Ochroniarz dzieckiem podszyty

Drugie prawo zabezpieczania danych Jaffa Richardsona mówi: Jeżeli już kupiłeś komputer, nie włączaj go! W dzisiejszych czasach można je zinterpretować w nowy, nieco przewrotny sposób.

Drugie prawo zabezpieczania danych Jaffa Richardsona mówi: Jeżeli już kupiłeś komputer, nie włączaj go! W dzisiejszych czasach można je zinterpretować w nowy, nieco przewrotny sposób.

Systemy zabezpieczeń to rozwiązania, które z definicji darzy się pewnym zaufaniem. W końcu, jeśli nie one, cóż innego wybawi nas z opresji? Poza tym rozwiązania zabezpieczające udowadniają, że są skuteczne - każdego dnia odpierają setki, a bywa że tysiące ataków i prób włamań. Gdyby nie one, nasze sieci stanęłyby w ciągu kilku minut, a firmowe dane ulotniłyby się jak kamfora.

Z drugiej strony wiemy, że producenci rozwiązań takich jak zapory sieciowe czy systemy wirusowe nie są cudotwórcami. Zdrowy rozsądek podpowiada, że podobnie jak inni twórcy oprogramowania, firmy te są obarczone ryzykiem popełnienia błędu. Ponieważ jednak poprawne działanie systemów zabezpieczeń jest obecnie sprawą bezwzględnie priorytetową, nasza skłonność do wybaczania dostawcom potknięć - a co dopiero poważnych błędów - jest raczej niewielka.

Nasza cierpliwość jest ostatnio wystawiana na coraz więcej prób. Błędy w rozwiązaniach zabezpieczających stały się ponurym elementem codzienności. Doszło do tego, że krytyczne aktualizacje są standardem, a błędy w zaporach sieciowych mają już wręcz pewną tradycję. Najgorsze jest to, że natura błędów w zabezpieczeniach bywa podobna do tych, przed którymi rozwiązania te mają chronić. Z tej matni można się wyrwać, ale trzeba do tego nieco samozaparcia.

Nowe jest... dziurawe

Problemy z systemami zabezpieczeń powstają w dużej mierze dlatego, że liczba i zaawansowanie zagrożeń stale rośnie, czego często zdajemy się nie zauważać. Programy antywirusowe pojawiły się wraz z pierwszymi wirusami i tak jak one przeszły od tamtej pory wielką ewolucję. Kiedyś programy antywirusowe służyły do leczenia zainfekowanych komputerów, dopiero później okazało się, że konieczne jest zapobieganie, bo twórcy wirusów rozpracowali zabezpieczenia systemów operacyjnych.

Potem było już tylko gorzej. Gdy systemy uszczelniono, pojawiły się wirusy atakujące usługi i aplikacje - przede wszystkim pocztę, ale także przeglądarki WWW i towarzyszące im wtyczki (ActiveX, Java, Flash), o których to producenci rozwiązań antywirusowych dowiedzieli się zresztą dosyć późno... Twórcy wirusów, z biegiem czasu w coraz większym stopniu motywowani pieniędzmi, wyszukiwali coraz to nowe sposoby na wtargnięcie do systemów i aplikacji. Były wirusy atakujące serwery WWW, bazy danych, interfejsy RPC.

Obecnie każda nowa technologia jest analizowana pod kątem możliwości transportu złośliwego kodu lub umożliwienia dostępu do modułów, które mogą, choćby przez nieuwagę, pozostawać niezabezpieczone. A ponieważ tempo innowacji utrzymuje się na wysokim poziomie, twórcy wirusów i narzędzi do ich zwalczania mają pełne ręce roboty.

Nie to, co kiedyś

Ze względu na rosnące skomplikowanie oprogramowania i sposobów jego wykorzystania systemy zabezpieczeń również stały się kompleksowe. Samodzielny program antywirusowy to już w sumie historia - najnowsze systemy zabezpieczeń to połączenie skanera (lub skanerów!) antywirusowego, antyspamowego i antyszpiegowskiego, zapora sieciowa oraz system zapobiegania włamaniom. Każdy z tych elementów powinien być niezawodny... ale nie jest.

Wiele programów antywirusowych zawiera błędy, które umożliwiają ich unieruchomienie lub nawet zainfekowanie komputera za ich pośrednictwem! Przed takim problemem stanęły obecnie praktycznie wszystkie firmy tworzące oprogramowanie zabezpieczające. Firmy takie jak Computer Associates McAfee, Kaspersky, Sophos, Symantec, Trend Micro nie były w stanie dopracować swojego oprogramowania w takim stopniu, aby było bezpieczne i niezawodne.

Największą chyba wpadkę zaliczył w kwietniu Trend Micro. Oficjalna aktualizacja dostępna na stronach internetowych producenta powodowała spowolnienie działania, a niejednokrotnie uszkodzenie systemu operacyjnego - do tego stopnia, że niemożliwe było jego ponowne uruchomienie. Był to chyba najpoważniejszy, ale, niestety, nie pierwszy i nie ostatni problem z oprogramowaniem Trend Micro (błędy znajdowano we wszystkich ważniejszych produktach, m.in. InterScan, Virus Buster, VirusWall), które przez lata uchodziło za bardzo dobre.

Ale i pozostali producenci również nie mają powodów do dumy. Grupa iDefense opublikowała analizę, z której wynika, że zabezpieczenia McAfee Internet Security Suite 2005 można ominąć bez większych ceregieli. Symantec także pokazał się ze złej strony - można tutaj wymienić błędy w: Norton AntiSpam, Norton Antywirus, Norton Antywirus Script Blocker, Norton Security.

Lista zarzutów

Problemy z systemami antywirusowymi można podzielić na trzy klasy: (1) włamania poprzez wykorzystanie podatności w kodzie, (2) ataki typu Denial of Service oraz (3) błędy związane z aktualizacją. Ataki przez podatności w samym oprogramowaniu zabezpieczającym są możliwe, ponieważ są one często uruchamiane z prawami administratora, co ułatwia ataki polegające na przepełnieniu bufora.

Ataki tego rodzaju są jednak w sumie najmniej szkodliwe, ponieważ prowadzą do przejęcia jednego komputera. Problem pojawia się w momencie, w którym uszkodzony system antywirusowy otwiera port TCP lub UDP do komunikacji peer-to-peer ze swoim serwerem macierzystym (instalacja zarządzana). Skutki włamania przez taką usługę mogą być zabójcze dla całej sieci. Jeśli proces ma uprawnienia administratora, a firewall jest zintegrowany ze skanerem antywirusowym, nie zablokuje połączenia.

Skutki ataku typu Denial of Service to, mówiąc po ludzku, zawieszenie usługi skanowania. Zakrawa na ironię, że większość z zapór sieciowych, które są zintegrowane z oprogramowaniem antywirusowym, posiadała w pierwszych miesiącach funkcjonowania na rynku (a niekiedy nadal posiada) błędy polegające na nieprawidłowej obsłudze TCP/IP. Ataki na takie systemy może wykonać każdy - użytkownik zobaczy jedynie lakoniczny komunikat o "nieprawidłowej operacji programu".

Ostatni, acz najpoważniejszy problem to błędy aktualizacji. Nikt nie przypuszczał, że aktualizacja programu antywirusowego może doprowadzić do jego nieprawidłowego działania, a tym bardziej do zaburzeń pracy systemu operacyjnego. Pośpiech, choć w przypadku krytycznych aktualizacji jest potrzebny, to coraz częściej odbija się na jakości. Inny problem związany z aktualizacjami polega na tym, że wirus bądź inny złośliwy kod uszkadza system antywirusowy, uniemożliwiając aktualizację lub, co gorsza, przekierowując go na serwery włamywaczy, którzy za pośrednictwem usługi aktualizacyjnej ładują do komputerów konie trojańskie itp.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200