Hopp til navigasjon Hopp til innhold

Morpheus-«hull» falsk alarm

Media slo nylig alarm om et sikkerhetshull i Morpheus, som skulle gi snoker ubegrenset adgang til brukerens filer. – Dette er ikke korrekt, forklarer Virus112s sikkerhetskespert.

Morpheus logo
BBC News fortalte i helgen om hvordan en gjeng sikkerhetseksperter avdekket alvorlig sikkerhetsbrist i det populære fildelingsprogrammet Morpheus.

Denne «trusselen» er kraftig overdrevet.

Sikkerhetsekspertens ord

Vi lar sikkerhetsspesialist Carsten Eiram i Virus112 forklare:

«Morpheus er på samme måte som Gnutella, Napster og Kazaa et fildelingsprogram, som gir en bruker mulighet for å velge filer man ønsker at andre skal ha tilgang til. Da Morpheus ikke har et innebygget, selvstendig protokoll, benyttes HTTP-protokollen i stedet for overførsel av filer samt visning av fil-lister. Dette betyr i praksis at den enkelte brukerens maskin fungerer som en slags enkel webserver.

Brukeren bestemmer

Da maskinen fungerer som en webserver, er det ikke bare andre Morpheus-brukere som har adgang til brukerens delte filer, men også alle andre. Disse delte filene kan sees og lastes ned ganske enkelt, ved at man åpner en browser og etablerer en forbindelse til maskinen på port 1214/tcp. Folk har likevel fremdeles bare tilgang til delte filer, som brukeren selv har valgt. Ubegrenset tilgang til filer oppstår først hvis en person har gitt tilgang til hele systemet. Ønsker man ikke å dele sine filer med hele verden, kan man filtrere trafikk til port 1214/tcp, slik at kun spesifikke personer kan etablere forbindelse til ens system.

Ukyndige er problemet

Det er derfor ikke tale om et sikkerhetshull. Det umiddelbare «store problemet» i Morpheus er, at majoriteten av brukerne er barn og unge, som benytter programmet til utveksling av mp3-filer. Og de er kanskje ikke er klar over at deres maskin fungerer som en webserver, slik at hele verden kan få innsyn i de valgte filer eller se deres brukernavn…»