Hlavní navigace

Aktualizace a zranitelnosti: Mocná zbraň i Achillova pata

Pavel Čepský 20. 4. 2012

Řada uživatelů je nesnáší, další s nimi bojují a útočníci z toho mají radost. Různé skuliny a postupně objevované zranitelnosti by neměly být přehlíženy, představují hlavní bránu vstupu do systému.

Uživatelé i správci firemních sítí se musí zaměřit jak na proaktivní, tak reaktivní obranu, rozložení sil odpovídajících mechanismů závisí na konkrétním systému a jeho komponentách. Existuje ale jedna věc, jež zasluhuje pozornost kdekoliv a kdykoliv: jak správně na správu aktualizací a kterými způsoby zajistit plynulý běh při dodržení maximální možné bezpečnosti? Často přehlížené aktualizace, případně jejich nevhodně nastavená centrální správa mohou způsobit stejné potíže, jako samotné pokusy o průnik ze strany útočníků.

Aktualizace se staly nedílnou součástí soužití s počítači a správy menších i rozsáhlejších sítí, většinou již jen málokdo používá ruční stahování a instalaci podobných balíčků, světu updatů dnes vládnou automatické procedury. Všichni se shodnou na tom, že aktualizace jsou ve většině případů zapotřebí, na druhou stranu ale dokážou pořádně znepříjemnit život správcům i koncovým uživatelům. Stahování, instalace a správa jednotlivých balíčků často zamotá hlavu začátečníkům i profíkům.

Statistiky zranitelností podle výrobce
Přehled zranitelností podle výrobců. Zdroj: GFI Software

Společnost GFI Software ve svém aktuálně publikovaném upozornění citovala výsledky National Vulnerability Database, podle nichž ohlásilo v roce 2011 zranitelnosti 722 softwarových výrobců, přičemž 50 % ze všech zranitelností připadlo na 10 největších výrobců. Nejvíce zranitelností obecně hlásil Google, následovaný firmami Oracle, Apple, Microsoft a Adobe. Podle zprávy se 85 % zranitelností objevilo v aplikacích, 12 % v operačních systémech a 3 % byla na úrovni hardwaru. Z pohledu operačních systémů byly předmětem nejčastějších útoků s velkým náskokem Microsoft Windows následované Cisco IOS a Apple Mac OS X.

Pokud by někdo pochyboval o významu aktualizací a jejich správném zpracování, může ho přesvědčit absolutní číslo 3532 zranitelností v uplynulém roce, tedy téměř deset nových skulin denně (i když se vzhledem k předchozím rokům jedná o klesající trend). Jak již bylo zmíněno, v kategorii operačních systémů se zranitelnosti objevují nejčastěji u Windows, i u útočníků se jedná o nejvíce oblíbený terč. V opakovaných dávkách jsou Windows všech nejčastěji používaných verzí lepeny s železnou pravidelností, právě systémové aktualizace mají zajistit obranu před novými zranitelnostmi a případně aktualizovat zjištěné skuliny systému. Zrovna u Windows ale řada uživatelů pořádně zanadává – bezpečnostní politika nastolená ve firemních sítích většinou nekompromisně zobrazí dialogové okno, že se zpracují nové aktualizace a jen zobrazují odpočet, s možností chvilkového odkladu. I zde má původ averze, s níž se aktualizace setkávají.

Zranitelnosti podle OS
Srovnání zranitelností podle typu OS. Zdroj: GFI Software

Nepodceňujme prevenci

Aktualizace systému mohou mít kritický dopad na další bezpečnost celých sítí. Pomineme-li domácí uživatele a jejich jednu stanici, pak hlavně správa v rozsáhlejší firemní infrastruktury dává poctivý základ pro budoucí bezpečnost. Správci zde musí být zdravě hamižní a prosadit si svou – nastavit centrální stahování a instalaci aktualizaci s přísnými pravidly, a to napříč naříkajícím a věčně si stěžujícím uživatelům. Samozřejmě bereme v potaz síť, jež má dostatečně nastavená uživatelská práva a u níž by vzhledem k rozsahu a složitosti lokální výjimky oproti globální politice mohly nadělat případné skuliny do budoucna.

Pokud je zapotřebí ušít bezpečnostní politiku na míru specifickým požadavkům, je zapotřebí sledovat i vývoj ve světě jednotlivých zranitelností operačních systémů i aplikací. Mezi stálice v tomto ohledu patří například server www.securityfo­cus.com, cve.mitre.org, www.cert.org, www.securnews­.com, www.secunia.com apod. Aktuální trendy rozmachu různých mobilních zařízení s plnohodnotnými operačními systémy navíc prozrazují budoucí posun: na Apple iOS a Google Android se bude útočit stále více, čemuž napovídají i nejnovější varování a zneužití útočící hlavně na systémy poskytující odpovídající aplikace – z tradiční IT infrastruktury tedy bude zapotřebí přesunout komplexnější ochranu také do této sféry, resp. kombinovat obranu v hybridních firemních prostředích s různými technologiemi.

Kam až může dojít podcenění aktualizací, v každoměsíčních žebříčcích ukazuje neblaze proslulý červ Conficker (též známý jako Downadup), jenž zpočátku poměrně krátké doby nakazil obrovské množství počítačů. Jedná se o jeden z příkladů, kdy za rozšíření mohou sami uživatelé nebo nezodpovědní správci, jelikož oprava se distribuovala pomocí automatických aktualizací ještě před největším rozmachem. Po více než třech letech je v různých mutacích stále velice aktivní (srovnejte s jiným škodlivým kódem), na počátku přitom byla ona „prkotina“ s nezáplatovanou zranitelností.

Secunia
Informace o zranitelnostech mohou pomoci při rozhodování o jednotlivých aktualizacích a jejich správě

Vděčný terč útočníků?

Kromě přehlížení aktualizací může být zdrojem potíží i jejich bezhlavé automatické nastavení a vynucení prvků paranoidní bezpečnostní politiky do extrému. U jednotlivých softwarových produktů je mnohem lepší sledovat nutnost správy a případně odlišení důležitosti poskytovaných balíčků aktualizací, podle toho přizpůsobit plán stahování i instalace – vždy pamatujme na to, že rozsáhlá firemní i větší domácí síť není vytvořena kvůli udržení aktualizací v chodu, ale právě aktualizace mají zajistit její bezproblémový běh. Mezi výjimky kromě operačního systému patří aktualizace u samotných bezpečnostních produktů, v čele s antiviry a dalšími prvky obranného softwaru.

Důležitost aktualizací si samozřejmě uvědomují také útočníci a kromě zneužívání zranitelností se objevily i přímé pokusy o napadení aktualizačních systémů. Například kód Ippon si vyhlédl aktualizace nejznámějších programů a jeho princip je až překvapivě jednoduchý: na veřejné WiFi síti v době svého vzniku sledoval, které počítače vysílají dotazy na aktualizaci známých programů, a jakmile tento požadavek zachytil, nabídl kladnou odpověď se svou aktualizací. Doručit pak mohl prakticky libovolný škodlivý kód. Naštěstí se však koncept nerozvinul do opravdu rozsáhlého ohrožení, nicméně naznačil, jak lze dobrý úmysl zneužít. Avšak do budoucna není vyloučeno ani drastičtější zpracování tohoto prvotního scénáře.

Jaká bezpečnostní politika je ohledně jejich stažení a instalace aplikována ve vaší firemní síti a kterým způsobem v tomto ohledu zacházíte s aplikacemi na domácích počítačích? Podělte se o svůj názor s ostatními čtenáři v diskuzi pod článkem.

Našli jste v článku chybu?

20. 4. 2012 8:21

x (neregistrovaný)

To je sice vsechno hezky, ale stejne je nejvetsi dira do systemu vzdycky u klavesnice.

+ nekteri (napr M$, ale i dalsi) sklidem nechaji v SW diru znamou i roky, pripadne se pruserove bugy snazi utajit. Vubec nemluve o tom, ze popis typu "byla nalezena bezpecnostni chyba" jsou ohovne, a tezko se muze nekdo branit necemu, kdyz nevi cemu.

22. 4. 2012 18:27

JT (neregistrovaný)

To je pravda, neb mě tyhle "aktualizace" které nelze jednoduše zkrotit docela odrazují od užívání produktů daných firem. A abych po každé instalaci hrabal v services, prohledával registry a cokoliv co se kde má možnost pravidelně spouštět, místo volby - aktualizovat pravidelně a v tichosti, nebo upozornit a nabídnout, nebo neupozorňovat vůbec....

120na80.cz: 5 poporodních problémů a jejich řešení

5 poporodních problémů a jejich řešení

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo