Sigurnosni propusti – to update or not to update?

25. Srpanj 2010. 3 komentara Autor:

Softver je postao jako komplikovana stvar. Mora bit lijep, funkcionalan, donijeti nešto novo da bi ga se uopće primijetilo u moru njemu sličnih. I naravno, mora podržavati mali milion opcija i tehnologija. Kad pobrojite šta sve prosječen program mora ‘imati’ da bi ga se smatralo konkuretnim, vrlo brzo se izgubi u moru skraćenica i vrlo često opskurnih tehnologija i protokola od prije n godina. Pri tom mislim na svakodnevne ‘pomoćne’ aplikacije, dakle, manje ali praktične programčiće koji nam olakšavaju svakodnevni život. Krupniji paketi programa poput Windows operativnog sistema su toliko kompleksni i zamršeni da se iskreno čudim kako uopće uspiju ‘napravit’ da sve (koliko-toliko) radi i popakovat na jedan DVD. S druge strane, uopće me ne čudi da u procesu nastanka današnjih toliko kompleksnih programa nastaju propusti. Nekad se ti propusti manifestiraju kao bugovi koji onemoćavaju pravilan rad programa, tj. neke opcije & mogućnosti ne fukncionaraju kako bi trebalo. A nekad se ti propusti manifestiraju u obliku tzv. sigurnosnih propusta, tj. ranjivosti kompletnog sistema koji pokreću dotičnu problematičnu aplikaciju.

Svaki korisnik kompjutera prije ili kasnije susret će se s ažuriranjima softvera, u narodu poznatijim kao ‘abdejteima’ (update). Zadaća update procesa je ‘’zakrpiti’ (patch) problematičan program, ispraviti njegove nedostatke, a ponekad i dodati nove mogućnosti (features). Među krajnjim korisnicima update proces je često vrlo omražena rabota: kompjuter uspori, treba ga restartat i onda mu treba pola sata ‘da se podigne’, neke stvari se promijene, nisu više tamo gdje su bile. I naravno, sve se to dešava u najgorem mogućem trenutku, u najvećoj stisci s vremenom, a baš kao u inat update tad traje i traje. Dakako, krajnjem korisniku nikad nije pravi trenutak za primjenu ažuriranja (uvijek je stiska s vremenom, je l’ da?), ali korisnik ima puno pravo da mu idu na živce takve stvari. Konačno, (nadajmo se) pošteno je platio taj softver, što ga nisu napravili kako treba? Što su ga uopće izdavali ako je pun rupa?

Živa je istina da je razlog zašto su mnogi programi toliko puni rupa žurba da se proizvod što prije izbaci na tržište. Takav poluproizvod se onda još dugo nakon zvaničnog objavljivanja patchuje, ispravlja, popravlja i dorađuje. Tako stvari funkcioniraju već godinama, ali i kad to nije slučaj propusta ima i dalje. Razlog djelimično leži i u tome što su korisnici poptuno nepredvidiva kategorija: korisnik nekog programa će alate koji mu se stave na raspolaganje prije ili kasnije početi koristiti na načine koje programeri ne samo da nisu planirali i predvidjeli, već im nisu bili ni na kraj pameti. Još kad se uzme u obzir kako se stvari u informatici brzo mijenjaju, nije ni čudo da će se i u najboljem softveru prije ili kasnije pronaći rupa. To je samo po sebi dovoljno loše, ali kada te rupe neko počne koristiti na štetu korisnika, e tek onda nastaju problemi…

Attack vector trendovi

U svijetu vlada mišljenje (sasvim opravdano) da je Microsoftov softver pun rupa i samim tim vrlo nesiguran. Jedino nam na Windowsima trebaju antivirusni programi i posebne mjere zaštite, korisnici Macintosha i Linuxa toga su pošteđeni (bar zasad, po svemu sudeći ne još zadugo). Međuti, ono što je prava istina je da softver drugih proizvođača nije ništa manje ‘šupljikav’ nego Microsoftov, samo se Microsoftov daleko više koristi pa je time i mnogo privlačnija meta malicioznih korisnika (veće su šanse da će njihov maliciozni kod imati efekta). Međutim, podaci govore kako je Apple (iTunes, QuickTime) firma koja je u prvoj polovini 2010. imala najviše sigurnosnih propusta (na sreću Mac korisnika, MacOS nije toliko pogođen), dok je druga po redu firma Oracle (ovako visoku poziciju duguju akviziciju SUNa i njegove JAVE). Microsoft (Windows, Internet Explorer) je tek na tećem mjestu, a slijede ga HP i Adobe (Acrobat Reader, Flash). Ova rang-lista ne prikazuje stupanj izloženosti pojedinog programa, već ukazuje na to koliko problema se konstantno pronalazi čak i u softveru najvećih svjetskih proizvođača. Zaključak je: ništa nije sigurno.

Tzv. attack vector opisuje način na koji napadač može iskoristiti ranjivost nekog proizvoda. Statistika pokazuje da najveći broj napada dolazi s udaljenih mašina (81%), zatim slijede lokalna mašina (sam kompjuter koji se napada, 9,8%) i  lokalna mreža (8,2%). Do nedavno su glavni attack vectori bili propusti u samom operativnom sistemu, međutim u posljednjih nekoliko godina to se počelo drastično mijenjati. Sve češća meta napada su tzv. 3rd Party Programs, tj. softver proizvođača različitih od proizvođača operativnog sistema. Tokom zadnjih 5 godina Microsoftov softver objektivno jeste postao sigurniji (Windows Vista i Windows 7 implementirali su mnoge sigurnosne mjere kojih u Windows XP nema), ali broj propusta koji se pronalaze ostao je manje više isti. Međutim, broj propusta u softveru 3rd Party Vendora se ušestostručio kroz posljednih pet godina.

Jedan od glavnih razloga leži u tome što je Microsoft uložio ogroman napor (i novac) u krpljenje svog softvera. Razvili su sistem i rutinu, a od izlaska Service Packa 2 za Windows XP krajem augusta 2004. vrlo agresivno guraju zakrpe prema korisnicima. Rezultati tih napora su vidljivi: iako Windowsi statistički nisu ništa sigurniji nego što su bili (srećom, realno itekako jesu), situacija se nije drastično pogoršala kao što je slučaj kod drugih proizvođača. Jednostavno, velike su šanse da će korisničke mašine biti ažurirane vrlo brzo nakon otkrivanja sigursnog propusta u Microsoftovom softveru. Ova činjenica drastično smanjuje prostor malicionznim korisnicima da iskoriste sigurnosne rupe, tako da se okreću ‘zelenijim pašnjacima’.

Zašto je to tako? Stvar je prilično prosta: zakon velikih brojeva vrijedi i ovdje. Posljednjih godina pojavili su se mnogi nezavisni (Third Party) programi koji su postali gotovo sveprisutni. I to ne samo na Windowsima, već i na drugim operativnim sistemima. Primjeri ovakvih programa su Adobe Flash Player (instaliran na 99% mašina), Adobe Reader (instaliran na 91% mašina), Sun JAVA JRE (89% mašina), Mozilla Firefox (56%) ili Apple iTunes (43%). Svi ovi programi imaju dovoljnu korisničku bazu da se isplati napasti ih, stoga, što da ne? U ovakvim stvarima se obično ‘peca’ u mutnom i uspjeh malicioznog koda ovisi o uspješnom napadu na što veći broj mašina. Ukoliko će Windowsi vrlo brzo biti zakrpljeni, ne isplati se ulagati trud u napad na njih kad se može jednako uspješno napasti neki drugi softver koji neće biti tako brzo zakrpljen. Na žalost, nisu sve softverske kuće ažurne kao Microsoft.

Iako svi veći proizvođači imaju sistem ažuriranja, gledano u globalu situacija je vrlo loša jer je briga o ažuriranju većine softvera prepuštena brizi korisnika koji uglavnom ima preča posla nego ‘pješke’ provjeravati verzije i po potrebi downloadati i instalirati ažuriranja. Posljedica toga je da se na velikom broju mašina vrte zastarjele verzije popularnih programa, što je vrlo loše po sigurnost i pravi zlatni rudnik malicioznih korisnika.

Istraživanja pokazuju da je tipičan korisnik ili neupoznat ili naprosto zastrašen (i revoltiran) kompleksnošću i učestalošću procesa ažuriranja desetina programa koji se mogu naći na prosječnom kompjuteru. Među 50 najpopularnijih softvera nalaze se Windowsi i još 26 Microsoftvoih aplikacija koji se mogu vrlo efektno ažurirati Microsoftovim ugrađenim sistemom (Windows / Microsoft Update). Da bi se ažurirala preostala 24 programa treba koristiti 13 ili više različitih sistema ažuriranja… Imajući u vidu ovu činjenicu nije ni čudo što je neažuriran softver tako česta pojava. Sve upućuje da će 3rd Party programi i dalje biti jedna od glavnih meta za iskorištavanje sigurnosnih propusta i u budućnosti. Unificiranog rješenja problema (trenutno) naprosto nema.

Ako je to ikakva utjeha: problem je prepoznat i čine se određeni napori da se makar ublaži. Jedan od takvih pokušaja je Secunia Personal Software Inspector (PSI). Programčić je besplatan za kućne korisnike, a ono što radi je skeniranje sistema u potrazi za instaliranim softverom. Nakon analize prijavit će koji su programi problematični i predložit njihovo ažuriranje. Dio posla korisnik i dalje mora raditi sam: skinuti patch ili novu verziju s interneta i instalirati, ali na sreću Secunia PSI klikom na dugme u browseru otvara stranicu na kojoj se može pokrenuti pripadajući download. Istina da postoje i rješenja koja nude automatsku instalaciju novih verzija (bez angažmana korisnika), no obzirom da podržavaju vrlo ograničen broj programa, njihova upotrebljivost je upitna. Secunia PSI je najkorisnije rješenje na koje sam nabasao do danas i zdušno ga preporučujem – probajte, džaba je :)

Rizici i konačno: da ili ne?

Prije svega, par riječi o tome zašto bi se uopće trebalo zamarati ažuriranjima. Prosječan korisnik će se zapitati: “Šta će sve to meni i zašto bih se peglao tim ažuriranjima kad mi sve radi kako treba?”. Logično, opravdano i konkretno pitanje na koje nije nimalo lako dati konkretan odgovor. Prije svega, treba imati na umu da se u cijelom tekstu govori o sigurnosnim rizicima, ovim hoću reći i da ukoliko rizik postoji ne mora značiti da će biti eksploatiran. Neažuran softver pun sigurnosnih problema predstavlja odrškrinuta vrata, nije sigurno da će se kroz njih neko i provući, mada mogućnost postoji. Stručnjaci su jednoglasni u ocjeni što je sigurno – sigurno, bolje je da su sva vrata zatvorena.

Konkretno, sigurnosni propusti omogućavaju eksploataciju vašeg kompjutera u često maliciozne svrhe. Definitivno otežavaju posao antivirusnim programima koji zbog sigurnosnih rupa često ne mogu biti potpuno efikasni (malo nategnuta izjava, ali recimo da je tako). Zahvaljujući sigurnosnim propustima moguće je da kompjuter padne pod kontrolu udaljene treće strane koja će ga iskoristiti za Internet napad na nekog petog-desetog, za slanje spama i slično. Ili će omogućiti postavljanje tzv. keylogger softvera koji će pratiti sve što tipkate i samo vrebati unošenje parova korisničko ime / šifra, o brojevima kreditnih kartica da i ne govorim. Dakako, tu je i uvijek prisutan rizik krađe podataka. Ovo je samo par ilustracija o kakvim rizicima je riječ.

Sve uzevši u obzir, koliko god da je proces peglativan, update se apsolutno mora provoditi. To je rabota na koju smo naprosto osuđeni i tako je kako je, kažu da šta se mora nije teško (lažu, ali to nije predmet ovog teksta).

Na kraju jedna sitna napomena. Na ‘ovim prostorima’ prilično je česta pojava korištenje softvera čije je porijeklo sumnjive legalnosti. Proizvođači se protiv pirata bore između ostalog i ažuriranjima, tako da nije rijetkost da piratski softver nakon patcha prestane raditi (npr. serijski broj koji za instalaciju koriste pirati se proglasi nevažećim). Također, neki crackovi i slične metode zaobilaženje protupiratske zaštite koriste ono što se u biti može smatrati sigurnosnim propustima u sistemu. Nakon provođenja ažuriranja operativnog sistema i nekih dodataka poneki crack zna prestati funkcionirati. Poznato je da Microsoft daljinski isključuje piratske verzije Windows Viste i 7, nakon čega je nemoguće pokrenuti sistem a da se ne provede legalizacija (tj. plaćanje licence – moguće je ‘oboriti sistem’ pa sve nanovo…). Sve ovo dovodi korisnike ilegalnog softvera u nezavidnu poziciju da svaki put kad provode update budu k’o na iglama ne znajući šta će ih dočekati kad restartaju kompjuter, ali softverska industrija, razumljivo, nema previše razumjevanja za ovaj problem i o njemu se općenito malo govori.

Pogledajte i ovo:

Sigurnost

O autoru

Zovu ga: Zoran Živi i radi u: Sarajevu, Bosnia & Hercegovinia U slobodno vrijeme studira elektrotehniku, inače informatičar, SysAdmin, voli o sebi misliti kao o programeru. Voli: književnost i pisanje općenito (očito, zar ne?), pogotovo fantasy i sci-fi. Bez muzike ne zna, neće i ne može. Filmove i TV baš i ne gotivi, osim nekih posebnih filmova i serija u koje se zaklinje da su najnaj što je ljudski um stvorio. Jedan od pokretača i član bhBlog tima. Povremeni autor na ITPro.ba portalu.

3 odgovora to “Sigurnosni propusti – to update or not to update?”

  1. Odgovori
    Hamo says:
    Petak, 30. Srpanj 2010. u 17:30

    Mislim da treba obratiti paznju na “time to patch” vise nego na broj sigurnosnih propusta. U tome je razlika izmedju suna, oracle-a i opstalih u odnosu na microsoft, odnosno odatle dolazi Microsoftova losa reputacija sigurnosti …
    A ta prica “nije microsoft tako los nego se koristi pa zato izgleda da ima puno sigurnosnih propusta” je prica za malu djecu. Hakeri napadaju i mnogo manje popularne sisteme … npr. nedavno otkriveni trojanac koji napada korisnike BELGIJSKIH ELEKTRONSKIH BANAKA je dokaz da ne mora biti software popularan kao windows da bi ga napadali …

    • Odgovori
      CopyPaste says:
      Subota, 31. Srpanj 2010. u 08:47

      Sve je istina što si napisao, i relativno mali sistemi mogu biti meta napada. Mađutim i dalje je veća vjerovatnoća da će meta biti oni korišteni na globalnoj razini, bar nas statistika upućuje da je tako. Upravo zato je Microsoft toliko na meti napada: nije njihov softver toliko lošiji u odnosu na druge, samo se njegove rupe mnogo više iskorištavaju pa je u konačnici efektivno nesigurniji. Kako god okreneš, tužan je zaključak da treba konstantno vršiti update svih programa, a ni onda nismo sigurni…

      Pozdrav :)

  2. Odgovori
    Razlog više za uklanjanje suvišnog softvera | Not A Blog says:
    Srijeda, 16. Ožujak 2011. u 19:23

    [...] izvjesnog vremena pisao sam o značaju nadogradnji i ažuriranja softvera (Sigurnosni propusti – to update or not to update?), kao i o riziku koji korištenje zastarjelih verzija programa može predstavljati, prije svega sa [...]

Odgovorite

Obavijesti me o odgovorima putem emaila. Možete se pretplatiti na obavijesti i bez ostavljanja komentara.

Trenutno čitam:

  • The World of Robert Jordan’s The Wheel of Time

    The World of Robert Jordan’s The Wheel of Time by Robert Jordan

Malo statistike

Total: 231,362 Words

Instant mudrost

You know my brother once told me? That nothing someone says before the word but really counts. — Benjen Stark, Game of Thrones TV series

Blog zajednice

bhBlog - bosanskohercegovacki blog direktorij