ActiveX - en sikkerhetsrisiko

Microsofts ActiveX er et stort sikkerhetsproblem, noe som skyldes både design og implementering, sier Hendrik A. Fulda, talsmann for Chaos Computer Club i Tyskland. - Java tillater ikke så mye som ActiveX og fordi det foregår en åpen diskusjon rundt sikkerheten i Java vil den alltid være sikrere enn et proprietært system.

Chaos Computer Club kom på nytt i fokus da klubben viste hvordan det lot seg gjøre å spre en ActiveX-applikasjon via Internett, som siden saumfarte sin nye brukers maskin. Fant den finansprogramvaren Quicken, brøt den gjennom sikkerhetssperringene og utløste pengeoverføringer fra brukerens konti, uten at brukeren merket at noe galt var på ferde. (Se Quick(en)-Lunsj med bivirkninger.

Chaos Computer Club framstilles gjerne i medier som en skruppelløs gjeng med hackere. De betrakter denne merkelappen som urettferdig. De driver ikke kriminalitet i vinnings hensikt. De kjemper med nebb og klør mot alt som hindrer fri flyt av informasjon og synspunkter, og lar seg ikke be to ganger når oppblåste dataleverandører stiller seg laglig til for hogg. Fristelsen for å avsløre Quicken-programmet fra Intuit ble altfor stor for dette ytterst kompetente fagmiljøet.

Fulda understreker at ActiveX, pillaren i Microsofts arkitektur for kommunikasjon mellom applikasjoner, er et stort sikkerhetsproblem. Det er mangler knyttet til både design og implementering av ActiveX.

– Problemet ble dessuten forsterket av sikkerhetslus i Internet Explorer, som vi benyttet under vår demonstrasjon. Vi har ennå ikke greid å gjøre noe med selve Authenticode.

Authenticode er en Microsoft-module som også brukes av tredjeparts programmer til å sjekke at begge parter i en transaksjon er den de gir seg ut for. ActiveX-applikasjon til Chaos lurte Quicken til å gi fra seg vesentlige sikkerhetsdetaljer, slik at Authenticode trodde at alt var i orden. Fulda forteller at enhver applikasjon som nytter ActiveX kan "hackes" på samme måte.

– Jeg spøker ikke når jeg sier at hele Microsofts programvarearkitektur har vesentlige sikkerhetsmangler. Java, Microsoft-konkurrentenes alternativ, har ikke de samme manglene.

Java er ikke "just another virus attack", mener Fulda.

– I øyeblikket tillater ikke Java så mye som ActiveX gjør. Dessuten foregår det en åpen diskusjon rundt sikkerheten i Java, slik at den alltid vil være bedre enn et proprietært system.

Fulda peker på at de positive meldingene brukeren mottar rundt sikkerheten til de applikasjonene han investerer i, motsies av Microsofts lisensavtaler.

– Microsoft påstår ikke at ActiveX er sikker. Leser du lisensavtalene i den rette sinnsstemningen, vil du legge merke til at de alltid tar sine forbehold om eventuelle lus og andre mangler.

– Den viktigste konklusjonen som må trekkes fra vår demonstrasjon av hvordan Quicken kan overtas av en ActiveX-kontroll, er at brukerens maskin er det svakeste leddet. Det er der det virkelige sikkerhetsproblemet ligger.

Til toppen