Przeglądarkowy wyścig zbrojeń

Komentuje Grzegorz Michałek - Kierownik Działu Programistów ArcaBit
Grzegorz Michałek

Grzegorz Michałek

Osoba czytająca w październiku 2004 roku doniesienia prasowe czy fora internetowe mogła odnieść wrażenie, że czeka nas prawdziwa rewolucja. Oto zbliżał się debiut Firefoksa 1.0, który w końcu miał zapewniać bezpieczne surfowanie po Internecie i pobić na głowę Internet Explorera pod względem bezpieczeństwa. Tymczasem Mozilla poprawiła już 168 błędów Firefoksie, z czego 76 krytycznych. Co się stało? To taka zła przeglądarka czy też tak niebezpieczny stał się Internet? A może jest jeszcze inna przyczyna?

To jest "naturalne" zjawisko. Przeglądarka internetowa to potężna maszyna, której zadaniem jest przekazywanie niezwykle bogatej treści i to nie tylko w warstwie informacyjnej ale również (a może i przede wszystkim) w warstwie technicznej. Współczesne przeglądarki, chcąc wytrzymywać konkurencję, muszą obsługiwać zdecydowaną większość mechanizmów wykorzystywanych przez twórców stron (skrypty etc.). Redukcja obsługiwanych mechanizmów sprowadzi przeglądarkę do poziomu tekstowego Lynxa, a przecież nie o to chodzi. I to jest właśnie poligon dla wszelkiej maści luk, błędów, czy podatności na ataki, który jest taki sam dla produktów z linii IE jak i dla Firefoxa czy Opery. Czynnikiem nasilającym wykrywanie luk w poszczególnych produktach jest oczywiście popularność danego rozwiązania. Szacujemy, że ok. 60% użytkowników korzysta z IE (w różnych wersjach), 30% to Firefox, 5% to Opera. Widzimy również wzrost popularności rozwiązań innych niż IE (czyli Firefox i Opera rośnie w siłę) co w oczywisty sposób pociąga za sobą zainteresowanie tymi produktami właśnie w świetle ich bezpieczeństwa.

Ostatnimi czasy znacznie mniej słychać o lukach w IE. Czy Microsoft, jak się chwali, rzeczywiście lepiej go zabezpieczył, czy też po prostu przyzwyczailiśmy się do błędów w tej przeglądarce i traktujemy je jako coś zwyczajnego?

Trzeba przyznać, że najnowsze przeglądarki Microsoftu są faktycznie lepiej zabezpieczone. Poza tym wyszukiwanie luk w IE przestało być już takie "modne" - teraz pora na konkurencyjne oprogramowanie.

Czy firmy takie jak ArcaBit, działające na rynku zabezpieczeń, biorą w swojej pracy pod uwagę popularność programów, które mają zabezpieczyć? Czy jest tak, że większy priorytet mają dla Państwa ataki na IE niż na Firefoksa, a z kolei te są "ważniejsze" niż ataki na Operę?

Nie stosujemy tutaj żadnych priorytetów i z taką samą wagą rozpatrujemy zagrożenia dla wszelkich platform i rozwiązań.

No właśnie, Opera. Bardzo rzadko pojawiają się informacje o znalezionych w niej lukach. To ze względu na jej małą popularność i wynikające stąd małe zainteresowanie cyberprzestępców? A może jest po prostu bezpieczeniejsza niż IE czy Firefox?

Naszym zdaniem jest to głównie kwestia popularności. Jak już wspomniałem wcześniej, według naszych szacunków ok. 5% użytkowników korzysta z Opery, co oznacza, że szukanie luk w Operze nie jest jeszcze "opłacalne".

Czy dla specjalisty, który ma stworzyć oprogramowanie zabezpieczające komputer przed agresją z Internetu ma w ogóle znacznie, jakiej przeglądarki używają klienci? Czy któraś z wymienionych powyżej przeglądarek jest łatwiejsza w zabezpieczeniu od pozostałych?

De facto nie ma to znaczenia, ponieważ nasi klienci korzystają ze wszystkich przeglądarek (oczywiście w różnych proporcjach), a wszystkich klientów musimy zabezpieczać. Mamy wypracowane mechanizmy ochronne, które pozwalają nam eliminować zagrożenia niezależnie od wykorzystywanej przeglądarki.

Co z zabezpieczeniami Visty? Technologia PatchGuard uniemożliwi programom zabezpieczających pracę bezpośrednio na jądrze tego systemu. A przecież cyberprzestępcy nie będą się przejmowali zapisami prawnymi i nic ich nie powstrzyma przed złamaniem PatchGuarda. Czy w takiej sytuacji możliwe będzie zabezpieczenie Visty?

Oczywiście, że możliwe - z jednej strony będzie łatwiej, gdyż Vista (a zwłaszcza Vista 64-bitowa) jest już sama z siebie mocno zabezpieczona, a z drugiej strony trudniej, gdyż potencjalne mechanizmy i drogi ataku będą zapewne bardziej złożone, co w oczywisty sposób pociąga za sobą komplikację mechanizmów zapobiegawczych.

Domyślam się, że w pracy używa pan największej możliwej liczby przeglądarek, by sprawdzić, w jaki sposób działają i współpracują z tworzonym przez ArcaBit oprogramowaniem. A na domowym komputerze? Za pomocą jakiego browsera wędruje pan po Internecie?

Na co dzień korzystam z Firefoxa, aczkolwiek nie wynika to z większego poczucia bezpieczeństwa lecz z aspektów czysto subiektywno-estetycznych. Oczywiście w szczególnych przypadkach korzystam również z innych przeglądarek.

Opracowano na podstawie materiału Matta Hinesa z magazynu InfoWorld.