Przejdź na skróty do treści. | Przejdź do nawigacji

Zapamiętaj mnie Przypomnij hasło Rejestracja
Wersja mobilna
Newsletter
Zgłoś uwagę
RSS

Bezpieczeństwo

rozwiń
Strona główna Bezpieczeństwo Artykuły Niebezpieczne oprogramowanie

Programy są dziurawe, a błędy zagrażają nie tylko komputerom, uderzają również w fundamenty Internetu.

Niebezpieczne oprogramowanie

Oprogramowanie absolutnie bezbłędne to mrzonka – nawet matematycznie dowiedziona poprawność kodu nie świadczy o braku błędów wynikających np. z wadliwej implementacji.

Od dwunastu lat regularnie, co drugi wtorek każdego miesiąca, użytkownicy otrzymują aktualizacje Windows. Oczywiście system operacyjny to niejedyny systematycznie aktualizowany kod. Flash Player czy biblioteki Java są kolejnymi często aktualizowanymi programami. Celem aktualizacji jest usunięcie wykrytych błędów w kodzie. Takie błędy to nie tylko możliwość nieprawidłowego działania danego rozwiązania, ale dodatkowo poważne zagrożenie dla bezpieczeństwa danych. Program zawierający błędy może stać się narzędziem ułatwiającym dystrybucję złośliwego oprogramowania, infekowanie kolejnych komputerów, infiltrację użytkowników itd. Regularna dbałość o kod danego rozwiązania jest o tyle istotna, że wiele programów – a w szczególności systemy operacyjne – to produkty o długim czasie życia na rynku. Windows stanowi podstawę działania setek tysięcy aplikacji, a przecież kod wciąż najpopularniejszego dziś systemu Windows 7 został opracowany już dawno. Odrębną kwestię stanowią wady projektowe. Przykładem może być platforma do zarządzania licencjonowanymi i cyfrowo chronionymi publikacjami elektronicznymi – Adobe Digital Editions. W starszych wersjach narzędzie to wymieniało z serwerami Adobe nie tylko dane dotyczące licencji (weryfikacja licencji), ale również dane dotyczące baz e-booków konkretnych osób. Problem polegał na tym, że dane przesyłane były otwartym tekstem. Dopiero wdrożenie aktualizacji poprawiło poziom bezpieczeństwa.

Bezpieczeństwo nie jest priorytetem

Im bardziej popularne i rozpowszechnione jest oprogramowanie, tym intensywniej poszukuje się w nim luk. Od 2012 roku na szczycie listy jest firma Oracle, wydawca Javy – kodu sprawiającego wiele kłopotów
Im bardziej popularne i rozpowszechnione jest oprogramowanie, tym intensywniej poszukuje się w nim luk. Od 2012 roku na szczycie listy jest firma Oracle, wydawca Javy – kodu sprawiającego wiele kłopotów

Gdy przysłuchujemy się zapewnieniom przedstawicieli działów marketingu producentów oprogramowania, może się wydawać, że bezpieczeństwo to ważna, bodaj najważniejsza kwestia uwzględniona w promowanym rozwiązaniu. Niestety, tak nie jest. Szczególnie jaskrawym przykładem zbyt błahego podejścia czy wręcz lekceważenia zagadnień związanych z bezpieczeństwem jest firma Apple i jej system mobilny – iOS. Przyjęcie niewłaściwych priorytetów spowodowało, że pierwsze wersje najnowszej generacji systemu iOS 8 pełne były rażących błędów, niekiedy wręcz uniemożliwiających użytkownikom normalne korzystanie z urządzeń z tym systemem. Wprowadzenie aktualizacji 8.0.1 okazało się jeszcze gorszym posunięciem, bo aktualizacja, zamiast poprawiać sytuację, tylko ją pogarszała. Wyraźnie widać konflikt interesów pomiędzy deweloperami aplikacji a wydawcami, menedżerami odpowiedzialnymi za wdrożenie nowych rozwiązań. Ci pierwsi chcą mieć więcej czasu na dokładniejsze sprawdzenie kodu, tym drugim zależy na jak najszybszym wprowadzeniu produktu na rynek. Problem jest na tyle poważny, że wady kodu stały się przedmiotem obrotu. Uruchomiony w 2010 roku Google Vulnerability Reward Program wynagradza tych, którzy w oprogramowaniu Google’a odnajdą luki stwarzające potencjalne zagrożenie dla bezpieczeństwa użytkowników. Wypłacane stawki są zależne od wielu czynników: typu zagrożonego produktu, zasięgu oddziaływania luki itp.

Każdy, kto jako pierwszy zgłosi nowo odkrytą lukę w oprogramowaniu czy usługach Google’a, może liczyć na sowite wynagrodzenie. Niezależnie od tego w Internecie luki są przedmiotem obrotu.
Każdy, kto jako pierwszy zgłosi nowo odkrytą lukę w oprogramowaniu czy usługach Google’a, może liczyć na sowite wynagrodzenie. Niezależnie od tego w Internecie luki są przedmiotem obrotu.

Egzemplifikacją najlepiej wynagradzanych zdarzeń jest odkrycie luki umożliwiającej zdalne wykonanie kodu – znalezienie tego typu błędów oznacza dla odkrywcy gratyfikację w wysokości 20 tysięcy dolarów. Z kolei Kevin Mitnick otworzył sklep internetowy, w którym przedmiotem obrotu są luki w oprogramowaniu, i to te najniebezpieczniejsze. Cena? 100 tysięcy dolarów za sztukę. Odrębnym zagadnieniem są luki „zaprojektowane”. Ich istnienie podejrzewano od dawna, a fakt ten potwierdziły rewelacje Edwarda Snowdena. Dyrektor FBI James Comey jest zwolennikiem monitoringu – uświadamia, że prywatność jednostki i bezpieczeństwo publiczne często znajdują się na kursie kolizyjnym.

Feler w systemie

Brak wykrytych luk w programie nie oznacza, że mamy do czynienia z produktem bezpiecznym. Może znaczyć tylko, że dany kod jest mało popularny i po prostu nie wzbudził zainteresowania agresorów. W centrum zainteresowania cyberprzestępców znajduje się kod popularny, bo tylko taki gwarantuje szybką propagację zagrożenia „wstrzykniętego” przez odkrytą lukę. Dlatego też zarówno osoby odpowiedzialne za bezpieczeństwo, jak i cyberprzestępcy poszukują luk w powszechnie stosowanych aplikacjach i systemach operacyjnych.

Rozwiązanie opublikowane w serwisie Docker (www.docker.com) daje możliwość uruchamiania oprogramowania wraz z wymaganymi bibliotekami i dodatkami w bezpiecznych wirtualnych „pojemnikach”. Rozwiązanie z „dokowanymi” aplikacjami pochodzi ze świata Linuxa i dotąd stosowane było wyłącznie w oprogramowaniu serwerowym.
Rozwiązanie opublikowane w serwisie Docker (www.docker.com) daje możliwość uruchamiania oprogramowania wraz z wymaganymi bibliotekami i dodatkami w bezpiecznych wirtualnych „pojemnikach”. Rozwiązanie z „dokowanymi” aplikacjami pochodzi ze świata Linuxa i dotąd stosowane było wyłącznie w oprogramowaniu serwerowym.

Próba oceny, na ile bezpieczny jest program, to zadanie trudne. Liczba znanych błędów stanowi zaledwie jeden ze wskaźników, ale istotne jest również, na ile poważne konsekwencje niesie ze sobą wykorzystanie danego błędu. Odpowiedzi dostarczają oceny zgodne z systemem CVSS (Common Vulnerability Scoring System; standard oceny stopnia zagrożenia bezpieczeństwa systemów komputerowych). Każde wykryte zagrożenie (opublikowane np. w bazie NVD – National Vulnerability Database – nvd.nist.gov; informacje o ocenach CVSS publikowane są też w biuletynach informacyjnych towarzyszących pakietom aktualizacyjnym – tak robi np. Microsoft) jest oceniane w skali 10-punktowej. Wartość 10 oznacza najpoważniejszy problem, przy czym luki mające oceny od 7 do 10 uważa się za niezwykle poważne zagrożenie dla bezpieczeństwa. System Windows od dawna uchodzi za niezbyt bezpieczny, zaś obydwa systemy operacyjne Apple’a – stacjonarny OS X oraz mobilny iOS – uznawane są przez konsumentów za bezpieczne rozwiązania. Jednak statystyki NVD i oceny CVSS mówią coś innego.

Windows bezpieczniejszy, niż się wydaje

Najbardziej narażone systemy operacyjne (dane z 2014r.)
Najbardziej narażone systemy operacyjne (dane z 2014r.)

Liczba wykrytych błędów w kodzie systemów Microsoft u od kilku lat systematycznie spada. Tak samo wygląda sytuacja w przypadku popularnego pakietu biurowego tej firmy. Z kolei Adobe, choć regularnie łata swój czytnik Adobe Reader czy program Flash Player, nie osiąga już podobnych rezultatów. Pomysłem na ograniczenie ryzyka związanego z potencjalnym wykorzystaniem luk w popularnym oprogramowaniu jest zastąpienie powszechnie używanych aplikacji znacznie mniej popularnymi odpowiednikami, np. w przypadku Microsoft Office może to być pakiet LibreOffice, a zamiast czytnika Adobe Reader program Sumatra PDF. Niemniej trudno nie zauważyć, że taki pomysł oznacza również zgodę na rezygnację z pewnych funkcji i często konieczność zmiany przyzwyczajeń, a to cena, którą nie wszyscy zdecydują się zapłacić.

Lepszym rozwiązaniem jest implementowanie przez producentów oprogramowania mechanizmów umożliwiających otwieranie dokumentów w bezpiecznym, izolowanym środowisku. Przykładem może być oprogramowanie Adobe Reader. Od wersji 10 czytnik wyposażony jest w tzw. piaskownicę, w której otwierany jest dokument PDF. Istotą piaskownicy jest to, że dane w niej przetwarzane są oddzielone od reszty systemu i działających w nim aplikacji, co skutecznie ogranicza możliwość infiltracji i infekcji systemu-gospodarza. Niestety, w 2014 roku odkryto trzy luki, które zniweczyły starania związane z użyciem piaskownicy, co miało zwiększyć poziom ochrony. Jeszcze innym rozwiązaniem okazuje się system Docker. To platforma do uruchamiania aplikacji włącznie z wymaganymi przez dany program bibliotekami w jednym, wirtualnym pojemniku. Microsoft planuje wdrożyć rozwiązanie typu Docker w kolejnej edycji swojego systemu serwerowego.

Dodaj komentarz 2 komentarze
acomp
acomp 2016.01.13 12:17
Jak widać z danych zacytowanych w newsie oraz załączonych tabelek nie ma idealnych i systemów i programów a z Windowsami nie jest tak źle jak piszą hejterzy!
Gość IP: 195.117.188.* 2016.01.23 15:13
acomp, racja, nie ma idealnych systemów. Używam linux Mint od lat i po pół roku użytkowania nie zamieniłbym go na pewno na windowsa bo mam porównanie. Oczywiście jest kilka spraw do poprawy ale nie naprawy. Świetne środowisko ludzi, którzy pomogą np. ustawić np. kartę wifi i ona już działa do póki nie zmienimy systemu na inny.
Pracowałem na Windowsie kilka lat i nie wyobrażam sobie na nim pracować w firmie.
AUTOR: jakub korn
DODANO: 12.01.2016
LICZBA WYŚWIETLEŃ: 6334

CENEO Kup Najtaniej
Samsung GE89AST Samsung GE89AST
Dostępny w 1 sklepach
Sprawdź CENY tego produktu
Acer Aspire E5-571G (NX.MLYEP.001) Acer Aspire E5-571G (NX.MLYEP.001)
Dostępny w 1 sklepach
Sprawdź CENY tego produktu
Lefthand Mała Firma: Complex Business Solution Lefthand Mała Firma: Complex Business Solution
Dostępny w 1 sklepach
Sprawdź CENY tego produktu
Celestron AstroMaster 114AZ Celestron AstroMaster 114AZ
Dostępny w 2 sklepach
Sprawdź CENY tego produktu
Peiying GPS7005 Peiying GPS7005
Dostępny w 1 sklepach
Sprawdź CENY tego produktu