kaip antai “McAfee” (http://www.mcafee.com/prod/av/av.asp), prieš keletą mėnesių pristačiusi “WebScanX” programą.