Za informatičare

Posljednja inačica programskog alata za komunikaciju preko protokola SSH (eng. Secure Shell protocol), OpenSSH 5.9, uvodi dodatnu razinu sigurnosti. U programski alat eksperimentalno je dodan „Sandbox“, mogućnost pokretanja računalnih naredbi u izoliranom dijelu memorije ili čvrstog diska bez ovlasti pristupanja drugim podacima na računalu. Tako pokrenuti zlonamjerni programi ne mogu nauditi računalu jer nemaju nikakve ovlasti nad drugim podacima, a gase se gašenjem Sandboxa. Izdavanjem nove inačice OpenSSH 5.9, odnosno uvođenjem Sandboxa, praktički „preko noći“ su onemogućeni napadi prije autentikacije korisnika. Tako napadi i zlonamjerne naredbe na pozadinski proces koji na poslužitelju čeka vezu s klijentom SSHD (eng. Secure Shell Daemon) za napadače gubi smisao jer i njegovim kompromitiranjem neće steći nikakve administratorske ni korisničke ovlasti. OpenSSH 5.9 rješava i neke kriptografske propuste iz prošlih inačica te još niz manjih problema od prije, a sam razvojni tim se trudi izdati novu inačicu svaka 3 mjeseca te biti spreman na brzo izdavanje nadogradnje ako se otkriju veći propusti u trenutnim inačicama. Detaljniji opis nalazi se na web stranicama portala SC Magazine.

Američka državna sigurnosna agencija NSA (eng. National Security Agency) prenosi svoje podatke na bazu podataka otvornog koda. Projekt nazvan „Accumulo“ jest baza podataka koju razvijaju od 2008. godine, a ovaj vikend je predan fundaciji Apache za provjeru i slobodno korištenje u njihovim poslužiteljima. Baza je većinom napisana u programskom jeziku Java i sadrži preko 200 000 linija programskog koda. Glavna prednost nad sličnim programskim rješenjima je detaljna kontrola pristupa informacijama iz baze. Tako se različitim skupinama korisnika može dozvoliti pristup samo određenim dijelovima podataka. Agencija NSA je prilikom predavanja projekta „Accumulo“ fundaciji Apache izjavila kako očekuje da će ta baza podataka biti primarno korištena u državnim i medicinskim ustanovama koje imaju povećanu potrebu za privatnošću i nadzorom podataka. Još jedna značajka baze podataka „Accumulo“ je format za pohranu podataka koji omogućuje kompresiju. Agencija NSA također namjerava izdati veliku količinu projektne dokumentacije jer je „Accumulo“ od začetka vođen kao projekt otvorenog koda, a usko je vezan s poslužiteljskim programom Appache jer koristi mnoge njegove značajke i mogućnosti za svoj rad. Detaljniji opis moguće je pročitati na web stranicama portala InformationWeek.

Projekt otvorenog koda Apache, koji je zaslužan za izradu i održavanje popularnog programa za HTTP poslužitelje, izdao je novu inačicu navedenog programa. Inačica 2.2.20, izdana u utorak, rješava ranjivost na DDoS napade koje je omogućavao propust u provjeri HTTP zaglavlja. Privremeno rješenje koje su preporučili stručnjaci iz tvrtke Apache uključivao je smanjivanje dozvoljene memorije za HTTP upite poslužitelju. U posljednjih nekoliko tjedana pojavio se zlonamjeran program prozvan „Apache ubojica“ koji je iskorištavao upravo tu ranjivost. Iz tvrtke Apache su uz novu inačicu programa izdali i priopćenje kako je dio krivice i na samom HTTP protokolu, te da je na tu grešku upozorio Googleov sigurnosni stručnjak Michal Zalewski još 2007. godine. Iz sigurnosne tvrtke Sophos pozdravili su ovako brzo izdavanje zakrpe i trud tima tvrtke Apache, ali u isto vrijeme i iznijeli zabrinutost za Apache poslužitelje koji koriste operacijski sustav tvrtke Apple. Oni sada zbog načina na koji Apple distribuira nadogradnju moraju pričekati da Apple stavi novu inačicu Apachea u svoje repozitorije. Čak 65,2% svih Internet poslužitelja koristi Apache poslužiteljski program. Vijest s više informacija objavljena na na stranicama portala COMPUTERWORLD.

Skupina koja održava program Apache najavila je objavu nadogradnje za napad prozvan „Apache ubojica“ (eng. Apache Killer). Napad koristi do sada ne ispravljen propust i omogućuje samo jednom osobnom računalu da sruši poslužitelj koristeći DDoS napad. Inače su za takve napade potrebne cijele mreže računala, a sam napad se sastoji od slanja mnogostrukih zahtjeva na računalo žrtve tako da se ono preoptereti. Prije same nadogradnje izdan je i savjet kako zaobići navedene propuste koji se nalaze u inačicama Apache HTTPD Web Server 1.3 i 2.X. Propust koji „Apache ubojica“ koristi, a sastoji se od slanja izmijenjenog HTTP zaglavlja na poslužitelj, otkriven je još 2007. godine, ali zbog jednostavnosti je vjerojatno prošao nezamijećen sve do sada. Ipak poslužitelji mnogih kompanija zaštićeni su već godinama, i mnoge tvrtke koje održavaju internetske stranice javile su kako odavno imaju provjere i zaštite od tog napada. Većina tih rješenja se svodi na ograničavanje HTTP zaglavlja na nekoliko stotina okteta, a to je i službeni savjet Apache Software Foundacije do izdavanja nadogradnje. Više informacija moguće je pronaći na stranicama portala dark READING gdje je objavljena izvorna vijest.