Operace Aurora a Microsoft – útok v souvislostech

„Útok, vedený na komerční firmu, který svým rozsahem nemá v dějinách počítačové kriminality obdoby, množství dalších subjektů ohroženo“, to alespoň hlásají antivirové společnosti. Úřady dvou evropských vlád dokonce doporučují se nebezpečnému prohlížeči úplně vyhnout. Jaká je ale vlastně pravda o cyber-útoku, o němž je již dnes jasné, že vstoupí do dějin?

Nárůst downloadu Firefoxu v Německu po oznámení chyby v IE6.

Vše začalo poměrně nenápadně, tedy útokem čínských hackerů na internetový vyhledávač Google a jeho službu Gmail. Politicky motivované hackerské útoky z destinací, jako je Čína, ale také například vzdálené Rusko, dnes představují aktivitu, která je sice úzkostlivě sledována, ale jinak je zároveň brána jako nutné zlo, nepříjemná, ale nedílná součást kybernetického ekosystému, takže nikoho ze židle obyčejně nezvednou.

O to více překvapil vývoj posledních dní. Po posledním úspěšném útoku na službu Gmail média generují stále dokola nové informace o nebezpečích, která plynou z používání internetového prohlížeče Internet Explorer 6, přes který byl útok na Google zrealizován. Není bez zajímavosti, že média fakticky téměř ignorovala obdobný útok, vedený čínskými hackery taktéž přes Internet Explorer loni v prosinci.

Microsoft ve čtvrtek ústy Mike Reavey, ředitele Microsoft Security Response Center (MSRC), potvrdil, že IE 6 skutečně představoval ona kritická zadní vrátka při nedávných útocích proti Googlu a dalším významným společnostem a slíbil nápravu, jak jen to bude technicky možné. Jenže právě to je podle řady klíčových subjektů příliš vlažné řešení.

Tak trochu podivná obrana

Protože byl útok veden pomocí zneužití stále nevyřešené chyby zero day (zranitelnosti aplikace bez možnosti stáhnout si bezpečnostní záplatu) a s přihlédnutím ke zveřejnění útočných kódů volně na Internetu, jde o kritickou a permanentní hrozbu uživatelům.

O to více přístup Microsoftu překvapil. Ten se bez ohledu na to, že dlouho pomáhal budovat niku závislosti mnoha komerčních aplikací na svém produktu IE6, snaží shodit problém tak trochu přes palubu. Uživatelé mají jednoduše přejít na bezpečnější poslední verzi prohlížeče Internet Explorer 7, ideálně pak 8. Polovičatá řešení, která jsou výsledkem leckdy nepříliš efektivních vnitrokorporátních komunikačních procesů, jsou něco, na co jsme si zvykli a prakticky na ně již tak nějak rezignovali. Ne tak ovšem u jedné ze dvou naprosto kritických aplikací dnešní doby, kterou internetový browser jednoznačně představuje.

Společnost se navíc namísto řešení nebo alespoň pokory brání poměrně nevybíravými prostředky. Cliff Evans, bezpečnostní expert společnosti se na serveru Techradar nechal slyšet, že s konkurenčním Firefoxem hrozí uživatelům větší rizika než s IE 6, konkretizovat je ovšem odmítl. Dvě evropské vlády (Německo a Francie) zatím na postoj Microsoftu zareagovaly doporučením, aby jejich občané inkriminovaný prohlížeč úplně přestali používat.

Internet Explorer v čínském Google

Zarážející jsou na útoku i další věci. Například zde visí otázky, proč internetový prohlížeč, kterému táhne na 9. rok, vůbec ještě používá tolik uživatelů, jak je možné, že Microsoft zaujal zprvu k situaci tak vágní postoj a co dělal v kancelářích společnosti, která je dnes jedním z největších vyzyvatelů Microsoftu.

„Zajímavější, než samotná zranitelnost je důvod, proč v Googlu nepoužívají Chrom,“ prohlašuje Andrew Storms, ředitel bezpečnostních operací ze společnosti nCircle Network Security. Proč tedy vlastně Google, řečeno americkou obchodní hantýrkou „nejí své vlastní psí žrádlo?“ Je možné, že se v tomto případě jednalo o testovací prohlížeče kodérů a betatesterů, pak se ovšem nabízí ještě druhý znepokojivý dotaz. Proč IE6 stále používá natolik kritická masa uživatelů, že je s ním třeba při podobných testech počítat?

Zatímco sám Microsoft se snaží dlouhodobě prosadit přechod na novější verze IE7 a IE8, který dokonce nabízí přepínaní do režimu kompatibility s IE6, nezanedbatelné množství uživatelů prohlížeč stále používá. Dave Marcus, ředitel výzkumu ve společnosti McAfee, navíc prohlašuje, že lze útočný kód snadno modifikovat pro napadení novějších verzí prohlížeče a to i pod posledními verzemi operačního systému.

Průběh útoku

1. Útočník posílá e-mail s infikovanou přílohou, nebo infikuje WWW stránku s nakaženým ActiveX prvkem. Chyba spočívá v situaci, kdy lze přistoupit k neplatnému ukazateli v kódu IE na objekt poté, kdy byl objekt již smazán. Důsledkem je možnost zneužít prohlížeč ke spuštění kódu.

2. Je vyžadována spolupráce uživatele, klikne-li uživatel v prohlížeči IE6, útočník získá přístup do počítače. Nepříjemné je, že útok není při běžné práci nijak detekovatelný.

Aurora a její další oběti

Vedle tolik medializovaného útoku na Googlu se oběťmi Aurory stala ještě zhruba 30 dalších významných americkým firem a jejich počet stále ještě pomalu narůstá. „Jedná se o zlomový okamžik v dějinách počítačové kriminality,“ myslí si o útoku George Kurtz, Chief Technology Officer společnosti McAfee. „Dosud jsme nikdy nebyli svědky, že by se terčem tak masivního, cíleného a koordinovaného útoku staly komerční firmy. Natolik sofistikované akce v minulosti byly cíleny jen například proti armádním sítím.“ Že nejde o dělání velblouda z drobného bodavého hmyzu, dokazují reakce vlád dvou velkých evropských zemí.

A jak přijal situaci trh?

Na přístupu Microsoftu vesele parazitují jednotlivé antivirové společností, kterým jeho neschopnost problém řešit přináší nový byznys. Dlužno podotknout, že klasické antiviry jsou dnes již spíše hudba minulosti a řada společností, která v tomto oboru podniká se buď přeorientovává na komplexnější bezpečnostní služby, nebo alespoň vyhledává sebemenší záminku, jak připomenout svoji tržní nepostradatelnost. Statistiky přitom hovoří silně proti Microsoftu, zatímco jeho reakce na objevenou chybu trvá v průměru více než týden, u společnosti Mozilla, která provozuje druhý nejpoužívanější internetový prohlížeč, je to jen 24 hodin.

Právě Mozilla má z útoků momentálně největší profit, zatímco ještě před zveřejněním incidentu měl Microsoft IE 63% celosvětové zastoupení, kdežto Mozilla Firefox pouze 25%, nyní je to 45 % vůči 40 %.

Gratulovat si ovšem může také Google. To, co se nepodařilo jeho marketingu s prohlížečem Chrom, tedy vytlačit Microsoft z Internetu zpátky do jeho desktopového království, se bez většího přičinění podařilo jeho řadovým čínským zaměstnancům. Možná by tak měl být čínským hackerům ještě vděčný.