Třetí analýza slabin

Analýza slabin v operačních systémech a prohlížečích za rok 2012

Třetí analýza slabin Analýza slabin v operačních systémech a prohlížečích za rok 2012 Tato zpráva navazuje na zprávy za roky 2010 a 2011 Vypracováno v únoru 2013 (aktualitováno 1.3.2013) Vypracoval : Jiří Nápravník, Josefodolská 490, 582 91 Světlá nad Sázavou tel. 569 456 498, 603 851 266, e-mail : [email protected]

1


Obsah analýzy Výsledky analýzy.........................................................................................................................................................3 Data analýzy za rok 2012.............................................................................................................................................4

Operační systém Windows .............................................................................................................4 Prohlížeče........................................................................................................................................5 Microsoft Internet Explorer 9.0.................................................................................................5 Google Chrome 24 ....................................................................................................................6 Mozila Firefox 19.0 .................................................................................................................7 Přetrvávající rozdíl mezi světem počítačů a zbytkem světa........................................................................................8 Přístup ke zdrojovým kódům.......................................................................................................................................9 Proč jsou dlouhodobě existující slabiny nebezpečné?..............................................................................................10 Chytré viry a zneužívání dlouhodobých slabin.........................................................................................................10 Současné antiviry nestačí a uživatel není schopen si ochránit svůj počítač .............................................................11 Proč sledovat počet dnů, kdy existovala slabina.......................................................................................................12 Použité zdroje informací ..........................................................................................................................................13

Státní organizace a CERT ............................................................................................................13 Výrobci operačních systémů a aplikačních programů .................................................................13 Proč byly zvoleny právě tyto programy....................................................................................................................14 Analýzy slabin v dalších letech..................................................................................................................................14 Financování analýzy..................................................................................................................................................14 Příloha č. 1 k analýze slabin za rok 2012 (MiniDuku)..............................................................................................15 Příloha č. 2 – Java (JRE) ..........................................................................................................................................16

Tabulky s počtem chyb zveřejněných v roce 2012 Chyby v OS Windows zveřejněné v roce 2012....................................................................................4 Chyby v MS Internet Explorer zveřejněné v roce 2012.......................................................................5 Chyby v Google Chrome zveřejněné v roce 2012................................................................................6 Chyby v Mozila Firefox zveřejněné v roce 2012.................................................................................7 Počty slabin podle verzí Adobe Acrobat Reader................................................................................15 Počty slabin v jednotlivých letech.....................................................................................................15 Počty slabin v Java Runtime Environment ........................................................................................16 Počty slabin v letech 2013 - 2011.......................................................................................................16

Vypracoval : Jiří Nápravník, Josefodolská 490, 582 91 Světlá nad Sázavou tel. 569 456 498, 603 851 266, e-mail : [email protected]

2


1 Výsledky analýzy Původní analýza slabin za rok 2010, její pokračování za rok 2011 i současná zpráva za rok 2012 jsou mimo jiné zaměřeny na hledání vysvětlení úspěšných útoků na relativně dobře zabezpečené osobní počítače a firemní počítačové sítě. V každém programu se objevují méně či více kritické slabiny. Již v analýze slabin zveřejněných v minulých letech jsem zjistil, že v některých operačních systémech a prohlížečích existují slabiny po dobu deseti a více let v několika po sobě jdoucích verzích operačního systému nebo prohlížeče aniž by je někdo opravil. Analýza slabin za rok 2012 přináší informace o pokračujícím komplikovaném stavu v prostředí operačních systémů a prohlížečů MSIE. Na podzim 2012 byl uveden na trh nový operační systém Windows 8, prý lepší a bezpečnější. Realita byla taková, že z 18 slabin zveřejněných do konce roku 2012 bylo 8 slabin společných se starými verzemi Win7, Vista i XP. To dokládá, že minimálně v prostředí Windows a Internet Exploreru stále vládne obchod a PR nad technickými parametry a kvalitou. Bohužel mnoho let a nejenom v ČR je prezentován názor, že chyby v operačních systémech a dalších aplikacích jsou normální a lidé se s nimi musí naučit žít a pracovat. Dalším často používaným argumentem je používání nejnovější verze a instalace opravných balíčků. Současně jsou z podobných zdrojů slyšet názory, že si uživatelé mají sami zabezpečit své počítače a uživatelé jsou odpovědní za úroveň zabezpečení svých počítačů. Z výsledků této i předchozích analýz je vidět, že je možné vytvářet operační systémy a prohlížeče takovým způsobem, že jsou v nich slabiny pouze několik měsíců ( Google Chrome, Mozila Firefox), druhým extrémem je přístup společnosti Microsoft, která má slabiny ve svých programech více jak deset let a tento přístup ve spojení s nakládáním se zdrojovými kódy umožňuje vznik sofistikovaných virů jako byl Stuxnet, Flame a naposledy Red October. Mnoho let je vidět, že řešení bezpečnosti počítačů a Internetu se dostalo do začarovaného kruhu. Zástupci některých IT firem opakují své fráze o složitosti a bezpečnosti programů a celých systémů a současně stále opakují, že uživatelé si mají ohlídat své počítače. Běžní uživatelé a běžné firmy se o to snaží přiměřeně svým znalostem a schopnostem, ale v mnoha případech to nestačí a pak bohužel zůstávají uživatelé osamoceni při řešení svých problémů. Výše uvedené názory na chyby a odpovědnost běžných uživatelů jsou mylné, takové názory velmi zjednodušují situaci a nepřipouštějí odpovědnost tvůrců za jejich výrobky – počítačové programy. Jedním z cílů této analýzy je přispět ke změně tohoto stavu. Dalším cílem je vyvolat diskusi mezi uživateli a následně přispět ke změně – zlepšení bezpečnosti cyberprostoru.


3


2 Data analýzy za rok 2012 2.1

Operační systém Windows

V roce 2012 bylo v operačním systému Windows 7 zveřejněno 50 slabin. Celkem 44 slabin z uvedených 50, bylo společných i pro verze Windows Vista, XP a pro odpovídající verze serverů, tedy pro Windows 2003 Server a 2008 Server. Celkem 44 slabin zveřejněných v roce 2012 bylo v operačním systému Windows více jak 4000 dnů než byly tyto slabiny zveřejněny a opraveny. V říjnu 2012 byla zveřejněna verze Windows 8. Do konce roku 2012 bylo zveřejněno celkem 18 slabin v tomto operačním systému. Z těchto 18 slabin bylo 8 slabin společných s Windows XP. To znamená, že 8 slabin v novém operačním systému bylo společných s více jak deset let starým operačním systémem. Pět z 18 zveřejněných slabin bylo dokonce společných pro staré Windows XP a Windows RT, který je určen pro tablety a tenké klienty. Shrnutí za roky 2010-12 Celkem bylo za poslední tři roky zveřejněno 201 slabina, které byly v operačním systému Windows 7 od doby zveřejnění verze Windows XP, tedy od roku 2001. Windows v. 8 v. 7 Vista v. 8 18 8 8 v. 7 8 50 47 Vista 8 47 47 XP 8 44 44 Tabulka 1: Chyby v OS Windows zveřejněné v roce 2012

XP 8 44 44 44

Ve zprávě za rok 2010 jsem ještě zaznamenal 54 slabin společných pro Windows 7 a Windows 2000!! Vzhledem ke stáří Windows 2000 již nikdo od roku 2011 neprověřuje slabiny v tomto operačním systému. Doba existence slabin zveřejněných v roce 2012 se pohybovala okolo 4000 dnů!! Změna proti roku 2011 – doba existence slabin se prodlužuje.


4


2.2

Prohlížeče

2.2.1

Microsoft Internet Explorer 9.0

V případě prohlížeče Microsoft (Windows ) Internet Explorer 9 jsem v průběhu analýzy zjistil celkem 39 (třicet devět) slabin v poslední verzi prohlížeče. Jen 5 slabin se týkalo verze 9. Čtyři (4) slabiny se týkaly verzí MSIE 9-7. Celkem 30 slabin zveřejněných v roce 2012 bylo společných pro verze 9-6 tohoto prohlížeče a doba jejich existence tedy byla více jak 4 000 dnů!! Na podzim roku 2012 byla společně s Windows 8 zveřejněna verze 10 prohlížeče MSIE. Do konce roku 2012 byly zveřejněny 3 slabiny a všechny byly společné pro verze 10 – 6 MSIE. Shrnutí za roky 2010-12 Celkem bylo za poslední tři roky zveřejněno 106 slabin, které byly v prohlížeči od doby zveřejnění verze MSIE 6, tedy od roku 2001. Doba existence slabin zveřejněných v roce 2012 se pohybovala okolo 4000 dnů!! Změna proti roku 2011 – doba existence slabin se prodlužuje. Internet Explorer v. 10 v. 9 v. 8 v. 7 v. 6 Celkem

v. 10 v. 9 3 3 3 39 3 34 3 34 3 30 3 39

v. 8 3 34 34 34 30 39

v.7 3 34 34 34 30 39

v. 6 3 30 30 30 30 30

Tabulka 2: Chyby v MS Internet Explorer zveřejněné v roce 2012


5


2.2.2

Google Chrome 24

V případě prohlížeče Google Chrome, konkrétně v jeho verzi číslo 24 jsem v průběhu analýzy nezjistil slabinu. V průběhu roku 2012 bylo zveřejněno celkem 315 (v roce 2011 - 398) slabin v různých starších verzích (23 - 16) prohlížeče Google Chrome. Žádná zjištěná slabina nebyla společná pro dvě verze prohlížeče Google Chrome. V případě Google Chrome jsem, podobně jako v předchozí analýze, nezjistil slabinu společnou se staršími verzemi prohlížeče Chrome. Maximální doba existence slabin zveřejněných v roce 2012 se pohybovala okolo 50 dnů. Změna proti roku 2011 – setrvalý stav, životnost chyby zůstává na úrovni 5-6 týdnů.

Google Chrome v. 24 v. 23 v. 22 v. 21 v. 20 v. 19 v. 18 v. 17 v. 16 Celkem

v. 24 v. 23 v. 22 v.21 v. 20 v.19 v.18 v.17 v.16 0 0 0 0 0 0 0 0 0 18 0 0 0 0 0 0 0 54 0 0 0 0 0 0 41 0 0 0 0 0 18 0 0 0 0 42 0 0 0 38 0 0 56 0 28 0 18 54 41 18 42 38 56 28

Tabulka 3: Chyby v Google Chrome zveřejněné v roce 2012


6


2.2.3

Mozila Firefox 19.0

V případě prohlížeče Mozilla Firefox byla v lednu 2012 zveřejněna verze 10.0 s podporou až do února 2013. Slabiny zjištěné ve verzích 11 – 15 byly vyřešeny vydáním nové verze prohlížeče Mozila Firefox a průměrná doba existence slabiny v těchto verzích byla 5-6 týdnů. Ve verzi Firefox 10 jsem zjistil 99 slabin, z toho jedna (1) slabina byla společná s verzí Firefox 3.6 a 3 slabiny byly společné s novější verzí Firefox 16. V průběhu analýzy jsem zjistil, že celkem 3 slabiny byly v aktuální verzi prohlížeče téměř 300 dnů. Další jedna (1) slabina byla v prohlížeči Mozila Firefox od ledna 2010 do března 2012. To znamená, že případný útočník měl dva roky, zhruba 700 dnů na odhalení a zneužití slabiny společné pro verzi 10 a 3.6. Maximální doba existence slabiny zveřejněné v roce 2012 byla se pohybovala okolo 300 dnů. Změna proti roku 2011 – co do délky existence slabin se jednalo o setrvalý stav. Výrazně se snížil počet slabin společných pro několik verzí . Mozila Firefox v. 19 v. 18 v. 17 v. 16 v. 15 v. 14 v. 13 v. 12 v. 11 v. 10 v. 3.6 Celkem

v. 19 v. 18 v. 17 v.16 v. 15 v.14 v.13 v.12 v.11 v. 10 v. 3.6 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 4 0 0 0 0 0 3 0 24 0 0 0 0 0 0 33 0 0 0 0 0 19 0 0 0 0 13 0 0 0 14 0 0 3 95 1 1 11 0 0 0 7 24 33 19 13 14 99 12

Tabulka 4: Chyby v Mozila Firefox zveřejněné v roce 2012


7


3 Přetrvávající rozdíl mezi světem počítačů a zbytkem světa V automobilovém nebo elektrotechnickém průmyslu, v potravinářství i například ve farmacii jsou již dlouhá léta běžná pravidla pro testování nových výrobků a je samozřejmá odpovědnost výrobců za své produkty. V případě počítačových programů takové postupy dosud neplatí a tvorba programů je posuzována a následně i chráněna jako umělecké dílo. Jenže realita je jiná. Pro posouzení toho, že počítačový program není umělecké dílo, není nutná znalost architektury programů a nebo dokonce vlastního programování. Stačí se podívat, pro jaké pozice firmy hledají nové uchazeče, jen pro ukázku jedná se například o : NET software engeneer, software developer, SW tester. Z názvu pozic je jasné, že se jedná o pozice ve vývoji výrobku. Z principů platných v prostředí počítačů a ze vztahu SW firma - zákazník je možné rozpoznat, že se jedná o vztah výrobce – zákazník. Vývoj a modernizace počítačových programů mají blíže k vývoji léků a letadel než k obrazům, básním nebo jiným uměleckým dílům. Zvyklosti z minulých let a názory (lobby) softwarových firem mají velký vliv na jakoukoliv změnu v tomto oboru. Pokud se s předstihem nezačne měnit pohled na prostředí operačních systémů a aplikačních programů, bude to v budoucnosti představovat mnoho komplikací nejenom pro prostředí počítačů a Internetu, ale především pro fungování infrastruktury, fungování úřadů i národní bezpečnost. Tím nejnápadnějším bodem je přístup ke zdrojovým kódům a zodpovědnost za zjištěné slabiny a za způsobené škody.


8


4 Přístup ke zdrojovým kódům Existují dva základní přístupy ke zdrojovým kódům operačních systémů nebo aplikací. 1, První variantou je zveřejnit všechny zdrojové kódy. To je například přístup běžný v prostředí LINUXu. Odpůrci této varianty namítají, že se ke zdrojovým kódům mohou dostat nepřátelé (hacker, teroristé, atd.) a mohou najít v systému slabinu, kterou následně zneužijí. Stejnou šanci ale mají i všichni ostatní analytici. Skutečnost a zkušenosti z prostředí LINUXu jsou takové, že otevřený zdrojový kód nezpůsobuje vyšší bezpečnostní riziko, naopak. 2, Druhou variantou je utajení zdrojových kódů. Tento princip platil například v případě velkých UNIX systémů nebo OS/400. V těchto případech měli tvůrci zdrojové kódy pod svojí výhradní kontrolou a pro partnerské programátorské firmy bylo k dispozici jasně popsané API rozhraní. 3, Existuje však ještě jedna varianta. Jedná se o stav, kdy je zdrojový kód veřejně nedostupný. Pro programátory a dokonce i pro firmy, které se věnují bezpečnosti IS, jsou k dispozici pouze API. Současně ale existuje projekt spolupráce, ve kterém tvůrce operačního systému poskytuje zdrojové kódy vybraným státním institucím a vysokým školám. Jde o Microsoft's Government Security Program, ve kterém firma poskytla zdrojové kódy Ruské federaci, Číně, Austrálii, Velké Británii, Izraeli a některým dalším zemím. Tato forma nakládání se zdrojovými kódy ve spojení s dlouhodobými slabinami představuje bezpečnostní riziko pro ostatní země, ale vzhledem k propojenosti světa počítačů paradoxně i pro vlastní zemi, její úřady a firmy. Státní agentura nebo skupina lidí, kteří získají zdrojové kódy, mohou začít analyzovat zdrojové kódy a vytvářet sofistikované škodlivé programy, které budou využívat znalostí zjištěných při zkoumání zdrojáků. V prostředí biologických pokusů můžeme nalézt poučení v tom, že pokusy s modifikovanými viry a bakteriemi se mohou obrátit proti jejich tvůrcům. V prostředí operačních systémů může dojít k podobné situaci. Může dojít k situaci, kdy se vytvořený škodlivý program začne šířit i mimo oblast vytipované oběti a zasáhne i počítače uživatelů a firem v zemi svých tvůrců.


9


5 Proč jsou dlouhodobě existující slabiny nebezpečné? Pro přípravu sofistikovaného útoku, případně pro přípravu sofistikovaného škodlivého programu, je potřeba čas. Je třeba vytvořit zadání, naprogramovat škodlivý program, náležitě jej otestovat, zda jej nezjistí antivirové a další bezpečnostní programy. To vše vyžaduje znalosti, peníze a především čas. Pro podvodníky, ale i pro jakéhokoliv nepřítele (vojenského, politického i obchodního) je výhodnější se zaměřit na systémy, ve kterých jsou slabiny delší dobu. Pokud od uvedení nové verze operačního systému, prohlížeče nebo jiné aplikace do zjištění slabiny uplyne několik týdnů, případně několik málo měsíců, tak to je pro zneužití naprosté většiny typů slabin krátká doba. Takže se může stát, že než připravíte škodlivý program, resp. cestu jak se dostat do počítačů oběti, tak je chyba nalezena a opravena. Dalším důvodem nebezpečnosti dlouhodobě existujících slabin je situace, kdy tvůrce škodlivých programů má k dispozici pouze zdrojové kódy starších verzí operačního systému, starších verzí prohlížečů nebo konkrétní aplikace a může hledat zadní vrátka a slabiny ve starších systémech a následně je ověří v nejnovější verzi. To může znamenat, že sofistikovaný škodlivý program může vytvořit i tým bývalých kolegů a spolupracovníků. Tato situace je velmi podobná situaci, kdy vláda vyzbrojí a vycvičí armádu cizí země. Jenže po několika letech se v dané zemi změní situace a nová vláda zneužije vycvičenou armádu a zbraně proti svým bývalým partnerům.

6 Chytré viry a zneužívání dlouhodobých slabin V uplynulých letech se objevilo několik virů, které byly schopné před svým objevením nepozorovaně dlouhou dobu působit v počítačích obětí. Viry Stuxnet, Duqu, Flame, Gauss a naposledy Red October jasně dokazují, že je možné vytvořit virus, který současné antivirové programy neodhalí. Odhalení viru Stuxnet před několika lety a popsání jeho zaměření na SCADA aplikace vyvolalo tlak na zabezpečení těchto aplikací. Tento tlak je správný a pomůže vyšší stabilitě SCADA aplikací, jenže nezabrání tomu, aby se za několik let neobjevil nový „STUXNET v.2,0“. Základ všech sofistikovaných virů (Conficker, Stuxnet, Duqu, Flame, Gauss, Red October) je nalezení a zneužití zatím neznámé slabiny nebo skupiny slabin v operačním systému. Pokud virus dokáže proniknout do operačního systému, tak může obejít všechny bezpečnostní omezení, která jsou většinou zaměřena na činnosti uživatelů a může získat kontrolu nad téměř libovolnou aplikací. Je nutné mít na paměti, že doba nutná pro vytvoření sofistikovaného škodlivého programu se s narůstajícími zkušenostmi v této oblasti bude snižovat.


10


7 Současné antiviry nestačí a uživatel není schopen si ochránit svůj počítač V případě antivirových programů a jejich neschopnosti včas odhalit sofistikované počítačové viry je možné nalézt paralelu v běžném životě. Již dlouhou dobu se hovoří o tom, že některé kmeny bakterií jsou odolné proti antibiotikům. To mimo jiné znamená, že léčba pacienta je pak velmi složitá. V případě sofistikovaných počítačových virů je možné nalézt paralelu s bakteriemi, které jsou rezistentní proti běžně používaným antibiotikům. Škodlivé programy se v prostředí počítačů dokáží skrýt za legální programy, služby operačního systému, apod. Pouhé zdokonalování antivirových programů (ekvivalentu antibiotik) nestačí. Je nutné včas odhalovat vrozené vady organismu, tedy testovat a odhalovat slabiny operačního systému. Dále je třeba prosazovat posilování imunity organizmu, tedy bojovat proti napadení a nedovolené modifikaci operačních systémů. Je třeba výrazně zdokonalit diagnostické systémy. Je nutné počítat s tím, že uživatel není schopen si zabezpečit svůj počítač. Dlouhá léta, někteří „odborníci“ prosazovali názor, že uživatel si má zabezpečit svůj počítač sám a to považovali za základ bezpečnosti v cyberprostoru. Dlouhodobé slabiny v operačním systému Windows a prohlížeči MSIE ukazují, že to byl a je velký omyl, který prohlubuje propast ve vnímaní vztahů ve světě počítačů a v běžném světě kolem nás. Je samozřejmé, že si má majitel zamykat vozidlo nebo svůj dům. Policie, pojišťovny i sami občané jsou si vědomi toho, že za určitých podmínek může být odcizeno každé vozidlo a vykraden jakýkoliv byt. Takové vnímání je třeba zavést i v prostředí počítačů a Internetu a této skutečnosti přizpůsobit všechny činnosti, které má provádět člověk nebo aplikace (program).


11


8 Proč sledovat počet dnů, kdy existovala slabina Slabina nevznikne v operačním systému nebo aplikačním programu náhodou, sama od sebe. Jedná se o počítačový program, takže zde neexistuje žádná únava materiálu a podobné důvody, které mohou být příčinou toho, že se skryté vady v hmotném výrobku projeví až po delší době. Pokud pomineme záměrnou manipulaci v průběhu používání programu, tak ve všech ostatních případech musí být slabina v operačním systému nebo prohlížeči od jeho uvedení na trh. Dobu existence slabin jsem počítal od uvedení konkrétního programu na trh. V případě, že se slabina vyskytovala ve více verzích stejného programu, tak jsem bral jako počátek existence slabiny zveřejnění nejstarší verze příslušného programu, ve které byla slabina nalezena. Při výpočtu dnů, kdy existovala konkrétní slabina, jsem úmyslně nepočítal přesně všechny dny existence slabiny. Takové výpočty jsou i zbytečné. Důležité je, zda slabina existovala do 100 (150) dnů, do 300 dnů nebo déle jak rok nebo dokonce několik roků. Tyto dny jsou důležité při posuzování, kdo (jaký typ útočníka) dokáže vytvořit nový škodlivý kód a zneužít příslušnou slabinu. Při posuzování doby objevení slabiny není možné brát vážně den, kdy byla konkrétní slabina zveřejněna. Slabina (zadní vrátka) byla v programu již dříve a v konkrétní den se někdo rozhodl její popis zveřejnit. V minulosti jsem již zaznamenal případy, kdy byla slabina zneužívána a až v okamžiku, kdy to počítačoví podvodníci přehnali a slabinu začali zneužívat k masovějším útokům, byla jejich činnost zaregistrována a následně byla zjištěna konkrétní slabina. Termín Zero day(s) je možná zajímavou frází pro ohromení běžných uživatelů. Tento termín ale nic neříká o tom, kolik času měli skutečně počítačoví podvodníci k přípravě škodlivého programu. Proto navrhuji počítat dobu existence slabiny již od okamžiku zveřejnění nejstarší verze programu, ve které se příslušná slabina objevila.


12


9 Použité zdroje informací Pro vypracování analýzy byly použity informace z veřejných zdrojů. Základním zdrojem informací byly www stránky tvůrců jednotlivých operačních systémů a prohlížečů www stránek. Dalším zdrojem byly stránky poradenských firem a stránky různých CERT (Computer Emergency Response Team).

9.1 

Státní organizace a CERT

National Vulnerability Database - http://nvd.nist.gov/



Cyber Security Alerts - http://www.us-cert.gov/cas/alerts/



Common Weakness Enumeration - http://cwe.mitre.org/index.html



CERT Coordination Center (CERT/CC) - http://www.cert.org/cert/



atd.

9.2



Výrobci operačních systémů a aplikačních programů

Microsoft (Windows, MS Internet Explorer) - http://technet.microsoft.com/en-us/security/bulletin/



Google (Chrome) - http://code.google.com/p/chromium/



Mozila (Firefox) - http://www.mozilla.org/security/announce/2011/mfsa2011-50.html


13


10

Proč byly zvoleny právě tyto programy

Operační systém Windows v různých verzích zaujímá dominantní postavení na počítačích uživatelů. Proto jsem v minulých dvou letech i letos prověřoval výhradně operační systém Windows. V prostředí prohlížečů se vytvořila v posledních letech skupina tři prohlížečů (MSIE, Firefox a Chrome), které používá naprostá většina uživatelů. Proto jsem pro prověrku vybral tyto tři prohlížeče. Útoky virů Stuxnet, Flame, Red October a dalších vyvolávají tlaky na vyšší úroveň bezpečnosti kancelářských programů, serverových aplikací i aplikací pro řízení technologií (SCADA). Takové aktivity jsou správné, ale nedostatečné. Pro bezpečnost a spolehlivost je základem operační systém. Pokud dokáží útočníci nalézt a zneužít slabinu v operačním systému, tak potom pro ně není problém ovládnou téměř libovolnou aplikaci, i když přímo v konkrétní aplikaci slabina nebude.

11

Analýzy slabin v dalších letech

V dalších letech budu pokračovat ve vytváření dalších analýz slabin v operačních systémech, prohlížečích a případně i v dalších aplikačních programech. Je patrný nástup nových typů počítačů (tabletů a mobilních telefonů) i nových typů operačních systémů. Proto v následujícím roce rozšířím analýzu i na nejčastěji používané distribuce LINUXu, tedy především Ubuntu a některé další distribuce. Dále se zaměřím na operační systémy pro tablety a chytré telefony. Pokud nedojde k závažným změnám, tak další, čtvrtou zprávu očekávejte v únoru 2014.

12

Financování analýzy

Tato analýza i předchozí zprávy za roky 2010 a 2011 byly vypracovány bez finanční podpory státních úřadů i bez podpory soukromých firem. Jedná se o soukromou iniciativu autora. Pokud chcete podpořit sledování slabin v operačních systémech a aplikačních programech v dalších letech, kontaktujte, prosím autora této analýzy.


14


13

Příloha č. 1 k analýze slabin za rok 2012 (MiniDuku)

V polovině února 2013 zveřejnila společnost FireEye (fireeye.com) informaci o škodlivém programu, který se šíří prostřednictvím souborů ve formátů *.pdf a je otevírán v programech Adobe Acrobat a jejich prohlížeči Adobe Acrobat Reader. Informace o technických finesách viru, který dostal jméno MiniDuku naleznete na stránce společnosti http://www.crysys.hu/recent-news.html Jedno z vysvětlení proč mohl být tento škodlivý program úspěšný je shodné s jinými sofistikovanými viry, které byly zveřejněny v minulých letech. Jedná se o shodné a dlouhodobě neopravené slabiny v několika po sobě jdoucích verzích konkrétního programu. V případě programu Adobe Acrobat Reader je dnes aktuální verze Acrobat Reader XI (11) a jsou v ní společné slabiny s verzí Acrobat Reader 9 z roku 2008. Konkrétně se jedné o 29 slabin, které jsou společné pro verze 11 – 9. Přehled slabin : Adobe Reader verze 11 verze 10 verze 9 verze 8

v. 11 29 29 29 /

v. 10 29 186 189 101

v. 9 29 189 189 101

v. 8 / 101 101 101

Tabulka 5: Počty slabin podle verzí Adobe Acrobat Reader

Adobe Reader verze 11 verze 10 verze 9 verze 8

2013 29 29 29 0

2012 0 42 42 0

2011 0 118 118 101

Tabulka 6: Počty slabin v jednotlivých letech

Slabiny, které zneužívá virus MiniDuku byly v Adobe Acrobat Readeru minimálně od roku 2008, tedy 5 let. Za pozornost určitě stojí i skutečnost, že zneužívané slabiny se týkají jak prohlížeče (Adobe Acrobat Reader), tak i programu pro tvorbu pdf souborů, tedy Adobe Acrobat. Tedy problém není ve formátu *.pdf, ale v tom jak soubory tohoto typu programy společnosti Adobe vytvářejí nebo otvírají pro čtení. Zatím nejsou zveřejněny informace o tom, že by se problém týkal jiných prohlížečů *.pdf. Dlouhodobé chyby (zlozvyky programátorů) v operačním systému, JAVA nebo Flash aplikacích budou v roce 2013 cestou jak se do počítačů budou dostávat další sofistikované viry.


15


14

Příloha č. 2 - JAVA

Na konci února 2013 zveřejnila společnost FireEye (fireeye.com) informaci o chybě v JRE (Java Runtime Environment), která umožňuje škodlivým programům (virům) typu Droper 1 proniknout do počítačů obětí. Tato slabina (CVE-2013-1493) se týká JRE 1.7 a 1.6. Od začátku roku 2013, tedy za dva měsíce již bylo zveřejněno 47 slabin, které se týkají nejnovější verze JRE (Java Runtime Environment) a z toho 44 se vztahuje i k verzi, která je 11 stará. Dlouhodobost některých chyb naznačuje, že se jedná o podobný problém jako v případě Windows, MSIE a Adobe Acrobat Reader. V dnešní době téměř všechny internetové stránky obsahují JavaScript, skriptovací programovací jazyk, jehož kód je vykonáván ve webovém prohlížeči na straně klienta. Ze specifických důvodů zajišťuje některé funkce webových stránek a pokud je z nějakého důvodu zakázán, obsah nebo funkčnost takových stránek může být omezená nebo nedostupná. Jedním z důvodů proč musí být Java (JavaScript) povolen jsou (v ČR a SR) zvolené způsoby ověření identity klientů a zabezpečení internetbankingu. Bez Java JRE (bez JavaScriptu) internetbanking, e-shopy a mnoho dalších moderních a „cool“ stránek nefunguje. V případě programu JRE (Java Runtime Environment) je dnes aktuální verze JRE 1.7 (nebo také 7) ale jsou v ní společné slabiny s verzí JRE (Java Runtime Environment) 1.4 z roku 2002 ( codename Merlin)!! Konkrétně se jedná o 126 slabin, které jsou (byly) společné pro verze 1.7 – 1.4. Za pozornost určitě stojí i skutečnost, že slabiny 1.7 1.6 1.5 se týkají jak JRE (Java JAVA (JRE) v. 1.7 129 127 126 Runtime Environment ), tak v. 1.6 127 161 160 nástroje pro tvorbu Java v. 1.5 126 160 160 aplikací JDK ( Java 126 v. 1.4 160 160 Develop. Kit ). Tabulka 7: Počty slabin v Java Runtime Environment Java (JRE)

v. 1.7

v. 1.7-1.6

v. 1.7 – 1.4

2013 2012 2011 Celkem

47 62 20 129

45 58 58 161

44

1.4 126 160 160 160

i

58 58 160

Tabulka 8: Počty slabin v letech 2013 - 2011

1 Droper - program, který otvírá vrátka a následně umožňuje download a instalaci skutečně nebezpečných virů.


16

Třetí analýza slabin

Recommend Documents