Wnioski z lektury tegorocznej listy SANS TOP20 są oczywiste: "łatanie" oprogramowania, choć nieodzowne, nie rozwiązuje problemów fundamentalnych dla bezpieczeństwa systemów informatycznych.

Opublikowany niedawno raport instytutu SANS - SANS TOP20 zawiera listę najpoważniejszych luk w oprogramowaniu wykrytych w ciągu ostatniego roku. W "finałowej" dwudziestce po równo reprezentowane są błędy systemów Windows i Unix. Raport SANS nie jest zaskoczeniem dla tych, którzy regularnie śledzą serwisy i listy dyskusyjne poświęcone bezpieczeństwu systemów informatycznych. Sytuacja zawsze wygląda tak samo: epidemia, gorączkowe doniesienia o rozprzestrzenianiu się infekcji, poszukiwanie antidotum, stopniowa stabilizacja i wreszcie podliczanie strat. Na tle nauk inżynierskich pod względem niezawodności informatyka wypada fatalnie.

Wyrok znów podtrzymany

Z raportu płynie ważny wniosek: choć każdego dnia jest publikowanych od kilkunastu do kilkudziesięciu opisów luk w oprogramowaniu, to lista największych zagrożeń w zasadzie się nie zmienia od trzech lat - po stronie systemów Unix i Windows. Na liście zagrożeń dominują "recydywiści" - luki, które na masową skalę zostały już wielokrotnie wykorzystane przez wirusy lub robaki sieciowe. Umieszczenie po raz kolejny na pierwszych miejscach obu list: Microsoft Information Server i ISC BIND jest symptomatyczne. Oba programy mogłyby być negatywnymi bohaterami podręczników programowania. Nieszczęście polega jednak na tym, że w pewnym momencie rozwoju Internetu stały się bardzo popularne...

Autorzy programów BIND i umieszczonego na szóstym miejscu listy unixowej Sendmail, a także Microsoft, traktują bezpieczeństwo swoich aplikacji poważnie, co oznacza, że poprawki są publikowane wkrótce po odkryciu błędu. Cóż z tego, skoro informacja o pojawieniu się łatki w większości przypadków w ogóle nie dociera do zainteresowanych, dociera za późno, a nawet gdy dociera, nie jest z tych czy innych względów instalowana.

Podatność na pewne ataki przynajmniej w dużej części przypadków nie jest efektem lenistwa czy ignorancji administratorów, ale raczej braku możliwości aktualizowania systemów w tempie, w jakim pojawiają się informacje o nowych dziurach i stosowne łatki. Serwery, o których mowa, mają do spełnienia określoną rolę (serwer DNS, poczty, WWW) i wybór tego, a nie innego oprogramowania został podyktowany konkretnymi potrzebami. Mógł to być np. brak rozsądnej alternatywy - pamiętajmy, że jeszcze parę lat temu BIND i Sendmail nie miały takiej konkurencji jak dziś. Dziurawy jak sito Microsoft Internet Information Server w wersji 3 był na początku reklamowany jako "jedyny bezpieczny serwer internetowy".

Niezależnie od tego, wg jakich kryteriów wybrano kluczowe dla systemu aplikacje, raz podjęta decyzja uruchamia ogromne środki na przystosowanie całości serwisu do tego konkretnego programu - interfejsy, sposób działania itd. Skoro ktoś wykonał tyle pracy, trudno się dziwić, że w sieci wciąż działają serwery z BIND w wersji 4.9 czy równie antycznymi wersjami IIS, Sendmail bądź Apache.

Kurator niezbyt skory

Praktyka pokazuje, jak ogromną rolę mają ustawienia domyślne systemu operacyjnego lub oprogramowania. Niewielki odsetek administratorów ma czas i doświadczenie, by przekonfigurować swój system zgodnie z zaleceniami producenta i z uwzględnieniem wskazówek dotyczących bezpieczeństwa. Aplikacje są najczęściej instalowane z ustaleniami domyślnymi, które pozostają nietknięte, a administratorzy sięgają do dokumentacji dopiero wtedy, gdy chcą uruchomić nową funkcję.

Sprawa nie dotyczy, jak można by sądzić, wyłącznie amatorskich serwerów działających na bezpłatnych systemach operacyjnych lub komputerów domowych. Na takie konfiguracje niejednokrotnie natrafialiśmy podczas audytów rozległych i pełniących krytyczne funkcje sieci wielu instytucji. Co więcej, zagrożenia związane z pozostawieniem domyślnych ustawień dotyczą nie tylko systemów operacyjnych, ale także routerów i przełączników. Winę za taki stan ponoszą administratorzy i integratorzy.

Wnioski nasuwają się same: dystrybucyjna wersja aplikacji lub systemu powinna mieć domyślnie włączone minimum funkcji - przynajmniej jeśli chodzi o usługi sieciowe. Szczęśliwie Microsoft wziął sobie tę myśl do serca i system Windows Server 2003 jest pod tym względem wręcz przykładem dobrej praktyki. Gdzie są następni?