Przeglądarkowy wyścig zbrojeń

.. / Internet / Narzędzia do Internetu / Przeglądarki internetowe: Mozilla Firefox
.. / Bezpieczeństwo / Bezpieczeństwo komputera osobistego / Błędy aplikacji: Dziury w programach

Mariusz Błoński

Od miesięcy jesteśmy zasypywani informacjami o nowych błędach w popularnym oprogramowaniu - przyzwyczailiśmy się, że większość problemów dotyczyła zwykle produktów Microsoftu. Ostatnio jednak prawdziwa czarna seria przytrafiła się Firefoksowi - w krótkim czasie znaleziono w nim kilka poważnych błędów. Window Snyder, szef Mozilli ds. bezpieczeństwa, jest właśnie tą osobą, która kieruje pracami programistów, starających się nadążyć z łataniem luk w firmowej przeglądarce. Z jednej strony jej przedsiębiorstwo opublikowało 23 lutego poprawki, które łatały kilka nowo odkrytych błędów. Z drugiej, Snyder musi radzić sobie z niemal codziennie napływającymi informacjami o nowych lukach w Firefoksie. Co gorsza, dużą część z nich odkrywcy upubliczniają przed poinformowaniem Mozilli o ich odkryciu. Z podobnymi problemami zmagają się jednak wszyscy odpowiedzialni za bezpieczeństwo przeglądarek internetowych - zarówno w Mozilli, jak i Microsofcie.

Sytuacja ta nie zmieni się w przewidywalnej przyszłości - przeglądarki są bowiem kluczowym elementem Internetu, więc ich łatanie, kontakty ze specjalistami ds. bezpieczeństwa oraz odpieranie ataków będzie zajmowało ich producentom znaczną część dnia roboczego.

Window Snyder, prezes Mozilli ds. bezpieczeństwa Snyder informuje, że Mozilla otrzymuje od klientów bardzo wiele informacji dotyczących bezpieczeństwa Firefoksa. "Jeśli spojrzymy na problem z perspektywy atakującego, okaże się, że przeglądarka to jeden z najważniejszych programów komputerowych. Metody ataku bez przerwy się zmieniają i każdy twórca oprogramowania musi być w stanie rozpoznać zagrożenie, gdy tylko się ono pojawi. Ale to nic nowego. Zawsze uznawaliśmy bezpieczeństwo za priorytet" - mówi Window Snyder.

Firefox: luka za luką

Michał Zalewski, znany niezależny badacz, poinformował w lutym, że, pomimo wysiłków Mozilli, znalazł w przeglądarce liczne luki (pisaliśmy o tym m.in. tutaj i tutaj). Fundacja właśnie przygotowywała opóźnione poprawki do wcześniej odkrytych luk, mogła więc razem z nimi opublikować łaty do luk znalezionych przez Zalewskiego.

W przededniu udostępnienia przez Mozillę poprawionej wersji Firefox 2.0.0.2, Zalewski poinformował o kolejnej luce. Jest ona związana z nieprawidłowym zarządzeniem pamięcią i pozwala na przejęcie kontroli nad zaatakowanym komputerem. Zdaniem Zalewskiego, odkryta przez niego dziura może zostać wykorzystana zarówno do przeprowadzanie phishingu jak i spoofingu.

Statystyki dziur

Interesująco wygląda zestawienie odkrytych i załatanych luk w poszczególnych wyszukiwarkach. Od 2003 roku Secunia opublikowała 111 informacji o błędach w IE6. Do chwili obecnej nie załatano 19 z nich (stanowi to 17%). W tym samym czasie firma informowała o 41 lukach w Firefoksie 1, a niezałatane są 3 z nich (7%). W przypadku Opery 8 takich informacji pojawiło się 15. Wszystkie luki zostały załatane. Nieco inaczej wygląda sytuacja w przypadku najnowszych produktów. Secunia informowała dotychczas o 4 lukach w Operze 9, z czego 1 (25%) nie została poprawiona. W przypadku Firefoksa 2 jest to 6 dziur i 2 (33%) niezałatane. Co zaś dotyczy IE7, to Secunia informowała o 8 lukach, a Microsoft nie poprawił jeszcze 6 (75%) z nich.

Mozilla: wolimy wiedzieć pierwsi

Snyder mówi, że wolałaby, aby Zalewski i podobni mu specjaliści znalezione błędy zgłaszali najpierw Mozilli. Mimo to jej firma polega na ich wiedzy i docenia ich pracę, która pomaga chronić użytkowników Firefoksa przed atakami. Niezależnie od tego, jak kłopotliwe są dla niej doniesienia badaczy.

"Wolelibyśmy, by powiadamiali nas jako pierwszych, ale najważniejszy w tym wszystkim jest fakt, że badacze ci pomagają nam radzić sobie z problemami" - stwierdziła Snyder. "Rozumiemy też motywy ich działania. Są sfrustrowani tym, że producentom programów łatanie dziur zajmuje dużo czasu" - dodała. Wyraziła przy tym nadzieję, że gdy tylko Mozilla będzie szybciej publikowała łaty, poprawi się jej współpraca z niezależnymi badaczami.

Nadchodzi Gran Paradiso

Mozilla przygotowuje też całą gamę nowych zabezpieczeń, które znajdą się w trzeciej wersji Firefoksa. Zyskała ona nazwę kodową "Gran Paradiso", a jej debiutu należy spodziewać się w drugiej połowie bieżącego roku. Mozilla wkłada wiele wysiłku w to, by jej użytkownik lepiej rozumiał mechanizmy zabezpieczeń nowej wersji przeglądarki i lepiej nimi zarządzał. Jest to tym bardziej ważne, że specjaliści zgodnie twierdzą, że liczba ataków na przeglądarki będzie rosła, szczególnie w bieżącym roku. Sytuację taką tylko pogarsza fakt, że, jak przypomina niedawno nabyta przez IBM-a firma ISS, powstał czarny rynek, na którym twórcy szkodliwego kodu sprzedają go gangom cyberprzestępców. Ataki stają się nie tylko częstsze, ale i trudniejsze do wykrycia. W 2006 roku niemal połowa przestępczych działań skierowanych przeciwko przeglądarkom wykorzystywała techniki kryptograficzne, by ukryć sam fakt ataku oraz wykradzione dane. Liczba ta ma wzrosnąć w 2007 roku.