O varnostni luknji v Klik NLB, drugič
V minulem tednu so različni mediji (tudi Monitor) kar veliko poročali o varnostni luknji v elektronsko banko NLB Klik, šele proti koncu tedna pa se je bolj natančno razvedelo, kako trojanski konj, ki je napisal Robert Škulj dejansko deluje. Razlaga delovanja in neke vrste rešitev je prišla iz Microsofta Slovenija, kjer so Robertovega trojanca dobili v pogled iz Policije.
Dotični trojanski konj v osnovi izkorišča čisto legalno lastnost Internet Explorerja da svoje zmogljivosti daje na voljo zunanjim programom in je v IE prisotna že od različice 4.0 naprej. Lastnosti se reče BHO oz. Browser Helper Objects, v osnovi pa gre za objekte COM, ki se poženejo hkrati z Internet Explorerjem. Ti objekti tečejo v istem delu pomnilnika kot Internet Explorer in lahko z odprtimi okni in moduli IE počnejo karkoli. Kot piše celo Microsoft v programerski knjižnici MSDN: >>BHO deluje kot vohun, ki ga infiltriramo v brskalnikov teren<<. Verjetno se niti Microsoftu ni sanjalo, da bi lahko kdo to zmogljivost uporabil tako zelo dobesedno...
Zastonjska rešitev je torej trivialna - v Tools/Internet Options/Advanced izklopimo vrstico >>Enable third-party browser extensions<< in ponovno zaženemo računalnik (dovolj je tudi odjava in ponovna prijava). Rešitev pa je hkrati brutalna, saj na ta način izklopimo tudi dodatne orodjarne (Google, Najdi.si, Norton Antivirus), ki smo jih imeli v brskalniku, nenazadnje pa tudi razne dodatke kot so programi za zapiranje samodejno odpirajočih se oken (t.i. PopUp killerji). Nekako tako kot je proti skriptnim virusom brutalno učinkovito, če Oknom izklopimo možnost izvajanja skriptov...
Robert je torej za velike denarje poskušal prodati rešitev, ki bi na nekakšen drugačen način zaobšla lastnost Internet Explorerja, ki se je Microsoftu pred leti zazdela kot prijazna in koristna za vgradnjo. Nekako tako kot se je Microsoftu pred leti zazdelo smiselno uvesti elektronska sporočila v formatu HTML, kasneje pa so temu dodali še možnost izvajanja skriptov direktno iz sporočil. Zaradi zadnje odločitve imamo danes v svetovnem spletu poplavo različnih skriptnih virusov. In tudi zanje je pred časom iz Microfta prišla enako brutalna rešitev kot sedaj za Robertovega trojanca - svetovali, naj si uporabniki v Oknih izklopijo možnost izvajanja skriptov.
In NLB? Že pred meseci bi lahko s pomočjo svojih varnostnih strokovnjakov uporabnikom predlagali opisano zastonjsko rešitev, ali morda vsaj svetovali uporabo kakega alternativnega brskalnika, ki zmogljivosti BHO ne pozna. Nič od tega še danes niso storili.