Hlavní navigace

V uzavřeném software přetrvávají chyby i 10 let

24. 2. 2011
Doba čtení: 6 minut

Sdílet

V uzavřeném software (Windows a Internet Explorer) je řada chyb, které existují řadu let a často i déle než celou dekádu. Proti tomu v otevřeném software se takové problémy prakticky nevyskytují. Dokazují to čísla Jiřího Nápravníka, která publikoval na konferenci Trendy v internetové bezpečnosti.

Před několika dny se konal už třetí ročník konference Trendy v internetové bezpečnosti, tentokrát s podtitulem „bezpečnost na ostří nože“. Zaměřila se jak na technické novinky a trendy, tak i na finanční a byznysová témata. Ve dvou článcích vám přinášíme to nejzajímavější z technicky orientovaných přednášek, co na konferenci zaznělo.

Jiří Nápravník: uzavřený software obsahuje deset let staré chyby

Jiří Nápravník ze společnosti Salamandr začal svou přednášku tím, že uživatelé jsou obvykle nuceni k tomu, aby udržovali svůj počítač záplatovaný, používali antivirus a nepotvrzovali dialogy očekávající potenciálně nebezpečné akce. Přesto není ještě vyhráno a velkým problémem jsou nezáplatované bezpečnostní díry, které jsou často v důležitém software i mnoho let.

Jiří Nápravník se zabýval dvěma typy software – webovými prohlížeči a operačními systémy. Analyzoval bezpečnostní chyby a především to, jak rychle a zda vůbec byly opraveny. Nejedná se o žádná utajovaná data, ale o veřejně přístupné údaje získané z webu tvůrců software, vysvětlil na úvod.

Jako první přišly na řadu webové prohlížeče a porovnání objevených chyb s problémy v předchozích verzích. U osmé verze MSIE bylo nalezeno v roce 2010 celkem 50 chyb a z toho 48 jich bylo už nejméně v jedné předchozí verzi. U žádného dalšího zkoumaného prohlížeče (Firefox, Chrome a Opera) nebyla nalezena chyba, která byla útočníkům už k dispozici dříve.

Jedna z nejkritičtějších chyb se například týká Internet Exploreru 6, 7 i 8 a skrze upravenou knihovnu IEShims.dll dokáže úspěšný útočník získat plná uživatelská práva a vzdálený přístup do počítače. Tato chyba už dnes má záplatu, ale přetrvávala v Exploreru více než deset let.

U operačních systémů byly zkoumány především systémy MS Windows, protože jsou na desktopových počítačích nejrozšířenější a jsou proto vystaveny největšímu počtů útoků. Opět byly vyhledávány chyby, které jsou společné pro různé verze těchto operačních systémů. Ve Windows 7 bylo zatím nalezeno celkem 80 bezpečnostních chyb. Z toho jich 74 bylo společných s Windows Vista, 54 chyb je možné najít v XP a 31 jich bylo už ve Windows 2000. Stejný exploit je tedy funkční na operačních systémech Windows za posledních deset let, shrnul hrozivou statistiku Nápravník. Zároveň tvrdí, že nezáleží ani na servisních balíčcích vydaných pro různé verze Windows a chyba je tedy skutečně otevřená mnoho let. Mrazí mě v zádech z představy, kolik společných chyb tam ještě je.

Jiří Nápravník zároveň přiznává, že na vině je i uzavřenost zdrojového kódu. Linux je v bezpečnosti dále, protože zdrojové kódy jsou veřejné a je možné se v tom ‚hrabat‘. Na námitky obecenstva o dostupnosti kódů Nápravník tvrdí, že cesta k nim je velmi složitá. Přístup má jen velmi omezený okruh lidí a ti nebudou trávit večery tím, že v nich budou hledat chyby.

Windows XP byly vydány v roce 2001 a je v nich minimálně 39 kritických chyb, které přetrvaly až do roku 2011. Kdyby měla Škodovka stejnou chybu na nové Fabii i na prastarém Favoritu, roznesli by ji zákazníci na kopytech, řekl Nápravník. V průmyslu existují postupy přísného testování, které nic podobného nedovolují. U software existují také různé metody ověřování kvality, ale je třeba začít vylepšovat od základů a ne nad děravým systémem dodatečně stavět Alcatraz. Jiří Nápravník také připomněl, že na rozdíl od výrobců automobilů, nenese softwarová firma žádnou zodpovědnost.

Tomáš Charvát: boj proti hrozbám v e-mailech

Tomáš Charvát ze společnosti Excello, která se zabývá filtrací spamu pro firemní zákazníky, hovořil především o trendech v oblasti nevyžádané pošty a o složitém boji s jejími odesílateli. Graylisting dříve dokázal pokrýt 90 % spamu, protože většina spamu odcházela z botnetů. Dnešní viry ale získávají hesla přímo z uživatelských počítačů z e-mailového klienta a pak odesílají poštu přes mail server běžného uživatele. Proti takovému postupu už není graylisting účinný.

Dalším problémem jsou živí spameři, kteří odesílají poštu ručně a proti takovému postupu je opět velmi těžké se automatizovaně bránit. Je možné si zaplatit Inda, který ručně vkládá spam do různých služeb. Nepostihuje to jen e-maily, ale i ICQ, Facebook, web a další služby. Podle Charváta je cena za práci takového člověka směšná a vyplatí se předat práci jemu, protože je to levné a výrazně efektivnější.

Problém spamu je možné řešit už na začátku – zablokovat možnost zneužívání adres odesílatelů. Jednou z nejznámějších metod je Sender Policy Framework, kterou ovšem Charvát kritizuje. SPF má jednu fatální chybu, nefunguje mu správně forwarding. Pokud mail přepošlu, zůstane mu stará adresa odesílatele, ale je poslán z nového serveru. Adresa přeposílacího serveru ale není v původní doméně povolena jako adresa stroje oprávněného posílat poštu. Výsledkem pak je, že příchozí mail server zprávu nepřijme. Přesto má SPF své využití, ale jako sekundární ochrana.

Proti tomu technologie DKIM tímto problémem netrpí a řeší více problémů než jen odesílatele. DKIM podepisuje celý e-mail a veřejný klíč serveru se publikuje v DNS záznamu konkrétní domény. Dnes už je DKIM velmi rozšířený a hlídají ho všichni velcí hráči jako Gmail, Seznam, Active24, Yahoo, Hotmail a další. Výhodou u Seznamu třeba je, že když používáte DKIM, vypne se pro vás graylist a pošta se nezdržuje.

Ondřej Caletka: nové nebezpečí IPv6

Protokol IPv6 má určité bezpečnostní výhody. Jednou z nich je to, že celých 64 bitů (1018) je vyhrazeno koncovým počítačům. V jedné podsíti je ale možné reálně provozovat stovky počítačů, takže adresní prostor je velmi řídký. Je tak v podstatě nemožné procházet všechny adresy a hledat v nich funkční stroje. Dnes je tomu naopak, na každé IP adrese téměř vždycky někoho najdete.

Kontroverzním tématem ve spojení s IPv6 je NAT. Ten byl původně navržen jen jako přechodový mechanismus při nedostatku IP adres a pro IPv6 už tato technologie není potřeba. Uživatelé na něm ale stále trvají a argumentují bezpečnostními vlastnostmi. Přitom bezpečnost by měl řešit firewall a i ostatní ‚výhody‘ NATu je možné řešit jinými technikami na IPv6.

Prvním opravdovým bezpečnostním rizikem IPv6 je automatická konfigurace směrovacích tabulek v lokálních sítích. Směrovače vysílají do sítě ohlášení a stanice okamžitě přenastaví své směrovací tabulky. Navíc současné implementace IPv6 ve Windows ani v Linuxu nepodporují žádné kryptografické zabezpečení autokonfigurace (SeND). Kdokoliv je schopen na lokální síti vygenerovat ICMP paket, dokáže na sebe přetáhnout celý IPv6 provoz.

Velký problém je to například u Windows Vista a 7, kde služba sdílení připojení k internetu přesměrovává automaticky veškerý provoz celé sítě přes sebe – klientský počítač ze sebe udělá router. Jakmile uživatel takového počítače svůj stroj uspí nebo se nečekaně odpojí, přestane v síti fungovat IPv6. Windows tak bezděky poukazují na velký bezpečnostní problém – časem může tuto funkčnost někdo začít zneužívat. Zatím to jsou špatně nakonfigurovaná Windows, časem může jít o cílené přesměrování provozu třeba kvůli odposlechu.

Ochranou proti tomuto problému je takzvaný RA-guard, který umožňuje přepínačům odpojit fyzické porty, na kterých se nemá objevovat ohlášení směrovače, ale objeví se. Tady se ale předpokládá, že směrovač rozumí IPv6 provozu, což ale není běžné chování. Starší směrovače s ničím podobným vůbec nepočítají. Případně je možné vysílat v síti protiohlášení a opravovat tím problém dodatečně. Úplně se tomu můžete vyhnout jen ruční konfigurací IPv6 sítě.

Podobným problémem trpí také bezestavová konfigurace IPv6 adres. Směrovač ve svém ohlášení specifikuje i 64bitový prefix sítě a klientský počítač z něj sestaví svou koncovou adresu. Uživatelé si ale stěžují, že takto nejsou dostatečně anonymní, protože i při cestování mezi sítěmi je možné podle části adresy uživatele identifikovat. Proto vznikly náhodné identifikátory, které si Windows vždy generují náhodně a mění je v čase. V případě bezpečnostního incidentu ale pak nemůžete identifikovat konkrétního uživatele. Řešení vyžaduje filtrování adres podle toho, zda jsou odvozeny od MAC adresy. V opačném případě se uživatel k internetu nepřipojí. Windows jsou ale nastaveny na náhodné generování adres, takže musíte počítače fyzicky obejít a přenastavit to.

root_podpora

IPv6 je hlasitě propagovaná technologie, která má ale své bezpečnostní mouchy. O nich se příliš nemluví, ačkoliv jsou odborníkům známé. Naštěstí se na většinu z nich už hledají způsoby ochrany.

(Foto: Ondřej Hošt)

Byl pro vás článek přínosný?

Autor článku

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.