Ačkoli rok teprve začíná, již jsme mohli být svědky významné bezpečnostní aféry ve světě informačních technologií: problému „operace Aurora“ a zneužití chyby Internet Exploreru proti čínským disidentům a možná i dalším cílům. Celá záležitost, která nakonec donutila společnost Microsoft aktualizovat jeden ze svých stěžejních produktů mimo plán, pronikla ze světa IT do mainstreamových médií a stala se i politickým tématem. Webový prohlížeč – tedy konkrétně Internet Explorer – na několik okamžiků opět dobyl titulní stránky světových deníků. Miliony párů očí se k němu obracejí jako k programu, který může být využit proti svým uživatelům. Jak je tomu však doopravdy, kde se skrývá největší bezpečnostní riziko? Ve webovém prohlížeči, nebo někde úplně jinde? Když opomineme aktuální mediální hype, možná zjistíme, že pravá rizika se skrývají uvnitř.
Plugin?
Webové prohlížeče, tedy zdaleka nejenom Internet Explorer, jsou od svých počátků tvořeny jako aplikace s otevřenou architekturou. Jejich funkcionalitu je možné rozšiřovat pomocí přídavných modulů, s touto funkcí přišel ostatně legendární Netscape Navigator. I když to není úplně přesné, používá se pro tyto moduly označení „pluginy". Přídavné moduly jsou vyvíjeny třetími stranami a mají přístup k datům webového prohlížeče i parsované webové stránce. Jejím účelem je zobrazovat specifické typy obsahu, které prohlížeč ve své výchozí podobě nezvládá – na rozdíl od doplňků (add-inů), které rozšiřují funkce samotného programu.
V každé instalaci používaného webového prohlížeče se nachází celá řada pluginů od různých dodavatelů. Některé jsou tam od nainstalování, další jsou postupně stahovány a instalovány z Internetu podle toho, jak uživatel přichází na obsah, k jehož zobrazení jsou potřeba. Chcete-li si udělat představu o instalovaných pluginech, můžete například ve Firefoxu (nebo v od něj odvozeném prohlížeči) zadat do adresní řádky „about:plugins".
Pluginy, stejně jako webový prohlížeč, mohou obsahovat bezpečnostní chyby. Tyto chyby mohou být zneužity stejně jako chyby prohlížeče prostřednictvím vhodně nastrčeného online obsahu a mohou vést ke stejným důsledkům. Na rozdíl od samotného jádra prohlížeče jsou za bezpečnost zodpovědní jejich tvůrci – a těch je mnoho. Pouze ve velmi výjimečných případech mohou tvůrci prohlížeče přistoupit (navíc jen v případě, mají-li k dispozici takovou možnost) ke zneaktivnění doplňku třetí strany. To je však nesmírně riskantní proces, který navíc vždy zavání obviněním z nekalé konkurence.
Skrytá hrozba
Průměrný webový prohlížeč tak obsahuje celou řadu pluginů různého typu, tvůrců, stavu a stáří. Jejich počet se typicky pouze zvyšuje (instalace je většinou jednoduchá, s odinstalací si nikdo hlavu neláme), jejich míra aktuálnosti leží zcela mimo nástroje tvůrců webového prohlížeče (na rozdíl od doplňků probíhá aktualizace buď tak, že je nová verze vyžadována webovou prezentací, nebo společně s jiným produktem, než je webový prohlížeč). To všechno dohromady způsobuje, že se pluginy stávají dobře maskovanou skrytou hrozbou. Hrozbou, kterou je možné využít.
Exploit
Existují nástroje sloužící k identifikaci zranitelností ve webovém prohlížeči a jejich následnému využití. Těmto nástrojům se říká „exploit Packy“. Činnost a podoba jednoho takového „balíčku“ jménem Eleonora je popsána například zde. Balíček byl připojen k několika webovém serverům s „obsahem pro dospělé“. Eleonora vytváří statistiky exploitovatelnosti webových prohlížečů, které navštěvují stránky, k nímž je připojena. Pokud byste si to chtěli vyzkoušet sami, zde by se našlo něco, co by vás mohlo zajímat (Pozor! Odkaz vede na potenciálně nebezpečnou stránku s potenciálně nebezpečným softwarem). Podívejme se ale na statistiky získané autorem postu, který jsme odkazovali výše.
Celá řada zranitelností, které mohou být ve webových prohlížečích zneužity k napadení malwarem nebo k hackerskému útoku, nejsou chyby prohlížečů samotných, ale jejich doplňků. Problematické jsou chyby v Javě, v Acrobatu i v celé řadě dalších nástrojů. Ty všechny představují reálné riziko napadení počítače a je v podstatě lhostejné, jaký webový prohlížeč používáte i to, že jej máte v nejnovější verzi. Rizikem přitom nejsou nějaké zero-day exploity, ale velmi často chyby, které již byly dávno popsány a opraveny, ale které se fyzicky v počítačích díky nedokonalým aktualizačním mechanismům, respektive kvůli absenci aktualizace pluginů, stále vyskytují. A to nebereme v úvahu celou řadu pluginů, které jsou v prohlížečích po několika letech de facto mrtvou zátěží, a které již nikdy nebudou použity.
Problém
Krátce a jednoduše, bezpečnostní mezery v pluginech webových prohlížečů – zdaleka nejenom Internet Exploreru – jsou mnohem výraznější hrozbou než chyby samotných programů. Aktivně lze využít dokonce roky staré vady, a to pomocí jednoduchých, snadno dostupných hackerských nástrojů, bez zvláštních znalostí a na úrovni, které se trochu posměšně říkalo „skript-kiddie“. Efektivita tohoto konání může být mnohem vyšší než efektivita zneužití nejaktuálněji známé bezpečnostní mezery.
Řešení?
Co může být řešením tohoto stavu? Bohužel nic jiného, než práce pro systémové administrátory. Minimalizace používaných pluginů, omezení instalace nových, důsledné trvání na aktualizacích všech komponent, tedy nejenom samotného prohlížeče. Tedy přeloženo do ekonomické řeči, investování velkého množství času a peněz. Je potřeba dodat, že s nejistým výsledkem a bez přímé přidané hodnoty. Zdá se však, že je to nutné. Po vychladnutí mediální vášně z nebezpečného Internet Exploreru se ukazuje něco, co by málokoho napadlo. Že ďábel se skrývá v detailech – v našem případě v pluginech.