Zwiększanie bezpieczeństwa sieci dla użytkowników
Cyberataki stanowią naruszenia praw człowieka, które mogą mieć katastrofalne skutki dla jednostek i społeczeństw. „Wśród nich można wymienić oprogramowanie ransomware, które żąda od użytkowników i organizacji zapłaty okupu w zamian za odzyskanie dostępu do danych”, wyjaśnia Matteo Maffei z Uniwersytetu Technicznego w Wiedniu, koordynator projektu Browsec. „Cyberataki są często wymierzone w infrastrukturę krytyczną, z kolei technologia deepfake, która wykorzystuje sztuczną inteligencję w celu umożliwienia podszywania się pod osoby fizyczne, może posłużyć do oszukiwania ofiar”. Cyberprzestępcy wykorzystują fakt, że często korzystamy z przeglądarek internetowych. W miarę rozwoju tych rozwiązań nieuchronnie stają się podatne na błędy przekładające się na podatności w zakresie bezpieczeństwa, które mogą być trudne do wykrycia. „Ponadto standardy bezpieczeństwa wbudowane w nowoczesne przeglądarki nie są w pełni zrozumiałe”, dodaje Maffei. „Cyberprzestępcy próbują wykorzystywać nie tylko błędy w kodzie, ale także błędy logiczne w samych standardach internetowych”.
Rozszerzenia i techniki weryfikacji kodu
Celem finansowanego przez Europejską Radę ds. Badań Naukowych projektu Browsec było rozwiązanie tych palących problemów. Zespołowi udało się to osiągnąć przede wszystkim poprzez zabezpieczenie kodu przeglądarki, a także przez zadbanie o to, by standardy bezpieczeństwa zapewniały programistom i użytkownikom rygorystyczne gwarancje bezpieczeństwa. „Nasze badania opierały się na trzech podstawowych filarach”, wyjaśnia Maffei. „W pierwszej kolejności opracowaliśmy formalny model, który określa zachowanie przeglądarki i interakcje z potencjalnie groźnymi stronami internetowymi i serwerami”. Model ten umożliwił zespołowi przeprowadzenie rygorystycznych testów w celu badania nieoczekiwanych interakcji i potencjalnych luk w zabezpieczeniach. „Po drugie, zdaliśmy sobie sprawę, że utrzymanie aktualnych przeglądarek jest poważnym wyzwaniem”, zauważa Maffei. „Aby zaradzić temu problemowi, stworzyliśmy zautomatyzowaną technikę formalizującą zachowanie przeglądarki. Wykorzystaliśmy ją następnie do analizy bezpieczeństwa”. Zespół opracował ponadto rozszerzenia przeglądarki i techniki weryfikacji kodu, zaprojektowane w celu wspólnego egzekwowania rygorystycznych gwarancji bezpieczeństwa aplikacji internetowych.
Standardy internetowe a bezpieczeństwo nowoczesnych przeglądarek
Projekt Browsec wniósł znaczący wkład w rozwój standardów internetowych i bezpieczeństwa nowoczesnych przeglądarek. Kluczowym osiągnięciem było wykrycie i wyeliminowanie luk w zabezpieczeniach istniejących przeglądarek. „Niektóre z tych luk wynikały z błędów koncepcyjnych występujących we frameworkach programistycznych wykorzystywanych w procesie rozwoju niemal wszystkich aplikacji internetowych”, dodaje Maffei. „Dzięki naszej pracy udało się rozwiązać te problemy”. Zespół odkrył również różne niespójności i błędy w standardach internetowych, które zostały zgłoszone organom odpowiedzialnym za ich utrzymanie. Ramy analizy bezpieczeństwa przeglądarek opracowane w ramach projektu mogą służyć jako podstawa do badania wpływu przyszłych aktualizacji przeglądarek na bezpieczeństwo.
Bezpieczeństwo sieci na etapie założeń
Dzięki projektowi Browsec twórcy stron internetowych mają teraz dostęp do bibliotek, które umożliwiają im pisanie bezpieczniejszego kodu. Dostawcy dysponują z kolei możliwościami testowania nie tylko funkcjonalności, ale także bezpieczeństwa swoich przeglądarek. Organy normalizacyjne mają z kolei dostęp do ram pozwalających na formalną ocenę bezpieczeństwa standardów internetowych. „W ten sposób projekt Browsec wywarł głęboki wpływ na bezpieczeństwo całego społeczeństwa cyfrowego”, zauważa Maffei. „Nasze ramy analityczne będą aktualizowane, by dotrzymać kroku zmianom. Naszym celem jest ponadto osiągnięcie ściślejszej integracji z procesem normalizacji”. Maffei twierdzi, że najważniejszym wnioskiem i trwałą spuścizną projektu Browsec jest stwierdzenie, że metody formalne są skutecznym i praktycznym narzędziem do zapewnienia bezpieczeństwa w sieci. „Opracowane przez nas metody okazały się skuteczne nie tylko w wykrywaniu błędów, ale także we wpływaniu na proces normalizacji”, mówi. „Dzięki temu koncepcja »bezpieczeństwa sieci na etapie założeń« jest teraz bliższa rzeczywistości”.
Słowa kluczowe
Browsec, cyberataki, cyfrowe, przeglądarka internetowa, ransomware, deepfake
