Przeglądarkowy wyścig zbrojeń
Od miesięcy jesteśmy zasypywani informacjami o nowych błędach w popularnym oprogramowaniu - przyzwyczailiśmy się, że większość problemów dotyczyła zwykle produktów Microsoftu. Ostatnio jednak prawdziwa czarna seria przytrafiła się Firefoksowi - w krótkim czasie znaleziono w nim kilka poważnych błędów. Window Snyder, szef Mozilli ds. bezpieczeństwa, jest właśnie tą osobą, która kieruje pracami programistów, starających się nadążyć z łataniem luk w firmowej przeglądarce. Z jednej strony jej przedsiębiorstwo opublikowało 23 lutego poprawki, które łatały kilka nowo odkrytych błędów. Z drugiej, Snyder musi radzić sobie z niemal codziennie napływającymi informacjami o nowych lukach w Firefoksie. Co gorsza, dużą część z nich odkrywcy upubliczniają przed poinformowaniem Mozilli o ich odkryciu. Z podobnymi problemami zmagają się jednak wszyscy odpowiedzialni za bezpieczeństwo przeglądarek internetowych - zarówno w Mozilli, jak i Microsofcie.
Sytuacja ta nie zmieni się w przewidywalnej przyszłości - przeglądarki są bowiem kluczowym elementem Internetu, więc ich łatanie, kontakty ze specjalistami ds. bezpieczeństwa oraz odpieranie ataków będzie zajmowało ich producentom znaczną część dnia roboczego.Snyder informuje, że Mozilla otrzymuje od klientów bardzo wiele informacji dotyczących bezpieczeństwa Firefoksa. "Jeśli spojrzymy na problem z perspektywy atakującego, okaże się, że przeglądarka to jeden z najważniejszych programów komputerowych. Metody ataku bez przerwy się zmieniają i każdy twórca oprogramowania musi być w stanie rozpoznać zagrożenie, gdy tylko się ono pojawi. Ale to nic nowego. Zawsze uznawaliśmy bezpieczeństwo za priorytet" - mówi Window Snyder.
Firefox: luka za luką
Michał Zalewski, znany niezależny badacz, poinformował w lutym, że, pomimo wysiłków Mozilli, znalazł w przeglądarce liczne luki ( pisaliśmy o tym m.in. tutaj - http://www.pcworld.pl/news/106479.html i tutaj - http://www.pcworld.pl/news/106234.html ). Fundacja właśnie przygotowywała opóźnione poprawki - http://www.pcworld.pl/news/107038.html do wcześniej odkrytych luk, mogła więc razem z nimi opublikować łaty do luk znalezionych przez Zalewskiego.
W przededniu udostępnienia przez Mozillę poprawionej wersji Firefox 2.0.0.2, Zalewski poinformował o kolejnej luce. Jest ona związana z nieprawidłowym zarządzeniem pamięcią i pozwala na przejęcie kontroli nad zaatakowanym komputerem. Zdaniem Zalewskiego, odkryta przez niego dziura może zostać wykorzystana zarówno do przeprowadzanie phishingu jak i spoofingu.
Mozilla: wolimy wiedzieć pierwsi
Snyder mówi, że wolałaby, aby Zalewski i podobni mu specjaliści znalezione błędy zgłaszali najpierw Mozilli. Mimo to jej firma polega na ich wiedzy i docenia ich pracę, która pomaga chronić użytkowników Firefoksa przed atakami. Niezależnie od tego, jak kłopotliwe są dla niej doniesienia badaczy.
"Wolelibyśmy, by powiadamiali nas jako pierwszych, ale najważniejszy w tym wszystkim jest fakt, że badacze ci pomagają nam radzić sobie z problemami" - stwierdziła Snyder. "Rozumiemy też motywy ich działania. Są sfrustrowani tym, że producentom programów łatanie dziur zajmuje dużo czasu" - dodała. Wyraziła przy tym nadzieję, że gdy tylko Mozilla będzie szybciej publikowała łaty, poprawi się jej współpraca z niezależnymi badaczami.
Nadchodzi Gran Paradiso
Mozilla przygotowuje też całą gamę nowych zabezpieczeń, które znajdą się w trzeciej wersji Firefoksa. Zyskała ona nazwę kodową "Gran Paradiso", a jej debiutu należy spodziewać się w drugiej połowie bieżącego roku. Mozilla wkłada wiele wysiłku w to, by jej użytkownik lepiej rozumiał mechanizmy zabezpieczeń nowej wersji przeglądarki i lepiej nimi zarządzał. Jest to tym bardziej ważne, że specjaliści zgodnie twierdzą, że liczba ataków na przeglądarki będzie rosła, szczególnie w bieżącym roku. Sytuację taką tylko pogarsza fakt, że, jak przypomina niedawno nabyta przez IBM-a firma ISS, powstał czarny rynek, na którym twórcy szkodliwego kodu sprzedają go gangom cyberprzestępców. Ataki stają się nie tylko częstsze, ale i trudniejsze do wykrycia. W 2006 roku niemal połowa przestępczych działań skierowanych przeciwko przeglądarkom wykorzystywała techniki kryptograficzne, by ukryć sam fakt ataku oraz wykradzione dane. Liczba ta ma wzrosnąć w 2007 roku.Przeglądarki nowym celem ataków
"Atakujący skupili się na lukach w przeglądarkach internetowych, ponieważ wielu końcowych użytkowników nie stosuje zaawansowanych metod obrony przed zagrożeniami" - mówi Gunter Ollmann, dyrektor ds. bezpieczeństwa w dziale ISS IBM-a. "Dodatkowo, pomijając już czarny rynek, gdzie szkodliwe programy są sprzedawane i kupowane, zainstalowanie odpowiedniego oprogramowania na serwerze i przygotowywanie ataków na konkretną przeglądarkę stało się znacznie łatwiejsze, niż wcześniej".
Ollman dodaje, że takie oprogramowanie staje się coraz bardziej zaawansowane, jest w stanie automatycznie rozpoznać wersję przeglądarki, którą używa potencjalna ofiara, i przygotować atak właśnie pod jej kątem. Wiadomo też, że autorzy szkodliwego oprogramowania wymieniają się między sobą adresami IP ekspertów ds. zabezpieczeń po to, by nowo stworzony szkodliwy kod omijał je i zbyt wcześnie nie wpadł w ręce specjalistów. Jeszcze innym rodzajem ataku, który zdobywa popularność, jest próba przechwycenia komunikacji odbywającej się pomiędzy klawiaturą użytkownika a przeglądarką. Przestępcy mogą w ten sposób wejść w posiadanie ważnych danych i ominąć zastosowane zabezpieczenia.
"Człowiek w przeglądarce"
Tego typu ataki, zwane "man-in-the-browser", zostały już przeprowadzone na online'owe serwisy transakcyjne, których używa sektor finansowy. Próbują one przechwycić informacje wprowadzane przez klientów, informuje doktor Chenxi Wang, analityk z Forrester Research. Jego zdaniem coraz większy stopień zaawansowania takich ataków to najlepszy dowód na to, że wojna pomiędzy twórcami szkodliwego oprogramowania a twórcami przeglądarek będzie się zaostrzała i jeszcze jakiś czas potrwa.
Zdaniem Wanga, firmy produkujące browsery muszą wypracować metody tworzenia takich programów, które będą zawierały jak najmniej błędów. Jednak, jak przyznaje sam analityk, nigdy nie uda się wychwycić wszystkich luk. Taką metodą jest microsoftowy Security Developement Lifecycle ( SDL ), który zmniejszył, jak się wydaje, liczbę luk w przeglądarce Internet Explorer 7 w porównaniu z jej wcześniejszymi wersjami. Mimo to MS już był zmuszony do załatania co najmniej jednej krytycznej luki w najnowszej wersji swojej przeglądarki, która ujrzała światło dzienne w październiku 2006 roku.
"W najbliższej przewidywalnej przyszłości będziemy świadkami wyścigu zbrojeń" - mówi Wang. "Dla twórców przeglądarek nie ma usprawiedliwienia, jeśli nie będą reagowali bardziej zdecydowanie i nie wypracują lepszych mechanizmów, dzięki którym ich produkty będą bardziej bezpieczne. Trzeba jednak pamiętać, że atakujący zawsze będą wymyślali nowe sposoby" - dodaje.
Opracowano na podstawie materiału Matta Hinesa z magazynu InfoWorld.