Alternatywne rozwiązania

Informacje o lukach w bezpieczeństwie Internet Explorera sprawiają, że warto rozważyć wdrożenie innych, alternatywnych przeglądarek. Również na potrzeby firmowe.

Świat obiegła niedawno wieść o kolejnej luce w bezpieczeństwie Internet Explorera, poważnie zagrażającej wszystkim wersjom Microsoft Windows. Sprawa jest na tyle poważna, że zajęły się nią instytucje rządowe co najmniej dwóch krajów. Pierwszy, oficjalny komunikat w tej sprawie wydało niemieckie, federalne biuro do spraw bezpieczeństwa informacji BSI (Bundesamt für Sicherheit in der Informationstechnik) w Bonn. Kolejny został opublikowany przez francuską agencję do spraw bezpieczeństwa informacji i sieci (ANSSI). Oba zwracają uwagę na krytyczną lukę w bardzo popularnej przeglądarce (IE), zachęcając jednocześnie obywateli do rezygnacji z korzystania z IE, przynajmniej do czasu usunięcia podatności. Informację o luce wydał także polski CERT. Oznaczenie w bazie NVE to CVE-2010-0249; informacja w biuletynie firmy Microsoft nosi numer 979352. Luka w bezpieczeństwie dotyczy wszystkich wydań Internet Explorera dla wszystkich platform Microsoft Windows, z jednym wyjątkiem - archaicznej wersji IE 5.01 SP 4 w systemie Microsoft Windows 2000 SP 4.

Istotą luki jest błąd programistyczny w jednym wskaźniku. W pewnych okolicznościach można się nim posłużyć po zwolnieniu usuniętego obiektu. Skutkiem udanego ataku jest uruchomienie dowolnego kodu bez konieczności interakcji użytkownika. Wystarczy, by przeglądarka wyświetliła żądaną stronę. Atak ten może być przeprowadzany także za pomocą legalnie działających sieci sprzedaży reklam. Włączenie opcji ochrony wykonywanego kodu zmniejsza nieco podatność systemu, ale nie eliminuje samej luki.

Firma Microsoft twierdzi, że ataki wykorzystujące tę lukę są ograniczone co do skali i kierowane przeciw konkretnym celom. Tymczasem, raporty z urządzeń IPS zainstalowanych w wielu firmach dowodzą czegoś innego - w tej chwili (koniec stycznia 2010 r.) jest to jedna z powszechnie wykorzystywanych luk w bezpieczeństwie. Można zaryzykować stwierdzenie, że luka ta posłuży do włamań nie krócej niż przez trzy miesiące. Przyczyną jest opóźnienie w dostarczeniu aktualizacji, bardzo dobra znajomość mechanizmu ataku oraz opublikowanie kodu eksploita.

Luka dnia zerowego (a taką jest ta podatność) nie jest niczym nowym, ale tutaj spektrum atakowanych komputerów jest dość szerokie - praktycznie są to wszystkie podłączone do Internetu systemy Windows w domyślnej instalacji, gdy użytkownik korzysta z Internet Explorera.

Warto zatem zastanowić się nad wdrożeniem alternatywnej przeglądarki, gdyż historia błędów Internet Explorera jednoznacznie dowodzi, że czas od opublikowania informacji o luce w bezpieczeństwie do skutecznego zaaplikowania łaty będzie dość długi. Bardzo rozsądnym wyjściem jest zainteresowanie się przeglądarkami alternatywnymi, które według specjalistów prezentują co najmniej porównywalny poziom bezpieczeństwa.

Jak obejść problem do czasu wdrożenia łaty?

Po pierwsze, należy natychmiast zablokować pobieranie kompletnej treści, gdy z Internetem łączy się przeglądarka Internet Explorer. Za pomocą założeń polityki GPO w Active Directory, odpowiedzialnych za zarządzanie przeglądarką Internet Explorer, należy zablokować obsługę aktywnych skryptów dla wszystkich stron. W opcjach zarządzania systemem operacyjnym należy wymusić ochronę wykonywanych programów (DEP) w Windows XP SP3, Vista i 7. Problem można także obejść instalując zaporę sieciową z opcją filtrowania treści lub serwer pośredniczący (proxy) o podobnej funkcjonalności, umożliwiając w ten sposób odfiltrowanie obiektów JavaScript z całej treści pobieranej do firmy. Samo filtrowanie plików *.js według nazwy nie rozwiązuje problemu, gdyż obiekt taki może znajdować się w treści strony WWW.

Wprowadzenie takich obostrzeń powoduje jednak rażącą utratę wygody korzystania z sieci Internet sprawiając, że co najmniej 50% stron utraci część swojej funkcjonalności, wiele z nich w ogóle nie da się wyświetlić.