Gadu-Gadu, program napisany przez Łukasza Foltyna, dystrybuowany przez spółkę sms-express.com zrobił w Polsce zawrotną karierę. Używa go miesięcznie około 3 milionów osób, jest zainstalowany na wielu, jeśli nie większości podłączonych do Internetu komputerach. Nie tylko domowych, ale także pracujących w sieciach korporacyjnych, po których krążą niekiedy bardzo wrażliwe i cenne dane. Korzystanie z tego programu jest tyleż powszechne, co tolerowane przez pracodawców i administratorów sieci. Może się ono jednak okazać zaskakująco niebezpieczne. Informatycy z Poznańskiego Centrum Superkomputerowo – Sieciowego znaleźli w programie aż siedem różnego rodzaju dziur.
– Od zmian w obsłudze wiadomości, która, na przykład, zamiast do adresata dociera do nieznajomej osoby, po luki umożliwiające uruchomienie kodu (także złośliwego!) na komputerze klienta – wymienia Błażej Miga.
– Luki umożliwiają też kradzież dowolnych plików z komputera klienta – dodaje Jarosław Sajko.
Co gorsza, użytkownik nie jest w żaden sposób informowany o tym, co dzieje się na jego twardym dysku. Po prostu pliki nagle znikają. Włamywacz może też zrobić coś wręcz przeciwnego – podrzucić delikwentowi dowolny plik, zapisując go na dysku ofiary.
Można wejść przez lufcik
Ten niewielki program może stworzyć ogromny wyłom w dobrze zabezpieczonej sieci. włamywacz atakuje komputer pracownika, przez dziurę w GG, a na serwer firmy, gdzie są interesujące go dane, łatwo wchodzi podszywając się pod uprawnionego użytkownika. Zabezpieczenia serwera nie mają wtedy podstaw, by się włączyć.
Poznańscy informatycy opracowali w warunkach laboratoryjnych narzędzia, które z wykorzystaniem dziur w GG pozwalają dokonywać opisanych włamań. Złą dla użytkowników komunikatora wiadomością jest to, że narzędzia te działają, tak jak założyli sobie ich projektanci.
Niebezpieczne metamorfozy
Błędy w GG pozwalają na atak najbardziej bezczelny: na podszycie się pod użytkownika. Ktoś odpowiadając na wiadomość od znajomego z listy kontaktów tak naprawdę otwierał intruzowi furtkę do swojego komputera.
– By temu skutecznie zapobiec, musielibyśmy nie tylko ignorować wiadomości od nieznajomych, ale też usunąć wszystkich z listy kontaktów – uświadamia Miga. – Bo wystarczy kliknąć na kopertę u dołu ekranu sygnalizującą nową wiadomość, a złośliwy kod już może być wykonany na komputerze.
Artykuł pochodzi z czasopisma "e-Fakty" 1/2005.