V internetových diskuzích často zaznívají názory obviňující Microsoft z přílišné pomalosti při vydávání oprav pro své produkty. Naposledy taková situace nastala o Vánocích. Tehdy se objevila kritická chyba umožňující napadení počítače pomocí chyby ve specifickém formátu grafických souborů. Jak vůbec proces přípravy záplat probíhá?
O bezpečnosti a způsobech, jimiž se Microsoft snaží bojovat proti bezpečnostním chybám, jsme si povídali s Daliborem Lukešem, který má tuto oblast v české pobočce firmy na starost.
Microsoft bývá často kritizován za pomalost při vydávání svých oprav. Když se objevila poslední kritická chyba s WMF, opětovně zazněly hlasy, které na tento problém upozorňovaly. Záplata měla být podle původních informací vydána v rámci pravidelného termínu až 10. ledna, tedy více než deset dní poté, co se kritická chyba objevila. Nakonec byla vydána týden po objevení této chyby.
Mezitím bezpečnostní firmy přispěchaly se svými vlastními záplatami, které ale Microsoft nedoporučoval instalovat. Uživatel tak byl v roli bezmocného diváka, který musel doufat, že nikdo bezpečnostní chybu nezneužije právě proti němu.
Tato kritika je pochopitelná, na druhé straně dává Microsoft do diskuze své argumenty. Hlavní nebezpečí kritických bezpečnostních chyb nevyvstává v okamžiku, kdy na ně někdo přijde, ale teprve ve chvíli, kdy by je někdo další využil pro svůj vir či červ, který by se s jejich pomocí mohl volně šířit internetem.
K tomu je potřeba uvést, že většina internetových červů, využívajících některou z bezpečnostních chyb, se objevila až po vydání opravného balíčku. Boj s viry tedy není záležitostí jen Microsoftu, ale také uživatelů, kteří opravy musí na svůj operační systém pravidelně aplikovat.
Například červ Nimda se objevil téměř rok (331 dní) po vydání záplaty, která opravovala bezpečnostní chybu, již tento červ využíval. Podobná situace byla také u dalších červů – SQL Slammer se objevil 180 dní po vydání opravy, Welchia/Nachi 151 dní a známý Blaster 25 dní po opravě.
Každý, kdo si do objevení těchto červů stihl systém zaktualizovat příslušnou záplatou, byl mimo nebezpečí. Jedním z pilířů je tedy pravidelná aktualizace operačního systému o nově dostupné opravy.
Příprava a proces výroby updatů
Než si přiblížíme způsob, jakým Microsoft pracuje na návrzích oprav bezpečnostních chyb, musíme si povědět, jak se tyto informace k Microsoftu dostávají. V zásadě existují dvě varianty – dobrá a špatná.
Při dobré variantě bezpečnostní chybu objeví sám Microsoft, některá z bezpečnostních firem nebo velmi znalý, zodpovědný uživatel. Tito lidé zpravidla vědí, na koho se v Microsoftu obrátit, a informaci o nalezené chybě předají na správné místo (stačí poslat mail na secure@microsoft.com). Lidé v Microsoftu následně začnou pracovat na přípravě záplaty. Tyto případy podle dostupných statistik velkou měrou převažují.
Špatná situace nastane ve chvíli, kdy chybu objeví někdo, kdo neví, koho by měl kontaktovat, případně kontaktovat nechce a chybu zveřejní na internetu. V takovém případě vystavuje všechny uživatele riziku, že chyby se někdo chopí a zneužije ji při tvorbě viru nebo internetového červa.
V podstatě se tedy hraje o čas – pokud má Microsoft čas na vytvoření záplat, výrazně se snižuje riziko, že se objeví nástroj, která by uvedenou bezpečnostní chybu využíval.
V obou případech je ale další proces v rámci Microsoftu stejný. Po obdržení prvních informací následuje proces tvorby opravy dané chyby, který nejčastěji zabere okolo jednoho týdne a skládá se z několika částí.
V první fázi je provedena důkladná analýza chyby. Během ní se zjišťuje, kterých produktů se chyba týká, jak funguje a jak ji co nejefektivněji opravit.
Druhá fáze představuje samotný vývoj záplaty. Tato fáze přitom nezabere až tolik času, kolik by si uživatel představoval. Všechny fáze jsou zhruba stejně dlouhé. Poslední fází je testování, tedy aplikace opravy na všechny postižené produkty a její vyzkoušení v kombinaci s různými dalšími programy.
V průběhu vývoje opravy je většinou vydáno tzv. Security Advisory. Jedná se o dokument, který uživatele informuje o připravované opravě a dává alespoň dočasný návod na zamezení působení chyby (pokud to lze). Ve fázi testování se pravidelně objevuje další dokument, tzv. Security Bulletin. V něm nalezneme konkrétnější informace o připravované opravě a mimo dalších informací také poděkování lidem, kteří nějakým způsobem přispěli k nalezení chyby.
Jedna z častých námitek se váže k frekvenci, se kterou jsou nové updaty vydávány. Pokud nejde o vyloženě kritickou chybu, jako byla ta, která se objevila na přelomu loňského a letošního roku, jsou opravy zahrnovány do balíků oprav, které jsou vydávány pravidelně každé druhé úterý v měsíci.
Jednotný termín Microsoft prosazuje ze dvou důvodů. V mnoha firmách je update součástí ucelené bezpečnostní strategie, kdy každá záplata vydaná mimo tento cyklus znamená pro firmu náklady navíc. Druhý argument se opírá o fakt, že pokud se informace o bezpečnostní chybě dostane do Microsoftu výše popsanou „dobrou variantou“, riziko zneužití chyby je výrazně nižší než v případě přímého zveřejnění chyby. V takovém případě jsou i kritické opravy zahrnuty do pravidelně vydávaných balíků oprav. Ve výjimečných případech ale dochází k uvolňování oprav mimo tento cyklus.
Opravou to nekončí
Zveřejněním opravy boj ale ani zdaleka nekončí. V průměru dalších 9 dnů zabere hackerům, než pomocí zpětného inženýrství přijdou na podstatu bezpečnostní opravy a vytvoří exploit. Tedy konkrétní postup, jak bezpečnostní chybu zneužít na dosud nezáplatovaných počítačích. Potom je jen otázkou času a významu chyby, zda se ještě později objeví vir či červ, který bude tuto bezpečnostní chybu využívat pro průniky na počítače uživatelů.
Boj se tedy nevede jenom v technické rovině, ale také v rovině informační. Je potřeba, aby uživatelé chápali význam pravidelných aktualizací svého operačního systému, protože jinak mohou v krajním případě přijít o svá data.
Volně dostupný software pro zvýšení bezpečnosti
Microsoft nabízí také několik bezplatně dostupných nástrojů, které si můžete stáhnout, otestovat jimi svůj počítač, případně je využít pro zvýšení zabezpečení.
Jedním z těchto programů je Microsoft Baseline Security Analyzer, program, který je primárně určen pro malé a středně velké firmy. Jeho předností je schopnost analyzovat zabezpečení v zadaném rozsahu počítačové sítě, ale stejně dobře jím lze otestovat i jednotlivý počítač a hodí se tak i pro koncové uživatele.
Po provedené analýze je uživatel upozorněn na nedostatečné bezpečnostní nastavení, případně i na chybějící nebo nenainstalované záplaty nejen pro samotný operační systém, ale i pro další produkty Microsoftu, například Office. Vedle upozornění dostane uživatel také návod, jak daný problém řešit.
Dalším programem je Microsoft AntiSpyware, který je sice stále ve fázi betaverze, ale je již volně dostupný ke stažení. Podobně jako další programy ze škatulky antispywarových produktů, i tento program prověří přítomnost špionských softwarů ve vašem počítači.
Posledním produktem je Microsoft Malware Removal Tool, což není klasický program, který by bylo nutné stáhnout a nainstalovat, ale skript, který lze spustit přímo z webových stránek.
Rozdíly mezi spyware a malware se v dnešní době pomalu stírají, některé zákeřné produkty mají prvky z obou skupin. Podle obecné definice je spyware software, který sleduje vaši činnost s počítačem a získaná data předává dále. Malware je pak tzv. zákeřný software, který do počítače nahraje bez vašeho vědomí obtěžující reklamu, případně provádí jinou, záškodnickou činnost.
Microsoft OneCare je technologií, která je zatím stále ve fázi betaverze a na rozdíl od programu AntiSpyware není dostupná pro uživatele z České republiky. MS OneCare by mělo být komplexním centrem zabezpečení a údržby počítače. Bude obsahovat antivirový program a firewall pro ochranu před vnějšími hrozbami, ale také promyšlený zálohovací systém a nástroje pro zvýšení výkonu počítače.
Odkazy na zajímavé stránky
Hlavní stránka Microsoft Security: http://www.microsoft.com/cze/security/default.mspx
Security Advisory: http://www.microsoft.com/technet/security/advisory/default.mspx
Security Bulletiny: http://www.microsoft.com/cze/security/security_bulletins/default.mspx
Microsoft Security Response Center: http://www.microsoft.com/security/msrc/default.mspx
Microsoft Baseline Security Analyzer: http://www.microsoft.com/technet/security/tools/mbsahome.mspx
Microsoft AntiSpyware: http://www.microsoft.com/athome/security/spyware/software/default.mspx
Microsoft Malware Removal Tool: http://www.microsoft.com/security/malwareremove/default.mspx
Microsoft OneCare: http://www.windowsonecare.com/Default.aspx