Bezbednost

Bezbednosna rupa u Internet Exploreru mnogima je zagorčala život krajem marta i početkom aprila...

Mantra koja se mesecima i godinama ponavlja preko svih mogućih IT medija – da je neophodno redovno preuzimati sigurnosne zakrpe za Windows operativne sisteme i druge Microsoftove proizvode – pokazala se neupotrebljivom pre oko mesec dana, kada je u rekordnom vremenu pronađen, objavljen i (zlo)upotrebljen veliki propust u Internet Exploreru. Uočena bezbednosna mana mogla je da bude iskorišćena (i bila je) za lansiranje epidemije zlonamernog kôda bez znanja korisnika.

Maliciozni kodovi su, zahvaljujući ovoj rupi, bili u stanju da do korisnika pristignu kao prilozi e-pošte, da bi nakon aktiviranja bilo omogućeno da korisnik bude usmeren na sajt koji bi aktivirao poseban kôd i učinio kompjuter ranjivim na daljinsko sticanje kontrole nad njime. Kada bi napadač stekao kontrolu nad napadnutim računarom, on bi bio iskorišćen za lansiranje napada na nove ili za krađu podataka s njega.

Kompanije zadužene za nadgledanje bezbednosne situacije na Internetu reagovale su brzo i efikasno, ukazujući na razmere i opasnosti identifikovanog propusta. Većina njih je pretnju ocenila „visokom ocenom”, što nije bilo dovoljno nadležnima u Microsoftu da reaguju u vidu promptnog izdavanja zakrpe. Umesto takvog, očekivanog poteza, zvaničnici kompanije šturo su izjavljivali da uočena mana ne može realno da bude eksploatisana i da će Microsoft zakrpu za nju objaviti „kad za to dođe momenat”. Bila je to samo kulminacija jedne loše sedmice za giganta iz Redmonda – u samo sedam dana, njegove platforme su s pravom kuđene čak tri puta. Osim ove rupe, otkrivena su još dva propusta – greška u bezbednosnim postavkama koja bi mogla da dovede do pada Internet Explorera i još jedna koja izaziva rizik od mogućeg daljinskog preuzimanja kontrole nad napadnutim kompjuterom.

Samopomoć

Videvši da će Microsoft milione svojih korisnika ostaviti na milost i nemilost potencijalnim i realnim napadačima i da zakrpu neće izdati za manje od desetak dana od dana otkrivanja rupe, neke kompanije odlučile su da same izdaju nezvanične, ali operativne kodove, čime bi se situacija održala pod kontrolom. Prva među njima bila je eEye koja je izdala besplatan kumulativni patch sa komandom za samouništenje kada se pojavi oficijelna zakrpa. Zanimljivo je što to nije bio prvi slučaj te vrste – u decembru prošle godine belgijska firma DataRescue SA objavila je samoinicijativno zakrpu za jedan ranije uočen propust u Internet Exploreru.

Dok je Microsoft tvrdio da je pretnja ograničenog obima i praktično zanemariva, hakeri širom planete bacili su se na posao. U roku od samo nekoliko dana preko 200 američkih sajtova bilo je zaraženo upravo zahvaljujući navedenom propustu. Posećujući te sajtove, korisnik je bivao zaražen i njegova mašina postajala bi daljinski „navođena” kao instrument napada na druge sisteme. Umesto da pozdravi ili bar mudro prećuti aktivnosti drugih softverskih kompanija koje su ponudile spas za nastalu muku, Microsoft je u jednom trenutku izdao saopštenje da „ne podržava korišćenje nezvaničnih zakrpa” i da „zajedno s organima reda radi na pronalaženju odgovornih za nelegalne napade na kompjuterske sisteme”.

Veliko nezadovoljstvo

U nedostatku zvaničnih zakrpa, kompanije i organizacije našle su se u dilemi – da li instalirati neku od ponuđenih nezvaničnih. Jedno ranije istraživanje bezbednosne kompanije PatchLink pokazalo je da je oko 13 posto korisnika odlučilo da u slučaju korišćenja samopomoći „uzme šta im se ponudi”. Čak tri četvrtine IT menadžera u firmama izjavilo je u istoj anketi da zakrpe ne poboljšavaju bitno nivo bezbednosti, 42% se izrazilo pohvalno o njima jer im smanjuju vreme potrebno za zaštitu sistema, dok je 18% reklo da je izuzetno zadovoljno korporativnom politikom po ovom pitanju.

Veliki broj IT stručnjaka ozbiljno zamera ne samo Microsoftu na politici izdavanja zakrpa za uočene pretnje koje još nisu eksploatisane. Osnovna zamerka je visok stepen nedostatka fleksibilnosti u odnosu na stanje „na terenu”. Umesto da ritam izdavanja tih „popravki” usklade s realnom situacijom i ubrzaju ga, kompanije se neretko odlučuju da ih korisnicima upućuju vrlo retko. To je uzrokovalo i promenu u razmišljanju IT menadžera koji sada sve češće (45% ispitanih) posežu za „lekovima” koje im daju treća lica.

Osim što svakoga dana nastaje sve više Web aplikacija i otkriva se sve veći broj propusta u Web čitačima, od kojih više nijedan nije siguran, vreme koje protekne od otkrivanja propusta do njegove eksploatacije sve je kraće i ono se danas ne meri više danima, već satima. Istraživanja su pokazala da neke organizacije (14%) imaju usvojenu polisu da kritične zakrpe moraju da „stave na mesto” u roku kraćem od dva časa, dok njih 39% to čini za najviše osam sati. S druge strane, dve trećine ispitanih organizacija izjavilo je da za nekritične propuste ima odredbu da ih sanira u roku koji varira od dva dana do dva meseca.

... taj se načeka

Dana 11. aprila Microsoft je izdao tu dugo iščekivanu zakrpu. Zanimljivo je što je u pitanju bio tzv. kumulativni patch kojim je „zapušeno” još 14 do tada nepoznatih „rupa”, od kojih su dve odmah dobile atribut „kritične”. Epilog ove najnovije ujdurme oko Internet Explorera može se sažeti u nekoliko indikativnih crtica: rupe koje se u aplikacijama javljaju svakodnevno uporedive su s onima na našim lokalnim putevima: softverske kompanije ih često krpe gore nego naši putari izlokane kolovoze, brzina kojom zlonamernici stižu da ih eksploatišu se drastično povećala, dok se paralelno drastično smanjio stepen poverenja u one koji bi trebalo da štite sopstvene proizvode. Rezultat toga je posezanje za „alternativnom medicinom” nezavisnih kompanija, a svakome je jasno da to i nije baš pravo rešenje.

Dušan KATILOVIĆ