Przeglądarkowy wyścig zbrojeń

Przeglądarki nowym celem ataków

"Atakujący skupili się na lukach w przeglądarkach internetowych, ponieważ wielu końcowych użytkowników nie stosuje zaawansowanych metod obrony przed zagrożeniami" - mówi Gunter Ollmann, dyrektor ds. bezpieczeństwa w dziale ISS IBM-a. "Dodatkowo, pomijając już czarny rynek, gdzie szkodliwe programy są sprzedawane i kupowane, zainstalowanie odpowiedniego oprogramowania na serwerze i przygotowywanie ataków na konkretną przeglądarkę stało się znacznie łatwiejsze, niż wcześniej".

Firefox trzyma się mocno, IE broni swojej pozycji, Safari zyskuje

W okresie grudzień 2006 - styczeń 2007 rynkowe udziały IE spadły z 80,51 do 79,75%. W tym czasie nieznacznie stracił też Firefox (z 14 do 13,7%) i straciła Mozilla Suite (z 2,6 do 1,5%). Największym sukcesem może pochwalić się Safari, która posiada 4,7% udziałów w rynku i wyprzedziła pod tym względem Operę (1,5%). Więcej informacji na ten temat znaleźć można w tekście "Firefox w dół, Safari w górę".

Ollman dodaje, że takie oprogramowanie staje się coraz bardziej zaawansowane, jest w stanie automatycznie rozpoznać wersję przeglądarki, którą używa potencjalna ofiara, i przygotować atak właśnie pod jej kątem. Wiadomo też, że autorzy szkodliwego oprogramowania wymieniają się między sobą adresami IP ekspertów ds. zabezpieczeń po to, by nowo stworzony szkodliwy kod omijał je i zbyt wcześnie nie wpadł w ręce specjalistów. Jeszcze innym rodzajem ataku, który zdobywa popularność, jest próba przechwycenia komunikacji odbywającej się pomiędzy klawiaturą użytkownika a przeglądarką. Przestępcy mogą w ten sposób wejść w posiadanie ważnych danych i ominąć zastosowane zabezpieczenia.

"Człowiek w przeglądarce"

Tego typu ataki, zwane "man-in-the-browser", zostały już przeprowadzone na online'owe serwisy transakcyjne, których używa sektor finansowy. Próbują one przechwycić informacje wprowadzane przez klientów, informuje doktor Chenxi Wang, analityk z Forrester Research. Jego zdaniem coraz większy stopień zaawansowania takich ataków to najlepszy dowód na to, że wojna pomiędzy twórcami szkodliwego oprogramowania a twórcami przeglądarek będzie się zaostrzała i jeszcze jakiś czas potrwa.

Zdaniem Wanga, firmy produkujące browsery muszą wypracować metody tworzenia takich programów, które będą zawierały jak najmniej błędów. Jednak, jak przyznaje sam analityk, nigdy nie uda się wychwycić wszystkich luk. Taką metodą jest microsoftowy Security Developement Lifecycle (SDL), który zmniejszył, jak się wydaje, liczbę luk w przeglądarce Internet Explorer 7 w porównaniu z jej wcześniejszymi wersjami. Mimo to MS już był zmuszony do załatania co najmniej jednej krytycznej luki w najnowszej wersji swojej przeglądarki, która ujrzała światło dzienne w październiku 2006 roku.

Liczba alertów dotyczących poważnych luk w popularnych aplikacjach, ogłoszonych w 2006 r. przez firmę Secunia.

Liczba alertów dotyczących poważnych luk w popularnych aplikacjach, ogłoszonych w 2006 r. przez firmę Secunia.

"W najbliższej przewidywalnej przyszłości będziemy świadkami wyścigu zbrojeń" - mówi Wang. "Dla twórców przeglądarek nie ma usprawiedliwienia, jeśli nie będą reagowali bardziej zdecydowanie i nie wypracują lepszych mechanizmów, dzięki którym ich produkty będą bardziej bezpieczne. Trzeba jednak pamiętać, że atakujący zawsze będą wymyślali nowe sposoby" - dodaje.