WEBSAND: wbudowane zabezpieczenie na rzecz bezpieczniejszego korzystania z Internetu
Październik jest Europejskim Miesiącem Bezpieczeństwa Cybernetycznego , a świadomość bezpieczeństwa online w UE jeszcze nigdy nie była tak wysoka. Szacuje się, że z powodu cyberprzestępczości europejska gospodarka ponosi rok rocznie straty rzędu dziesiątków miliardów euro, z czego większość to kradzieże danych kart kredytowych, które są sprzedawane później na czarnym rynku. Jednym z przedsięwzięć dofinansowanych ze środków UE w ramach walki z cyberprzestępczością jest projekt WEBSAND (Server-driven Outbound Web-application Sandboxing), w ramach którego powstały nowe narzędzia utrudniające hakerom włamywanie się do systemów. Informatycy z projektu WEBSAND zbudowali rozwiązania opierające się na „piaskownicach” – restrykcyjnych mechanizmach, które oddzielają systemy serwerowe i strumienie informacji (między serwerami a przeglądarkami użytkowników) od kodu, który nie należy do zaufanych. NAPRAWMY INTERNET „Najważniejszy sukces WEBSAND to zademonstrowanie inżynierom, jak sprawić, by zabezpieczenia były domyślną częścią systemu, a nie późniejszym dodatkiem” – wyjaśnia koordynator, dr Martin Johns . Internet przeszedł istotne zmiany od 1990 r., kiedy to służył jako statyczne narzędzie do przekazywania dokumentów. Stał się teraz wieloźródłowym środowiskiem w czasie rzeczywistym, zmuszając programistów do włączania zabezpieczeń do systemów a nie tylko integrowania ich z modelem klient-serwer. Zespół WEBSAND został powołany, aby ten stan rzeczy zmienić. „Umyślnie wyznaczyliśmy ambitny cel na początku projektu. Pomyśleliśmy: ‘Spróbujmy naprawić Internet’. I to się nam do pewnego stopnia udało. Opracowaliśmy wiele rozwiązań po stronie serwera, które wymuszają bezpieczeństwo, jakiego potrzebujemy w niektórych obszarach”. Celem było umieszczenie programisty na miejscu kierowcy, obierając od-serwerowe podejście do bezpieczeństwa oraz zbudowanie modułowej i łatwej w użyciu struktury, umożliwiającej programistom, nawet o ograniczonej wiedzy na temat zabezpieczeń, budowanie domyślnie bezpiecznych aplikacji. Kolejną pozycją w dorobku WEBSAND jest zestaw dodatków do przeglądarki dla użytkowników końcowych. To między innymi CSFIRE , które jest niewidoczne dla użytkowników w tym sensie, że stara się nie zakłócać funkcjonalności użytkowanych aplikacji – czy będzie to program pocztowy, Facebook, Google czy powiedzmy kalkulator walut – chroniąc ich jednocześnie niezauważalnie przez atakami internetowymi. Naukowcy z WEBSAND przeprowadzili także analizę niektórych z bieżących, zasadniczych problemów Internetu i opracowali dla nich rozwiązania. Zaprojektowali lekki dodatek do przeglądarek po stronie klienta, który zapobiega atakom DNS rebinding – powszechna i wykorzystywana raz po raz metoda wydobywania informacji z serwera bez wiedzy hosta. Niewielkie poszerzenie „zasady tożsamego pochodzenia” wyklucza tego typu ryzyko. Wypracowali także odmienny sposób uwierzytelniania haseł poprzez wdrożenie nowego systemu wezwanie-odzew inicjowanego przez serwer zamiast przez przeglądarkę. Teraz główni partnerzy projektu – niemieckie przedsiębiorstwa SAP , Siemens oraz uczelnie z Leuven w Belgii i Chalmers w Szwecji – zwarli szeregi z międzynarodowymi organizacjami normalizacyjnymi ds. Internetu – W3C i IETF – z zamiarem przekonania przedsiębiorców opracowujących przeglądarki do przyjęcia technologii WEBSAND. Należą także do organizacji non-profit OWASP (Open Web Application Security Project) i upowszechniają dorobek swoich prac za pośrednictwem grup użytkowników oraz spotkań w ramach tej organizacji. „W SAP i Siemens stosujemy technologię WEBSAND, aby nasze produkty były bezpieczniejsze. Ale również moglibyśmy czerpać bezpośrednie korzyści z Internetu, który jest domyślnie bezpieczny” – stwierdził dr Johns. „Bezpieczeństwo jest niezwykle kosztowne, a bezpieczniejszy Internet mógłby także umożliwić przedsiębiorstwom poświęcenie większych zasobów na funkcjonalność”. Projekt WEBSAND, który był realizowany od października 2010 r. do kwietnia 2014 r., otrzymał dofinansowanie w wysokości 3,2 mln EUR z budżetu 7PR, a pracowało nad nim pięciu partnerów z trzech krajów. Link do strony internetowej projektu