ICT-security
Scylla en Charybdis*
Frank Brokken
Frank Brokken is security manager bij het RC. Met het instellen van deze functie probeert de RUG het ‘security bewustzijn’ bij de gebruikers van de universitaire ICT-voorzieningen te bevorderen. In zijn column houdt Frank ons op de hoogte van de stand van zaken met betrekking tot zijn missie.
een klassieke uitvoering van Scylla
Het RUG-webplatform is ongetwijfeld erg mooi, maar er is ook een aantal security-aspecten die nauw verband houden met de manier waarop het webplatform is ontwikkeld. Over deze security-aspecten gaat mijn huidige bijdrage.
Bij de ontwikkeling van het webplatform is in eerste instantie gekozen voor de Internet Explorer webbrowser van Microsoft. Helemaal vreemd is dat niet: Internet Explorer is nou eenmaal de meest gebruikte webbrowser, en bij een zo groot project als het webplatform moet je natuurlijk ergens beginnen, nietwaar.Bij de ontwikkeling van het webplatform is ook gekozen voor intensief gebruik van de programmeertaal Java. Deze programmeertaal is door Sun Microsystems ontwikkeld, en maakt het onder andere mogelijk om programma's, zogenaamde `applets' op te nemen in web-pagina's. Het kopje dampende Java-koffie is inmiddels zo'n beetje het `handelsmerk' van de programmeertaal Java geworden.
De gebruiker die een webpagina opvraagt waarin een Java-applet is opgenomen, krijgt niet alleen de opgevraagde pagina te zien, maar start bovendien het ingebedde Java-programma, dat vervolgens onder regie van de webbrowser wordt uitgevoerd.
Het vervelende is nu, dat Microsoft heeft gemeend een eigen implementatie van Java te moeten maken, die vervolgens wordt gebruikt wanneer bijvoorbeeld de Internet Explorer webbrowser wordt gestart (en ook wanneer gebruik wordt gemaakt van bijvoorbeeld Outlook Express en de gebruiker e-mail ontvangt waarbij een Java-applet is meegestuurd).
Dat die eigen implementatie van Microsoft vervelende consequenties kan hebben moge blijken uit het volgende.In augustus van dit jaar werd Microsoft geïnformeerd door Jouko Pynnonen over een aantal problemen die in de Java implementatie van Microsoft waren geconstateerd. Het blijkt dat Sun's implementatie van Java geen last heeft van de geconstateerde problemen. Voor wie geïnteresseerd is in de details:
online.securityfocus.com/archive/1/290966Jouko schrijft onder meer: ‘These are some technical details about the security vulnerabilities I've found in Microsoft's Java implementatation. They were reported to the vendor mostly during August 2002. Microsoft no longer responds to my inqueries and doesn't seem to react about these severe vulnerabilities which affect most Internet Explorer users. For this reason I've decided to publish this information and hope it encourages the vendor to correct the issues and release patches. This also allows other voluntary security researchers to investigate the issues and possibly propose fixes or workarounds.’
Jouko constateert ruim tien problemen. Mijns inziens zijn ze niet alle even ernstig, maar een aantal ervan hebben zeker ernstige consequenties:
- Applets kunnen worden gestart (en opgevraagd) van andere dan officieel toegestane websites. Dat kan leiden tot het ongecontroleerd starten van programma's op uw pc (een verschijnsel dat we ook wel kennen in combinatie met virussen, alleen kan uw virusscanner hier niet veel tegen doen).
- Willekeurig welk document op uw harddisk kan worden gelezen. Denk hierbij aan informatie over passwords, mogelijk creditcard-gegevens, en dergelijke. Niet alleen zijn de files op uw harddisk toegankelijk voor de Java-programma's maar ook alle files die via disk-sharing beschikbaar vanaf uw computer kunnen worden gelezen zijn toegankelijk voor Java programma’s die via uw webpagina's op uw computer worden gestart.
- De informatie in uw `clipboard' kan worden gelezen. Omdat uw clipboard mogelijkerwijs ook (via cut-and-paste operaties) persoonlijke informatie zoals passwords kan bevatten, is ook dat een ernstig lek in de beveiliging van uw computer.
Er zijn eigenlijk maar een paar bekende oplossingen voor de hier geconstateerde problemen:
- Java-support uitzetten: Kies `Deze Computer', `Configuratiescherm', `Internet Opties'. Kies dan bij `Internet Opties': `Beveiliging' en activeer daarbinnen: `Internet'. Klik vervolgens op `Aangepast Niveau' en vervolgens: `Java / Toestemmingen voor Java / Java Uitschakelen'. Of:
- Gebruik geen Internet Explorer of een e-mail programma dat gebruik maakt van de Microsoft-implementatie van Java.
Omdat de ontwikkelaars van het webplatform zich in eerste instantie expliciet op de Internet Explorer webbrowser (in combinatie met Java) hebben gericht, ontstaat er een dilemma: in de context van het webplatform kan voorlopig eigenlijk niet worden uitgeweken naar een andere webbrowser dan Internet Explorer, terwijl het ook niet goed mogelijk is om Java uit te zetten. Scylla en Charybdis?
In ieder geval vanuit security-overwegingen hoop ik dat het webplatform spoedig ook toegankelijk is voor andere webbrowsers dan Internet Explorer. In ieder geval raad ik iedereen aan, zolang er nog geen geverifieerde oplossingen zijn gepubliceerd voor de problemen die door Jouko Pynnonen zijn geconstateerd, om de door hem gegeven adviezen serieus te nemen: geen Java bij Microsoft-producten toestaan, of een andere webbrowser hanteren.
In de tussentijd: mocht u een goede oplossing voor de geconstateerde problemen hebben, vermeld uw oplossing dan op http://www.rug.nl/rc/organisatie/pictogram/archief/security/award
(Klik `Deelnemersformulier').
Met uw oplossing maakt u ongetwijfeld een goede kans op het winnen van de Annual Security Award 2003-2004, onder het motto: Be Part of the Solution, Not of the Problem!Tenslotte wens ik iedereen plezierige kerstdagen en een voorspoedige jaarwisseling toe.
--------------------------------------------------------------------
* Scylla: a dangerous rock on the Italian side of the Straits of Messina, opposite the whirlpool Charybdis: in classical mythology both Scylla and Charybdis were personified as female monsters – between Scylla and Charybdis: between two perils or evils, neither of which can be evaded without risking the other.Uit: Webster’s New World Dictonary of the American Language, Second College Edition, 1974.
index Pictogram 6