Ohlédnutí za Stuxnetem více jak rok poté: proč nás trápí deset let staré slabiny zabezpečení aplikací?

Jiří Nápravník , 09. leden 2012 11:01 0 komentářů
Ohlédnutí za Stuxnetem více jak rok poté: proč nás trápí deset let staré slabiny zabezpečení aplikací?

Hledáte vysvětlení vzniku a dlouhou dobu skrytého působení viru Stuxnet, případně dalších virových infekcí? Jak se virus mohl dostat do relativně dobře zabezpečených počítačů uživatelů internetbankingu? Jedním z vysvětlení je způsob nakládání se zdrojovými kódy počítačových programů ve spojení s mnoho let neopravenými chybami v operačních systémech a prohlížečích.

Slabiny, díry nebo zadní vrátka se v operačních systémech, prohlížečích a dalších programech objevují stále. Vedle závažnosti slabiny je ale také důležité, jak dlouho byla nalezená slabina v systému a kdo ji mohl objevit dřív než byla zveřejněna.

Šířen viru Stuxnet v síti
Šířen viru Stuxnet v síti

Pokud se v operačním systému nebo v nadstavbové aplikaci objeví kritická slabina, která se vyskytuje pouze v poslední verzi konkrétního programu, tak je to nepříjemné, ale kdo z vás by dokázal takovou slabinu ve zdrojovém kódu najít, otestovat a následně vytvořit s využitím takové slabiny i škodlivý program? Kolik času byste potřebovali? 3 měsíce, 6 měsíců nebo celý rok? Musíte být rychlí, velmi rychlí jinak se může stát, že dříve než celý úkol dokončíte může být konkrétní slabina odhalena někým jiným a následně opravena. V případě slabin, které jsou v programu víc jak 3500 dnů mají počítačoví podvodníci mnohem více „času na práci“.

Zdrojové kódy programů

S rychlostí jakou může být slabina odhalena úzce souvisí i přístupnost zdrojových kódů konkrétního operačního systému nebo aplikace. V případě veřejně přístupného zdrojového kódu jsou možnosti všech vyrovnané. Ke zdrojákům mají přístup všichni zájemci. Přesněji všichni, kteří se zapojí do vývojového týmu což ale není překážka. Všichni zájemci mají možnost zkoumat zdrojové kódy. Takže tuto možnost mají ti kdo hledají slabiny z důvodů vylepšení konkrétního programu a současně i ti kdo by chtěli takovou slabinu zneužít.

Počet zranitelností za rok 2011
Počet zranitelností za rok 2011

Druhým přístupem je striktní utajování zdrojového kódu. V takovém případě jsou možnosti všech zájemců mimo firmu, která program vytvořila opět vyrovnané. Pominu fakt, že počítačoví podvodníci mají vždy větší zájem hledat a následně zneužívat slabiny a zadní vrátka v programech. To ale platí pro všechny způsoby nakládání se zdrojovými kódy.

Velmi zvláštní situace existuje v případě kdy ke zdrojovým kódům mají přístup pouze vybrané týmy. To znamená, že takové programátorské týmy mají přístup k jinak nepřístupným zdrojovým kódům. To je například případ společnost Microsoft a jejího Government Security Programu. Na základě této nebo podobných dohod mají již minimálně od roku 2003 vybrané partnerské země a vysoké školy přístup k vybraným zdrojovým kódům Windows, MS Office, Internet Exploreru, atd. Mezi státy, které měly nebo mají přístup ke zdrojovým kódů patří například Norsko, Austrálie, Velká Británie a také Ruská federace a Čína.

Rozdílný přístup ke zdrojovým kódům

V analýze slabin, kterou jsme zveřejnili počátkem ledna 2012 jsou jasně vidět dva přístupy ke zdrojovým kódům počítačových programů. Bohužel těmto dvěma přístupům přesně odpovídají i výsledky analýzy slabin.

V operačním systému Windows 7 bylo v průběhu let 2010 a 2011 zveřejněno a opraveno 176 slabin. Přičemž 137 slabin bylo společných s verzí Windows Vista a XP. Dalších 31 dokonce s Windows 2000. Stejná situace platí i v případě prohlížeče Microsoft Internet Explorer. V obou případech byly zveřejněné slabiny v programech více jak deset let, více jak 3600 dnů.

V prohlížečích Mozilla Firefox nebo Google Chrome jsou také slabiny dokonce jich tam je na první pohled více než v programech společnosti Microsoft. Jenže doba existence jednotlivých slabin byla několik týdnů (Google Chrome) a v nejhorším případě u prohlížeče Firefox 8.0 se jednalo o 500 dnů.

Při tvorbě analýzy slabin zveřejněných v roce 2011 jsme zjistili „dlouhověkost“ slabin v operačním systému Windows a prohlížeči Microsoft Internet Explorer. Nerevidovaný zdrojový kód, který se používá v mnoha po sobě jdoucích verzích stejného programu (Windows 7, Vista, XP a 2000) ve spojení s tím, že k těmto zdrojovým kódům má přístup pouze vybraná skupina státních úředníků, případně studentů je prostorem pro vytváření sofistikovaných škodlivých programů. Specializované škodlivé programy mohou být vytvořeny a vyvíjet svoji činnost právě proto, že v programech jsou dlouhodobě neopravené slabiny a současně pouze vybraná skupina odborníků má možnost analyzovat zdrojové kódy a mohou v nich hledat nová zadní vrátka.

Co to znamená?

Jedním z důvodů pro vytvoření naší analýzy slabin v operačních systémech a prohlížečích byly případy kdy uživatelům někdo zneužil jejich elektronický podpis, vykradl účet přes internet banking a v neposlední radě i působení viru Stuxnet, který mimochodem zneužíval několik (5) do té doby neznámých slabin v operačním systému Windows.

Z výsledků analýzy je patrné, že slabiny zveřejněné v roce 2011, které se týkají Windows 7 se současně týkají i Windows Vista a XP. Běžný programátor nebo analytik nemá možnost prozkoumat zdrojové kódy Windows nebo Internet Exploreru a musí jako jakýkoliv jiný uživatel spoléhat na prohlášení tvůrce Windows a MSIE, že nový operační systém, prohlížeč nebo další program jsou lepší a bezpečnější než předchozí verze.

Využívání počítačů nabývá stále více a více na významu. Jsou tlaky na řešení bezpečnosti jednotlivých uživatelských počítačů, firemních sítí i počítačů, které řídí výrobní technologie. To vše se děje v prostředí kdy autoři operačního systému používají bez revizí části nebo celé počítačové moduly více jak deset let. Současně jinak chráněné zdrojové kódy dávají k dispozici zástupcům zemí, které jsou podezřelé z organizování počítačových útoků. Za takových podmínek je řešení bezpečnosti v podmínkách internetbankingu a dalších obchodních aplikací složitý úkol.

Možná je to náhoda, ale Ruská federace i Čína již před časem oznámily, že prosazují jako hlavní operační systém ve státní správě obou zemí vlastní distribuce Linuxu. Že by to byla pouze náhoda??


Komentáře

RSS 

Komentujeme

Makroviry inspirují

Pavel Houser , 20. září 2017 06:30
Pavel Houser

Úspěšný návrat malwaru šířeného pomocí maker vedl útočníky k tomu, že svou pozornost obrátili k příb...

Více






Kalendář

21. 09. Mobilní řešení pro business
25. 09.

29. 09.
Susecon 17
25. 09.

29. 09.
Microsoft Ignite 2017
RSS 

Zprávičky

Oblíbený nástroj CCleaner obsahoval malware

Pavel Houser , 19. září 2017 17:17

Ohroženy mohou být miliony uživatelů. Zranitelné jsou verze CCleaner 5.33 a CCleaner Cloud 1.07.3191...

Více 0 komentářů

EK navrhuje nová pravidla pro pohyb dat neosobního charakteru

ČTK , 19. září 2017 15:26

Členské státy EU by už podle návrhu neměly nutit organizace, aby uchovávaly či zpracovávaly data na ...

Více 0 komentářů

Na trh přichází Synology C2 Backup

Pavel Houser , 19. září 2017 11:34

Synology strávila více než rok budováním vlastního datového centra....

Více 0 komentářů

Starší zprávičky

Hackathon veřejné správy přilákal na 6 desítek vývojářů

Pavel Houser , 19. září 2017 08:00

Propojit otevřená data veřejné správy v užitečné aplikace bylo cílem šesti desítek programátorů, kte...

Více 0 komentářů

Úřad pro ochranu hospodářské soutěže zkoumá zakázky na IT systémy

Pavel Houser , 18. září 2017 12:50

Úřad aktuálně se zaměřil na smlouvy na IT systémy uzavřené v jednacím řízení bez uveřejnění. ...

Více 0 komentářů

Alphabet zvažuje investici do alternativní taxislužby Lyft

ČTK , 18. září 2017 08:34

Podnik Waymo ze skupiny Alphabet už v květnu oznámil partnerství s Lyftem na vývoji technologie auto...

Více 0 komentářů

Plán zdanění internetových firem v EU má první trhliny

ČTK , 18. září 2017 08:00

Dánský ministr financí Kristian Jensen varoval před rizikem přijetí zákonů, které by mohly inovativn...

Více 0 komentářů