Uživatelé i správci firemních sítí se musí zaměřit jak na proaktivní, tak reaktivní obranu, rozložení sil odpovídajících mechanismů závisí na konkrétním systému a jeho komponentách. Existuje ale jedna věc, jež zasluhuje pozornost kdekoliv a kdykoliv: jak správně na správu aktualizací a kterými způsoby zajistit plynulý běh při dodržení maximální možné bezpečnosti? Často přehlížené aktualizace, případně jejich nevhodně nastavená centrální správa mohou způsobit stejné potíže, jako samotné pokusy o průnik ze strany útočníků.
Aktualizace se staly nedílnou součástí soužití s počítači a správy menších i rozsáhlejších sítí, většinou již jen málokdo používá ruční stahování a instalaci podobných balíčků, světu updatů dnes vládnou automatické procedury. Všichni se shodnou na tom, že aktualizace jsou ve většině případů zapotřebí, na druhou stranu ale dokážou pořádně znepříjemnit život správcům i koncovým uživatelům. Stahování, instalace a správa jednotlivých balíčků často zamotá hlavu začátečníkům i profíkům.
Přehled zranitelností podle výrobců. Zdroj: GFI Software
Společnost GFI Software ve svém aktuálně publikovaném upozornění citovala výsledky National Vulnerability Database, podle nichž ohlásilo v roce 2011 zranitelnosti 722 softwarových výrobců, přičemž 50 % ze všech zranitelností připadlo na 10 největších výrobců. Nejvíce zranitelností obecně hlásil Google, následovaný firmami Oracle, Apple, Microsoft a Adobe. Podle zprávy se 85 % zranitelností objevilo v aplikacích, 12 % v operačních systémech a 3 % byla na úrovni hardwaru. Z pohledu operačních systémů byly předmětem nejčastějších útoků s velkým náskokem Microsoft Windows následované Cisco IOS a Apple Mac OS X.
Pokud by někdo pochyboval o významu aktualizací a jejich správném zpracování, může ho přesvědčit absolutní číslo 3532 zranitelností v uplynulém roce, tedy téměř deset nových skulin denně (i když se vzhledem k předchozím rokům jedná o klesající trend). Jak již bylo zmíněno, v kategorii operačních systémů se zranitelnosti objevují nejčastěji u Windows, i u útočníků se jedná o nejvíce oblíbený terč. V opakovaných dávkách jsou Windows všech nejčastěji používaných verzí lepeny s železnou pravidelností, právě systémové aktualizace mají zajistit obranu před novými zranitelnostmi a případně aktualizovat zjištěné skuliny systému. Zrovna u Windows ale řada uživatelů pořádně zanadává – bezpečnostní politika nastolená ve firemních sítích většinou nekompromisně zobrazí dialogové okno, že se zpracují nové aktualizace a jen zobrazují odpočet, s možností chvilkového odkladu. I zde má původ averze, s níž se aktualizace setkávají.
Srovnání zranitelností podle typu OS. Zdroj: GFI Software
Nepodceňujme prevenci
Aktualizace systému mohou mít kritický dopad na další bezpečnost celých sítí. Pomineme-li domácí uživatele a jejich jednu stanici, pak hlavně správa v rozsáhlejší firemní infrastruktury dává poctivý základ pro budoucí bezpečnost. Správci zde musí být zdravě hamižní a prosadit si svou – nastavit centrální stahování a instalaci aktualizaci s přísnými pravidly, a to napříč naříkajícím a věčně si stěžujícím uživatelům. Samozřejmě bereme v potaz síť, jež má dostatečně nastavená uživatelská práva a u níž by vzhledem k rozsahu a složitosti lokální výjimky oproti globální politice mohly nadělat případné skuliny do budoucna.
Pokud je zapotřebí ušít bezpečnostní politiku na míru specifickým požadavkům, je zapotřebí sledovat i vývoj ve světě jednotlivých zranitelností operačních systémů i aplikací. Mezi stálice v tomto ohledu patří například server www.securityfocus.com, cve.mitre.org, www.cert.org, www.securnews.com, www.secunia.com apod. Aktuální trendy rozmachu různých mobilních zařízení s plnohodnotnými operačními systémy navíc prozrazují budoucí posun: na Apple iOS a Google Android se bude útočit stále více, čemuž napovídají i nejnovější varování a zneužití útočící hlavně na systémy poskytující odpovídající aplikace – z tradiční IT infrastruktury tedy bude zapotřebí přesunout komplexnější ochranu také do této sféry, resp. kombinovat obranu v hybridních firemních prostředích s různými technologiemi.
Kam až může dojít podcenění aktualizací, v každoměsíčních žebříčcích ukazuje neblaze proslulý červ Conficker (též známý jako Downadup), jenž zpočátku poměrně krátké doby nakazil obrovské množství počítačů. Jedná se o jeden z příkladů, kdy za rozšíření mohou sami uživatelé nebo nezodpovědní správci, jelikož oprava se distribuovala pomocí automatických aktualizací ještě před největším rozmachem. Po více než třech letech je v různých mutacích stále velice aktivní (srovnejte s jiným škodlivým kódem), na počátku přitom byla ona „prkotina“ s nezáplatovanou zranitelností.
Informace o zranitelnostech mohou pomoci při rozhodování o jednotlivých aktualizacích a jejich správě
Vděčný terč útočníků?
Kromě přehlížení aktualizací může být zdrojem potíží i jejich bezhlavé automatické nastavení a vynucení prvků paranoidní bezpečnostní politiky do extrému. U jednotlivých softwarových produktů je mnohem lepší sledovat nutnost správy a případně odlišení důležitosti poskytovaných balíčků aktualizací, podle toho přizpůsobit plán stahování i instalace – vždy pamatujme na to, že rozsáhlá firemní i větší domácí síť není vytvořena kvůli udržení aktualizací v chodu, ale právě aktualizace mají zajistit její bezproblémový běh. Mezi výjimky kromě operačního systému patří aktualizace u samotných bezpečnostních produktů, v čele s antiviry a dalšími prvky obranného softwaru.
Důležitost aktualizací si samozřejmě uvědomují také útočníci a kromě zneužívání zranitelností se objevily i přímé pokusy o napadení aktualizačních systémů. Například kód Ippon si vyhlédl aktualizace nejznámějších programů a jeho princip je až překvapivě jednoduchý: na veřejné WiFi síti v době svého vzniku sledoval, které počítače vysílají dotazy na aktualizaci známých programů, a jakmile tento požadavek zachytil, nabídl kladnou odpověď se svou aktualizací. Doručit pak mohl prakticky libovolný škodlivý kód. Naštěstí se však koncept nerozvinul do opravdu rozsáhlého ohrožení, nicméně naznačil, jak lze dobrý úmysl zneužít. Avšak do budoucna není vyloučeno ani drastičtější zpracování tohoto prvotního scénáře.
Jaká bezpečnostní politika je ohledně jejich stažení a instalace aplikována ve vaší firemní síti a kterým způsobem v tomto ohledu zacházíte s aplikacemi na domácích počítačích? Podělte se o svůj názor s ostatními čtenáři v diskuzi pod článkem.