Niebezpieczne wtyczki można wyłączyć w Rejestrze za pośrednictwem killbitów.

Nurkowanie wśród rekinów staje się popularną rozrywką: znudzeni monotonią wielkomiejskiego życia Kowalscy wchodzą tym celu do metalowej klatki zanurzonej w przybrzeżnych wodach RPA. Przywabione krwawymi kawałkami mięsa żarłacze rozpędzają się i z hukiem uderzają o stalowe pręty. A Kowalscy, bezpieczni w swoich akwalungach, wykonują spektakularne zdjęcia z wakacji.

Oczywiście nikt z uczestników takich wypraw nie odważyłby się wejść do wody bez ochrony, jaką zapewnia klatka. Jednak tak właśnie postępuje wielu internautów – ignorując ważne aktualizacje, nieomal zapraszają hakerów do zwiedzenia ich peceta. Firma Trusteer monitorująca bezpieczeństwo aplikacji użytkowych sprawdziła software zainstalowany na 2,5 miliona pecetów. Wynik: 80 proc. internautów korzysta z przestarzałej i niebezpiecznej wersji Flasha. W przypadku Adobe Reader jest jeszcze gorzej – liczba osób korzystających ze starszych wersji programu sięga 84 proc. W tej sytuacji wystarczy odwiedzenie zainfekowanej strony albo otworzenie spreparowanego dokumentu, aby złośliwe oprogramowanie na dobre zadomowiło się w systemie.

Dziurawe aplikacje to coraz częściej jedyna droga umożliwiająca hakerowi przejęcie kontroli nad systemem. Zabezpieczenia Windows z wersji na wersję stają się bowiem coraz trudniejsze do sforsowania. Bramą, dzięki której może dojść do inwazji, okazują się więc dziury w programach. A jest ich naprawdę mnóstwo. Finansowana przez rząd USA organizacja National Vulnerability Database (nvd.nist.gov) opublikowała w dniu zamykania artykułu informacje o 39 050 znalezionych lukach. Co więcej, ich liczba wzrasta średnio o 19 dziennie.

Co prawda, wiele dziur wykrywa się w oprogramowaniu, z którym przeciętny użytkownik raczej nie ma styczności, na przykład w systemie Solaris firmy Sun. Jednak na wysokich pozycjach w rankingu luk plasują się także aplikacje instalowane na każdym komputerze. Z tego powodu tak ważne jest korzystanie z narzędzi aktualizacyjnych, które dbają o to, by zainstalowane na naszym pececie oprogramowanie zawsze było w najświeższej wersji, bądź – jeszcze lepiej – rozejrzenie się za bezpiecznymi alternatywami dla popularnych aplikacji.

Zanim przedstawimy luki w często używanych programach oraz ich bezpieczne zamienniki, musimy przyjrzeć się jednemu z interfejsów systemu Windows będącemu już od lat źródłem kłopotów: ActiveX. Z raportu działu bezpieczeństwa X-Force firmy IBM wynika, że w 2009 roku umożliwił on aż 62 proc. skutecznych włamań internetowych. Co więcej, trzy na pięć najbardziej popularnych ataków przeprowadzanych za pomocą przeglądarek także odbywa się z wykorzystaniem modułów AcitveX.

ActiveX: Otwarta rana Windows

ActiveX został zaimplementowany w Windows w 1996 roku celem rozszerzenia funkcjonalności standardowych aplikacji typu Internet Explorer, Media Player czy Outlook, na przykład o kontrolkę obsługującą format QuickTime. Interfejs stworzono, gdy Internet nie był jeszcze tak niebezpiecznym miejscem, jakim jest obecnie. W efekcie wtyczkę ActiveX uznaje się za bezpieczną, tylko gdy zawiera cyfrową sygnaturę. Składniki ActiveX, które nie mają takich podpisów, mogą zostać wyłączone za pośrednictwem aktualizacji wpisu w Rejestrze. Robi się to przez dodanie tzw. killbitu, czyli bitu, który dezaktywuje wtyczkę. Jeśli chcemy, możemy sami sprawdzić, jakie killbity zostały ustawione w naszym systemie. W tym celu przechodzimy w edytorze Rejestru do klucza »HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility«. Killbit łatwo rozpoznamy po wpisie »Compatibility-Flag« z wartością »0x00000400«.

Luki w ActiveX stanowią tak poważne zagrożenie, ponieważ wtyczki posiadają te same uprawnienia, co aplikacja, w której zostały uruchomione. Na przykład jeżeli użytkownik Windows XP korzysta z Internet Explorera, mając uprawnienia administratora, to ładowane przez tę przeglądarkę kontrolki ActiveX również uzyskują pełny dostęp do systemu. W przypadku Visty i Windows 7 podstawową ochronę przed tym zapewnia funkcja »Kontrola konta użytkownika« – o ile nie została wyłączona.

Luki w ActiveX może wykorzystać także każda zainfekowana strona internetowa – niebezpieczna wtyczka zostanie uruchomiona, jeżeli tylko strona zna jej identyfikator. Jeśli chcemy na dobre zablokować wykonywanie kodu kontrolek ActvieX w IE, odpowiednie ustawianie znajdziemy, wybierając »Narzędzia | Opcje internetowe| Zabezpieczenia | Poziom niestandardowy«.

Pod koniec 2009 roku kłopoty z ActiveX uległy zwielokrotnieniu. Dwie nowo wykryte luki w bibliotece ATL (Active Template Library), za pomocą której tworzone są wtyczki ActiveX, stawiają pod znakiem zapytania sens całej tej technologii. W chwili, gdy ujawniono istnienie dziur w ATL, stało się jasne, że należy sprawdzić wszystkie formanty ActiveX, jakie do tej pory stworzono, a następnie – w razie wykrycia luk – napisać je od początku.

Jedna z luk w ATL umożliwia wywołanie błędu przepełnienia bufora, w efekcie czego zainfekowana wtyczka zapisuje informacje poza wyznaczonym jej zakresem pamięci, na przykład w obszarze zarezerwowanym dla usług systemu Windows. Druga luka pozwalała na obejście killbitu umieszczonego w Rejestrze, przez co wtyczka ActiveX uruchamia się bez wiedzy użytkownika. Microsoft wypuścił już aktualizacje rozwiązujące problem przeznaczone do Outlooka oraz Media Playera.

Inne rozwiązanie polega na korzystaniu z alternatywnej przeglądarki internetowej, która sama z siebie nie uruchamia wtyczek ActiveX. Nie polecamy Internet Explorera – większość inwazji przy użyciu ActiveX odbywa się właśnie za jego pośrednictwem. Znacznie lepszy wybór to Firefox, ale też nie do końca, o czym piszemy niżej.

Przeglądarka: Dziurawy Firefox

„Ognisty lis” na początku był uważany za bezpieczną przeglądarkę. Ale z upływem lat to się zmieniło: w samym tylko 2009 roku opublikowano informacje o ponad 80 lukach w Firefoksie. W efekcie przeglądarka znalazła się na szczycie rankingu najbardziej ryzykownych programów, a do tego w jej przypadku obserwujemy negatywny trend – liczba dziur w Firefoksie wzrasta od dwóch lat, podczas gdy w IE z każdym rokiem minimalnie, ale jednak maleje. Jednak ciągle nie ma możliwości rzetelnego porównania, która z tych przeglądarek jest bezpieczniejsza. Powód? Dezinformacja: o ile  Mozilla otwarcie przedstawia wszystkie wykryte luki, o tyle Microsoft milczy jak kamień do czasu, gdy luka, o której on już wie, nie zostanie wykorzystana przez złośliwe oprogramowanie.