COMPUTERWORLD
Specializovan² t²denφk o v²poΦetnφ technice
o Internetu
(CW 13/97)

Jak prov∞°ovat applety

Sharon Machlis

Jak dobr² je firewall, kdy₧ u₧ivatelΘ, kte°φ surfujφ po Webu, downloadujφ potencißln∞ Ükodliv² spustiteln² k≤d, jen₧ potom b∞₧φ na jejich systΘmech, ani₧ by byl prov∞°ovßn -- a n∞kdy bez znalosti o n∞m? To je dilema sprßvc∙ sφtφ, kterΘ p°ed nimi vyvstßvß ruku v ruce s tφm, jak se miniaplikace napsanΘ v Jav∞ nebo ActiveX stßvajφ obecn∞ rozÜφ°en²mi na strßnkßch WWW.

P°i pokusu zvlßdnout potencißlnφ bezpeΦnostnφ problΘmy, jejich₧ zdrojem je takov² z °et∞zu utr₧en² k≤d, n∞kolik hlavnφch dodavatel∙ firewall∙ pou₧φvß technologii filtrace Javy navr₧enou zaΦφnajφcφ izraelskou firmou Finjan.

SurfinGate firmy Finjan neprovßdφ filtraci applet∙ ActiveX, avÜak podle Liora Arrussyho, viceprezidenta spoleΦnosti pro marketing a odbyt, bude tato schopnost zahrnuta v jeho budoucφch verzφch.

"Je pro nßs obtφ₧nΘ p°esn∞ vystihnout mφru hrozby [applet∙]," °φkß Richard Perlotto, mana₧er pro sφ¥ovou bezpeΦnost spoleΦnosti, p∙sobφcφ ve VLSI Technology v kalifornskΘm San JosΘ. "Jde o velkou kvantitu neznßma."

Pan Perlotto °φkß, ₧e by rßd vid∞l schopnost filtrace Javy zabudovanou do firewallovΘho softwaru FireWall-1 firmy CeckPoint, kter² je u nich pou₧φvßn.

Podle odbornφk∙ SurfinGate od svΘ prvnφ beta-verze urazil p∞kn² kus cesty. V tomto okam₧iku pracuje opravdu tak, jak je prezentovßn v reklam∞ -- co₧ samoz°ejm∞ nenφ pravidlem. SurfinGate v reßlnΘm Φase zkoumß obsah javov²ch applet∙ a vytvß°φ bezpeΦnostnφ profil, jen₧ popisuje potencißlnφ bezpeΦnostnφ rizika p°φchozφho programu.

Pokud applet jevφ znßmky naruÜitelskΘ politiky, kterou spoleΦnost definovala pro ·Φely bezpeΦnostnφho softwaru, bude odfiltrovßn. Pokud je mu dovoleno projφt, pak tatß₧ politika definuje, kterΘ soubory, pam∞¥ovΘ a sφ¥ovΘ prost°edky m∙₧e applet vyu₧φvat. To m∙₧e na druhΘ stran∞ zpozdit vykonßnφ appletu, aΦkoliv p°edstavitelΘ spoleΦnosti tvrdφ, ₧e degradace v²konu bude minimßlnφ.

Firma Finjan oznßmila, ₧e na sv²ch °eÜenφch spolupracuje s mnoha dalÜφmi spoleΦnostmi (CheckPoint, Raptor Systems, Milkyway Networks a dalÜφ).

┌toky hacker∙

P°i demonstracφch r∙zn²ch webov²ch strßnek zp∙sobily zlomyslnΘ applety zhroucenφ systΘm∙ a doslova proÜmejdily u₧ivatelskΘ stroje, aby zφskaly data za ·Φelem jejich vyslßnφ na vn∞jÜφ server.

Hacke°i z n∞meckΘho Chaos Computer Club p°edvedli applet ActiveX, jen₧ navedl software pro proplßcenφ faktur, aby poslal penφze na ·Φet Gene Spafforda, profesora poΦφtaΦov²ch v∞d na Purdue University a spoluautora publikace Practical Unix and Internet Security (Praktickß bezpeΦnost Unixu a Internetu).

"Ka₧d², kdo je odhodlan²m hackerem disponujφcφm mno₧stvφm prost°edk∙ a dostateΦnou mφrou vlastnφ zßludnosti, bude pravd∞podobn∞ schopen obejφt vÜe, co (filtrovacφ programy) mohou ud∞lat," °φkß Avi Rubin, Φlen vyÜÜφho technickΘho personßlu v newyorsk²ch AT&T Bell Laboratories. "Neexistuje ₧ßdn² zp∙sob, jak²m by firewall mohl udr₧et krok se vÜemi r∙zn²mi zp∙soby k≤dovßnφ applet∙."

| <<< | CW o Internetu | COMPUTERWORLD | IDG CZ homepage |