CERT: zabić każdą wtyczkę

Seria błędów wykrytych we wtyczkach ActiveX sprowokowała do dyskusji o zagrożeniach, które wywołują architektury wykorzystujące technologię modułów plug-in.

Seria błędów wykrytych we wtyczkach ActiveX sprowokowała do dyskusji o zagrożeniach, które wywołują architektury wykorzystujące technologię modułów plug-in.

Seria poważnych - określanych jako high-profile - luk i zagrożeń w ActiveX spowodowała, że amerykańska instytucja rządowa CERT (Computer Emergency Readiness Team) opublikowała rzadko spotykaną rekomendację całkowitego wyłączenia funkcji ActiveX w przeglądarkach internetowych Internet Explorer. "Na rynku jest bardzo dużo aplikacji, które wykorzystują ActiveX, a użytkownicy nawet nie zdają sobie z tego sprawy, kiedy i w jakim celu są one uruchamiane, i dlatego właśnie CERT zdecydował się wydać tak radykalne ostrzeżenie" - powiedział rzecznik tej instytucji.

Impulsem do tego były przede wszystkim luki wykryte w aplikacjach udostępnianych na stronach Facebook i MySpace (narzędzia do ładowania fotografii), a także w programach Yahoo Music Jukebox, Real Networks RealPlayer i Apple QuickTime oraz szybko rosnąca liczba exploitów wykorzystujących wykryte błędy. Sytuacja ta stała się przyczynkiem do szerszej dyskusji i analizy dotyczącej zagrożeń wynikających z popularyzacji architektur umożliwiających względnie łatwe rozszerzanie i wzbogacanie funkcjonalności przy zastosowaniu wtyczek programowych, których chyba najpowszechniej stosowanym przykładem jest właśnie technologia ActiveX.

Obrona przed zagrożeniem

Nie tylko CERT, ale również analitycy z Symantec uznali zagrożenie za wysokie. Symantec opublikował własne zalecenie dla administratorów systemów IT, aby zmodyfikowali rejestry systemu Windows tak, by uniemożliwić automatyczne uruchamianie niektórych kontrolek ActiveX. W praktyce każdy użytkownik może skonfigurować przeglądarkę IE tak, aby nie pozwalała na uruchomienie jakiegokolwiek kodu ActiveX, zwiększając poziom zabezpieczeń na wysoki. Niestety, wskutek dużej popularności tej technologii, może to spowodować wiele problemów podczas przeglądania Internetu.

Natomiast eliminacja tylko niektórych, stwarzających rzeczywiste zagrożenie kontrolek nie jest tak łatwa, bo wymaga ingerencji w rejestr systemowy Windows. Na szczęście w firmach lub korporacjach administratorzy są w stanie dość łatwo przygotować schemat niezbędnych zmian i zmodyfikować rejestry we wszystkich zarządzanych przez nich komputerach PC. Ponadto SANS Institute udostępnił na swojej stronie ISC (Internet Storm Center) prosty program z interfejsem graficznym, który umożliwia automatyczne wyłączenie sześciu najgroźniejszych kontrolek bez konieczności ręcznej edycji rejestru.

Łatwy cel do ataku

Na pytanie, jakie exploity AvtiveX są obecnie najgroźniejsze, specjaliści od bezpieczeństwa nie mają konkretnej odpowiedzi. Z reguły podkreślają, że największym zagrożeniem jest duża liczba różnego rodzaju luk oraz powszechna dostępność wykorzystujących je exploitów. Można oczywiście wymienić najbardziej znane przykłady, takie jak błędy umożliwiające atak na moduły MDAC (Microsoft Data Access Component), bardzo często wykorzystywane w ostatnich latach, lub problemy z HTML Help ActiveX - kontrolką w Internet Explorer, której luki również doprowadziły do wielu różnego typu ataków (najbardziej znany to trojan Phel). Ale w praktyce to tylko wierzchołek góry zagrożeń, które mogą spotkać użytkowników.

"Gdy Microsoft zaczął systematycznie łatać luki w systemie Windows, hakerzy zwrócili uwagę na łatwiejsze i przynoszące lepsze efekty cele, a do takich należą aplikacje i wtyczki ActiveX" - mówi Randy Abrams, dyrektor z ESET. Zwraca on jednocześnie uwagę, że technologia ActiveX najczęściej nie ma zasadniczego znaczenia dla działania aplikacji biznesowych. "Tak naprawdę problem z ActiveX w znacznym stopniu wynika z mody na wzbogacanie stron WWW i aplikacji w funkcje, które zwiększają ich atrakcyjność, ale wcale nie są niezbędne" - dodaje. Niestety trudno oczekiwać, aby z tego powodu programiści porzucili ActiveX, bo konkurencja jest silna i pewnie nikt nie zechce zrezygnować z wizualnego uatrakcyjnienia lub zwiększenia funkcjonalności swojej strony tylko ze względu na większe bezpieczeństwo.

Jak z kolei krytycznie zauważa Craig Schmugar, analityk z McAfee Avert Lab, wielu programistów tworzących aplikacje wykorzystujące mechanizmy ActiveX zupełnie nie dba o ich bezpieczeństwo. Jeśli do ich braku umiejętności budowy bezpiecznego kodu dodać szybko rosnącą liczbę programów, to przewidywany wzrost zagrożeń związanych z technologią ActiveX jest nieunikniony. Oprócz tego coraz łatwiej jest wykrywać luki. Na rynku pojawiło się ostatnio sporo narzędzi do statystycznego testowania aplikacji, czyli tzw. fuzzing tools, które pozwalają zautomatyzować proces ich wyszukiwania.

Pesymistyczne perspektywy

Należy zauważyć, że Internet Explorer 7 oraz Windows Vista zostały wyposażone w mechanizmy istotnie zmniejszające zagrożenie ze strony wrogich modułów ActiveX. Microsoft zdawał sobie sprawę, że technologia ta jest celem i to dość łatwym dla hakerów. Dlatego też w Internet Explorer 7, a także Windows Vista, firma wprowadziła zestaw modyfikacji umożliwiających zabezpieczenie systemu przynajmniej przed większością dobrze znanych i popularnych metod przejęcia kontroli nad przeglądarką. Ale Vista i IE 7 są obecnie zainstalowane na statystycznie niewielkiej liczbie komputerów, a większość użytkowników korzysta, i wciąż będzie korzystać, z Windows XP i Internet Explorer 6. Wydaje się więc, że w dającej się przewidzieć przyszłości technologia ActiveX pozostanie głównym celem hakerów i najczęstszym internetowym zagrożeniem dla systemów komputerowych.

Ponieważ ActiveX jest technologią zgodną tylko z przeglądarkami Microsoft, można stąd wyciągnąć wniosek, że najlepszym pod względem bezpieczeństwa rozwiązaniem jest zastosowanie technologii alternatywnych, takich jak JavaScript. Ale taka strategia może przynieść tylko krótkotrwałe efekty, bo wraz z ewentualną popularyzacją technologii alternatywnych staną się one, bardziej niż dotąd, atrakcyjnym celem dla hakerów. Jako przykład na potwierdzenie tej tezy, eksperci ds. bezpieczeństwa zwracają uwagę na szybko zwiększającą się liczbę ataków na Mozilla Firefox lub Apple Safari, gdy tylko zaczęła rosnąć popularność tych przeglądarek. A język JavaScript też nie jest pozbawiony luk i z definicji odporny na ataki.

Problem jest szerszy i dotyczy nie tylko ActiveX, ale praktycznie każdej architektury wykorzystującej mechanizm wtyczek programowych, czyli możliwości uruchamiania dodatkowych programów wewnątrz jakiejkolwiek przeglądarki.