Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz

CL - Ochrana aktualizovanim Java,Adobe a spol.

Moderátoři: james008, JaRon, Moderátoři

Odpovědět
Zpráva
Autor
Tatry03
Rádce
Rádce
Příspěvky: 1164
Registrován: 22 srp 2009 18:06

CL - Ochrana aktualizovanim Java,Adobe a spol.

#1 Příspěvek od Tatry03 »

Ochrana aktualizovaním ostatného softwaru

V článku: CL - Windows Updates vs. Web Threats http://forum.viry.cz/viewtopic.php?f=29&t=136531 sme rozprávali o potrebe pravidelného aktualizovania operačného systému (OS). Tabuľky z testovania robeného spoločnosťou Dennis Technology Labs ukázali percentuálne vyššiu úspešnosť ochrany pred škodlivým softwarom pri aktualizovanom (updatovanom) OS. Toto testovanie však nebralo do úvahy aktuálnosť ostatného softwaru v počítači. Skutočnosť je však taká, že málokto používa len čisto Windows bez nainštalovaných iných programov. (Veď načo by mu vlastne taký PC bol? :roll: )

A pohľad na nasledujúci koláčový graf nám jasne naznačí, že tie "ostatné" programy môžu znamenať problém.

Obrázek
Podiel na portfóliu zraniteľností: 8,4% OS, 15,9% Microsoft, 75,7% iný software
Zdroj:http://secunia.com/resources/reports/vr2014/

Aj keď ide len o orientačné čísla vyplývajúce zo štatistík spoločnosti Secunia, je zreteľne vidieť, že k otázke zabezpečenia "nie Microsoftového" softwaru sa treba postaviť nanajvýš seriózne.

Možno si niektorí z čitateľov práve kladú otázku: A čo je to vlastne tá "zraniteľnosť"? Jednoducho povedané, je to chyba v programe, ktorej využitím sa dá dosiahnuť nechcené, nežiadúce (z pohľadu útočníka samozrejme naopak chcené) správanie softwaru, ktorého dôsledkom je umožnenie nekalej činnosti na počítači (spustenie škodlivého softwaru). Súvisí to s tým, ako sa vlastne môže škodlivý kód spustiť na počítači obete. No napríklad útočník oklame užívateľa a ten malware spustí sám, nevediac, že spolu s inštaláciou navrhnutého "potrebného pluginu k prehrávaniu tohoto videa" sa spustí škodlivý kód (ide o "sociálne inžinierstvo"). Alebo využije dieru v programe a spustí malware bez pričinenia (a vedomia) užívateľa. A práve proti tomuto je potrebné sa brániť aplikáciou bezpečnostných aktualizácií softwaru. Tieto totiž naprávajú odhalené chyby, ktoré sa škodlivý software pokúša využiť.
----

Celkom dobrá nadväzujúca otázka by mohla znieť. Využije dieru v programe, ale ako sa k nemu dostane? Veď program beží na PC užívateľa. No, to záleží od toho, ako konkrétny počítač "komunikuje" s okolitým svetom. Ak nieje pripojený k žiadnej sieti, tak malware sa naň môže dostať len cez nejaké prenosné médium, HDD, USB flash, DVD atď.. Ale opäť (PC bez softwaru, len OS? viď. vyššie), väčšina bežných počítačov je pripojených k sieti a to nie hocijakej, ale rovno k internetu! Veď kvôli tomu si ich aj ľudia zadovažujú, aby mohli surfovať, chatovať, facebookovať atď. Nuž a preto, hlavným smerom odkiaľ možno očakávať útok, je práve internet. Následujúci obrázok nám to potvrdzuje.

Obrázek
Vektory, odkiaľ prichádzajú útoky. Internet, lokálna sieť, samotný počítač (napr. infikované prenosné médium)

Ak trochu upresníme, tak škodlivý kód z internetu môže prísť cez: email, môže byť ukrytý na webovej stránke (kam vedú odkazy preposlané cez chat, facebook, či na iných weboch), prípadne využije nedostatky v sieťových protokoloch a "prilezie" cez dieru na "nižšej úrovni". (pozn. Viac o fungovaní sietí model OSI: http://cs.wikipedia.org/wiki/Referen%C4 ... el_ISO/OSI)

Odbočenie:
Zatiaľ hovoríme o tom, prečo by mal užívateľ aktualizovať svoj software a tak zlepšiť svoju ochranu pred možným útokom. Ale, ak sa trochu zamyslíme nad tým, že malware si užívateľ stiahne z nakazenej webovej stránky, logicky prichádza otázka. A prečo je ten vírus na tom webe? Ako sa tam dostal? Odpoveďou nám môže byť nasledujúci obrázok štatistík spoločnosti Symantec:

Obrázek
77 % webových lokalít testovaných v roku 2013 obsahuje zraniteľnosti. Z toho 16 % bolo klasifikovaných ako kritické. 1 z 8 stránok obsahuje kritické nezaplátané zraniteľnosti. Najčastejšie využívané zraniteľnosti súvisia s protokolmi SSL a TLS. Nárast počtu zraniteľností v roku 2013 oproti 2012.
Zdroj: http://www.symantec.com/content/en/us/e ... .en-us.pdf

Kto to z obrázku nepochopil, tak vysvetlím. Ide o to, že zraniteľnosťami (chybami) trpia nielen počítače obyčajných užívateľov, ktorí surfujú po webe, lenže aj software serverov, na ktorých sú tie weby dostupné. Každá webová stránka, ktorú si prehliadame v počítači musí byť fyzicky niekde nahraná (aj táto :) ). Myslím tým jednak naprogramovaná, ale aj fyzicky umiestnená. A samozrejme to - niekde, znamená v skutočnosti na nejakom počítači. No a sme doma. Na tom počítači beží nejaký OS, nejaký server, služby (všeobecne software). No a na dôvažok, kedže stránky a samotnú konfiguráciu servera robil nejaký programátor, človek, tak ďalší zdroj možných chýb je jasný. Teoreticky väčšina užívateľov predpokladá, že stránky sú urobené "poriadne", že ich robil profesionál. Lenže štatistiky hovoria, že napriek týmto predpokladom, jeden z ôsmich webov obsahuje kritickú zraniteľnosť... Pre uvedomenie si, toto sa môže týkať akéhokoľvek legitímneho webu. Nehovoríme o vyslovene "zlých" weboch. (Tomuto logicky ako užívatelia nevieme zabrániť, to je na správcoch a autoroch webových stránok.)
Jeden z možných scenárov šírenia vírusu by mohol vyzerať takto. Útoku na počítače užívateľov predchádza fáza infikovania webu. Útočník napadne server a na legitímnu stránku podstrčí škodlivý skript alebo ifram. Tieto potom presmerujú užívateľa na ďalšiu stránku, z ktorej sa, ak jeho prehliadač má neopravenú zraniteľnosť, nepozorovane stiahne a nainštaluje samotný malware.

----


Kedže zraniteľnosti slúžia ako vstupná brána pre malware, ich vyhľadávaniu sa venuje veľká pozornosť. Samozrejme na obidvoch stranách "barikády" - logicky na zlej, ale aj dobrej. A tu sa dostávame k zaujímavej veci, ktorá zásadne ovplyvňuje možnosť ochrany užívateľov pred útokmi pomoc aktualizácie. Ide o to, kto dieru objavý ako prvý. Ak dobrá strana, to znamená výrobca softwaru, bezpečnostní analytici, antivírová spoločnosť, tak s najväčšou pravdepodobnosťou sa urýchlene naprogramuje oprava "záplata - patch", ktorá sa distribuje užívateľom. Prípadne je vydaná nová verzia daného programu, väčšinou poznateľná podľa navýšeného číslovania, napr XYZ 4.206.0 sa povýši na XYZ 4.210.0. A to sú práve tie bezpečnostné aktualizácie, o ktorých sa od začiatku bavíme. Výsledkom je, že keď sa o chybe dozvedia útočníci, tak ju už nemôžu zneužiť, kedže je už opravená. ALEBO ?

Tak by to malo byť teoreticky, lenže... Užívatelia častokrát neaktualizujú, alebo aktualizujú len občas, teda neskoro. A tak sa vydaním záplaty všetci tí, čo ju neaplikujú vystavujú zvýšenému riziku. Pretože útočníci záplatu preštudujú, zistia, čo presne opravuje a vyrobia vírus šitý na mieru. Nejako tento vírus začnú rozširovať (viď. Odbočenie) a užívatelia rýchlo "vyskúšajú", ako sú na tom z bezpečnosťou svojho počítača. Pokiaľ si nenainštalujú záplatu, čo ich ochráni pred infiltráciou? (Zopakujme si, že kompromitácia sa môže týkať akéhokoľvek webu, populárneho, nepopulárneho, oficiálneho, neoficiálneho, to je jedno a vírus je napísaný tak, aby využil práve tú konkrétnu dieru.) Popravde, pokiaľ sa nepoužívajú sofistikovanejšie metódy ochrany, či nastavení systému, tak pre bežného používateľa je poslednou záchranou kvalitný antivírový software, ktorý tento pokus o infiltráciu zachytí. Ale ako sa stále hovorí, žiadny AV nie 100%-ný.. :?:
----


Ide teda nielen o to aktualizovať, ale aj aktualizovať dostatočné rýchlo, zavčasu. Žiaľ to pomôže len v tom prípade, že dieru ako prví nájdu "dobrí". Horšia situácia nastáva vtedy, keď zraniteľnosť skôr objavia útočníci. Samozrejme, že sa ňou nepochvália, ale rovno začnú šíriť malware. Vtedy sa hovorí o 0-day vulnerabilities (zraniteľnosti nultého dňa).

Obrázek
Symantec v roku 2013 hovorí o 23 0-day zraniteľnostiach, ktoré boli v priemere zaplátane do 4 dní. V súhrne boli užívatelia ohrození 19 dní. Malware bol detekovaný priemerne pri návšteve jedného z 566tich webov.

Táto situácia vyzerá (a aj je) dosť nepríjemne. Na prvý pohľad by sa zdalo, že aktualizácia proti 0-day zraniteľnostiam nepomôže. V princípe je to tak, ale zase to nie je také jednoduché. Ako v mnohých veciach, aj tu ide o štatistiku. Pre úspešný útok sa musí stretnúť deravý počítač s napadnutým webom v "správnom" čase. Akonáhle totiž začnú prebiehať úspešné útoky, dozvedia sa o tom AV spoločnosti, bezpečnostní odborníci a tvorcovia napadnutej aplikácie a začína boj o čas. Ako rýchlo sa podarí uvolniť záplatu a ako rýchlo si ju klienti inštalujú. Samozrejme smolu majú tí užívatelia, ktorí sa stali "priekopníkmi" a prví narazili na tento konkrétny útok. Opäť platí, ak nepoužívali sofistikovanejšiu formu ochrany ako je štandardne bežná, tak zrejme mali problém. Avšak všetci čo sa nakazili až po vydaní bezpečnostnej aktualizácie si za to do značnej miery môžu sami. Symantec hovorí, že k "top" piatim dieram popísaným na obrázku vyššie zaregistroval vyše 174 000 útokov do 30 dní PO zverejnení aktualizácie. A o koľkých zraniteľnostiach celkove sa rozprávame?

Obrázek
Zraniteľnosti celkove za roky 2006-2013 a 0-day za rok 2013 po mesiacoch.


Aby sme boli konkrétnejší, tak v nami uvažovanom scenári útoku, bude cieľom zraniteľnosť vo webovom prehliadači potencionálnej obete. Logicky, lebo nakazenú stránku otvorí práve v prehliadači. Pozrime sa na nasledujúci obrázok:

Obrázek
Vyjadruje podiel prehliadačov na trhu, koľko v nich v roku 2013 bolo objavených zraniteľností a čo je dôležité, koľko inštalácií nebolo aktuálnych. Pozn. Súčet podielov na trhu je väčší ako sto, veľa užívateľov má nainštalovaných viac ako jeden prehliadač.

Oplatí sa útočníkom vyvíjať malware útočiaci na zraniteľnosti v prehliadači, keď vedia, že mnoho percent užívateľov svoj prehliadač nemá aktualizovaný?

Odbočenie II:
Samozrejme je na hlbšie skúmanie, aké závažné boli zraniteľnosti, ako rýchlo ich autori programov opravili a podobne, ale to už je debata pre odborníkov.

----


Ale nielen prehliadač je potencionálnym terčom. Mnoho druhov obsahu na webe nezobrazuje samotný IE, Firefox, či Safari, ale robia to tzv. pluginy. To sú doplnky, ktoré majú za úlohu napríklad prehrávať video (Adobe Flash Player), či .pdf dokumenty (Adobe Reader) a podobne. Prípadne prehliadač po identifikácii súboru "zavolá" na pomoc so zobrazením samostatný PDF prehliadač, prehliadač dokumentov, či multimediálny prehrávač. Inak produkty spoločnosti Adobe sú spomenuté úmyselne, pretože sú všeobecne známe a čo je "horšie" (z pohľadu bezpečnosti), sú nainštalované na takmer každom bežnom počítači. A to dokonca nie len na Windows platforme, ale aj Apple, či Linuxe.

Obrázek
Poradie softwarov podľa známych verzií exploitov. Veľké množstvo zraniteľností znamená, že Java, Adobe Reader a Flash sú zodpovedné za 66 % exploitov zaznamenaných v rokoch 2000 až 2013.
Zdroj: http://www.av-test.org/en/news/news-sin ... -insecure/

A podobný obrázok o zraniteľnostiach prehliadačov a plug-inov (doplnkov) zo správy Symantecu.
Obrázek
----


Nuž, toľko k problematike. Pre viac informácií je možné prečítať správy spoločností Secunia, AV-Test, či Symantec, ktoré odkazujem pri obrázkoch, prípadne vyhľadať ďalšie zaujímavé zdroje. Skúsme si to celé ešte na záver zhrnúť.

* Zraniteľnosti sú chyby v programoch, ktoré zneužívajú útočníci s cieľom nekalej činnosti na počítači obete.
* Aktualizácia samotného OS Windows opravuje priemerne necelých 9% zraniteľností z celkového počtu. Cca 16% sú ostatné produkty Microsoftu a zvyšok, viac ako 75% tvoria ostatné programy.
* Najčastejším smerom útokov na užívateľov je internet. Či už v podobe infikovaných webov, alebo emailov.
* Potenciálne nebezpečná môže byť akákoľvek webová stránka, štatisticky 1 z 8 webov obsahuje kritické zraniteľnosti, ktoré by mohli útočníci zneužiť na šírenie malware.
* Preto je dôležitá včasná aktualizácia webového prehliadača, ktorá pri troche štatistického šťastia ochráni aj pred 0-day zraniteľnosťami.
* Nemenej podstatné je udržiavanie čo najaktuálnejších verzií doplnkov prehliadača.
* No a samozrejme, z princípu môže byť zraniteľnosť objavená a zneužívaná v akomkoľvek software, preto je ideálne, udržiavať aktuálne všetky používané programy.
* K tomu môžu pomôcť samostatné aplikácie, napríklad: Secunia PSI. Viac v článku:http://www.viry.cz/zaplatovani-bezpecnostnich-der/ Prípadne modul, ktorý je súčasťou antivírového riešenia Avast: http://www.avast.com/cs-cz/premier

No a ešte "bonusové" video o bezpečnosti v roku 2013 z dielne ESETu:
:arrow: https://servis.eset.cz/index.php?/Knowl ... -roce-2013
Naposledy upravil(a) Tatry03 dne 12 kvě 2018 16:18, celkem upraveno 1 x.
----

Uživatelský avatar
vyosek
VIP
VIP
Příspěvky: 56373
Registrován: 07 lis 2006 15:24
Bydliště: Šalingrad - Brno

Re: Ochrana aktualizovanim Java,Adobe a spol.

#2 Příspěvek od vyosek »

0 post bump :James008:
"Kdo víno má a nepije,kdo hrozny má a nejí je, kdo ženu má a nelíbá, kdo zábavě se vyhýbá, na toho vemte bič a hůl, to není člověk, to je vůl."
Člen Obrázek od 1. února 2011.

Odpovědět