I juni i år konstaterte analyseselskapet Forrester Research at svært få av "Fortune 1000"-selskapene beskytter seg mot ondsinnet Java- og ActiveX-kode, og oppfordret dem til å ta et oppgjør med denne uansvarlige holdningen. Bakgrunnen var en undersøkelse som selskapet gjennomførte i forbindelse med en test av hva slags applet-forsvar det var på markedet, utenom adgangen til å blokkere alt som smaker av Java og ActiveX.
Svarene i undersøkelsen var nemlig en studie i tvetydighet. 92 prosent sa seg bekymret for sikkerhetsproblemer knyttet til Java og ActiveX, samtidig som 72 prosent lot slik kode passere fra Internett til deres egne nettverk. 56 prosent hadde ikke et eneste sikkerhetstiltak for å verne seg.
I praksis er problemet forholdsvis lite. Ondsinnede applets er ikke oppdaget i det fri. Men eksperter har konstruert applets som kan kjøre maskiner i heng, rane passord, omkonfigurere programvare og legge igjen filer hos klienter og tjenere. Ondsinnet kode kan integreres i websider eller i e-post.
Forrester-rapporten Securing Java and ActiveX gjør rede for et tidlig forsøk på å lage en beskyttelse, ved å prøvekjøre all innkommende aktiv kode på spesielt sikrede maskiner før meldingene gikk videre til mottaker. Konklusjonen var at dersom en større bedrift, for eksempel Ford Motor Company, skulle gjennomføre dette opplegget, ville selv en Cray-supermaskin overbelastes.
Rapporten anbefaler en beskyttelse i tre nivåer:
- Ved brannmuren skal all aktiv kode gjenkjennes. Kode som bærer kjente sertifikater går videre til klienten. Sertifisert kode med ukjent eller dårlig sertifikat settes til side for nærmere undersøkelse. Ikke-sertifisert kode går til en egen tjener for nærmere undersøkelse.
- I en oppsynstjener ("profile inspection server") skannes aktiv kode mot en signaturdatabase, etter samme mønster som virusskanning. Ondsinnet kode forkastes.
- I klienten skal all kjøring av innkommende aktiv kode overvåkes av en egen agent. Regler for denne agenten skal styres av samme instans som har ansvaret for selskapets helhetlige datasikkerhet, og skal ikke kunne manipuleres på klienten eller av andre uvedkommende. Ved uregelmessigheter må koden stanses, og brannmur og oppsynstjener må oppdateres automatisk for å gjenkjenne og stanse koden på et høyere nivå.
Forrester betrakter mer utbredt sertifisering av Java- og ActiveX-kode som et nødvendig tiltak for å bedre sikkerheten, men understreker at i flere år framover vil bare en mindre del av all åpent formidlet aktiv kode være dekket av et sertifikat. Et nivå på tretti prosent vil ikke være nådd før ved utgangen av 2001, og selv det forutsetter vesentlig framskritt innen standardisering og utsteding av sertifikater i løpet av 1999.
I sin test av forsvar mot aktiv kode, fant Forrester at Trend Micro var alene om et tilbud som tilfredsstilte alle kravene i trelagsbeskyttelsen, og at dette forspranget sannsynligvis ville vare ut neste år. Konkurrentene arbeider etter den samme modellen, men ingen vil innen overskuelig framtid få både et helhetlig styringsverktøy og integrert skanning av både virus og applets innen årtusenskiftet, med unntak av den nystartede selskapet eSafe.
- Det er svært viktig at politikken som klientovervåkeren skal følge, fastsettes sentralt, sier Rolf Rennemo i Trend Micro.
- Vi har blant annet lagt opp til at overvåkeren kan endre appleten med elementer definert av sikkerhetsansvarlig, for eksempel som ledd i en intern sertifisering.
Politikken fastsettes av administrator i et nettlesergrensesnitt tilsvarende det hos samtlige av Trend Micros produkter. Blant innstillingene:
- stanse ethvert forsøk på å overskrive filer eller formatere disker
- definere områder på lokale disker og nettverksdisker der en applet kan lese og/eller skrive
- avgrensing av en applets mulighet til å opprette andre nettverksforbindelser, og i så fall hvilke (dette er nødvendig for eksempel for å tillate moderne web-basert terminalemulering)
- antall vinduer som en applet kan åpne og andre former for ressursbegrensninger.
Trend Micros Applet Trap er en integrert del av selskapets gateway-produkt InterScan.