Не бывает неуязвимых, бывают хорошо защищенные

Одна из проблем, потенциально затрагивающая всех пользователей — уязвимости в программном обеспечении. Это ошибки в реализации программы, которые могут быть использованы злоумышленниками для получения несанкционированного доступа к данным, внедрения вредоносного кода или выведения системы из строя.

Чаще всего, уязвимости возникают даже не из-за ошибок при программировании, а из-за недостаточной проработки мельчайших деталей на этапе проектирования. Нередко на момент разработки система действительно кажется практически неуязвимой, но через некоторое время появляется новая технология, и хакеры доказывают, что на нее можно провести успешную атаку. Характерный пример — алгоритм симметричного шифрования DES, был разработан в 1975 году, и на тот момент считался абсолютно надежным. Однако, в 1990 году его удалось взломать с использованием огромной сети компьютеров за 39 дней, а в 1998 был построен суперкомпьютер, который взломал DES менее чем за три дня.

Постоянное тестирование широко используемого ПО, с целью обнаружения в нем уязвимостей, и последующий выпуск обновлений, закрывающих эти уязвимости, — это нормальный процесс жизни программы. Причем, чем сложнее и распространеннее программа, тем больше шансов, что в ней будет найдена уязвимость.

Поиск уязвимостей

Как правило, разработчики стараются своевременно закрывать обнаруженные уязвимости и самостоятельно, или с привлечением внешних экспертов, исследуют создаваемое ими ПО. Однако, поиском занимаются не только они, но и сторонние исследователи. Некоторые из них делают это для повышения общего уровня безопасности в интернете. Другие ищут уязвимости за вознаграждение. Третьи предпочитают продавать информацию о найденных уязвимостях на черном рынке.

Дело в том, что информация о новой уязвимости весьма ценится у киберпреступников. Если исследователь обнаруживает «дырку» в системе и предоставляет подтверждение возможности ее практической эксплуатации (проще говоря — пишет эксплойт), то на черном рынке он может заработать несколько десятков тысяч долларов. И есть целый сектор преступного бизнеса, специализирующийся именно на поиске и продаже уязвимостей.

К счастью, этот бизнес не очень массовый. Во-первых, потому что далеко не все обнаруженные уязвимости реально можно проэксплуатировать. Нередко для того чтобы нанести реальный вред, необходимо сочетание нескольких условий, и шансы, что такое сочетание встретится на практике, — невелики. Во-вторых, для того чтобы написать эффективный эксплойт нужен очень высокопрофессиональный программист. А таких все-таки не так уж и много.

Еще один вариант заработка на уязвимостях — продажа их сторонним компаниям, казалось бы, напрямую не связанным с преступностью. Некоторые исследователи поступают именно так. Но компании эти могут создавать шпионское ПО для нужд правительств или спецподразделений, так что в итоге они все равно будут использованы для нелегитимных манипуляций с информационными системами. К тому же, как выяснилось, безопасность таких компаний не всегда находится на высоком уровне, и может случиться так, что их знаниями завладеют третьи лица. С плачевными последствиями.

Идеалисты, которые ищут уязвимости ради всеобщей безопасности, сталкиваются с дилеммой. С одной стороны, чем позже они объявят о своей находке, тем больше времени дадут разработчикам на решение проблемы. С другой, чем раньше они обнародуют информацию, тем быстрее пользователи узнают, чем эта уязвимость грозит. Ведь злоумышленники, теоретически, также могут найти эту уязвимость и незамедлительно использовать ее в своих целях. Кроме того, раскрытие информации неизбежно приведет к попыткам использования найденной уязвимости во зло. Причем иногда между публикацией информации и первыми атаками проходит немногим более часа. В частности, такая оперативность наблюдалась после обнародования уязвимости Shellshock.

В чем опасность уязвимостей?

Эксплойт — это программа или фрагмент кода, позволяющие использовать уязвимости для атаки на вычислительную систему. В некоторых случаях применение эксплойтов носит массовый характер, то есть при его помощи злоумышленники пытаются атаковать системы широкого круга пользователей. Они эксплуатируют уязвимости в часто используемом ПО (например, таком как Adobe Flash Player) и через них доставляют на компьютеры пользователей вредоносную нагрузку. Обычно они достигают этого применяя так называемыe Drive-by атаки, которые пытаются загрузить вредоносный код всем посетителям зараженного сайта.

Иногда киберпреступники разрабатывают целевые атаки, в ходе которых анализируют программное обеспечение, использующееся конкретной компанией и пишут так называемые «точечные» эксплойты. Такую узкоспециализированную атаку, в частности, провернули в ходе APT Duqu2.0.

Срок «жизни» эксплойтов варьируется. Некоторые из них применяются долгие годы, даже несмотря на то, что разработчики своевременно выпускают патчи, закрывающие соответствующие уязвимости. Просто пользователи не спешат своевременно устанавливать эти патчи.

По данным «Лаборатории Касперского» сейчас злоумышленники активно используют эксплойты, использующие уязвимости из этого набора:

Как видно по CVE-кодам уязвимостей, большая их часть обнаружена в этом году, однако встречаются и уязвимости 2014 и даже 2012 года. И тот факт, что их до сих пор используют, говорит именно о том, что многие пользователи до сих пор не озаботились обновлением соответствующего ПО.

Как уберечься от эксплойтов?

Основной совет тут простой — не забывать о регулярных обновлениях, и не использовать устаревшее ПО. Воспользоваться последним советом получается не всегда — порой сложно подобрать аналог удобной и знакомой программе. Разработчики за уязвимостями в устаревшем ПО уже не следят и патчи не выпускают, а вот злоумышленники не оставляют без внимания. Соответственно, чтобы продолжать использовать такую программу, необходимо применять дополнительные средства защиты.

Есть специализированные инструменты, которые позволяют сканировать компьютеры на наличие известных уязвимостей и, в случае обнаружения, автоматически устанавливать обновления. Такие, например, как Vulnerability Assessment and Patch Management (часть Kaspersky System Management). Кроме того, «Лаборатория Касперского» разрабатывает аналогичное решение и для домашних пользователей — Kaspersky Software Updater. В настоящее время эта утилита находится в стадии бета-тестирования.

Принцип наименования уязвимостей, принятый в «Лаборатории Касперского», несколько отличается от системы CVE (Common Vulnerabilities and Exposures). У CVE один код соответствует одной уязвимости, а у нас каждый код может относиться сразу к набору уязвимостей (чаще всего, к уязвимостям, закрываемым одним патчем, или уязвимостям в одной версии программы) — до нескольких десятков (чаще всего, в соответствии с патчем разработчиков). Таким образом, в данной двадцатке KLA-уязвимостей на самом деле 375 CVE-уязвимостей.

Согласно статистике Kaspersky Security Network, во время сканирования компьютеров наших пользователей наиболее часто выявляются следующие наборы уязвимостей:

Особенно примечательны наборы KLA10680 и KLA10650. В первом из них, помимо всего прочего, присутствует уязвимость CVE-2015-7645, а во втором — CVE-2015-5560. И это уязвимости, которые можно найти в предыдущей таблице, где перечислены активно используемые эксплойтами дырки.

Разумеется, в защитных продуктах имеются и технологии для предотвращения попыток эксплуатации уязвимостей. Они пристально следят за деятельностью приложений (особенно тех, в которых часто обнаруживают уязвимости), выявляют подозрительную активность и блокируют ее.

Как обстоят дела в индустрии защитных решений?

Как и в любом программном обеспечении, в защитных решениях могут обнаружиться уязвимости. Единственное отличие заключается в том, что на них лежит гораздо больше ответственности: по сути защитное ПО является последним рубежом защиты. Именно поэтому, в компаниях, работающих в сфере интернет-безопасности к вопросу анализа продуктов на наличие уязвимостей подходят особенно тщательно.

Мы не можем говорить за всю индустрию в целом, а потому расскажем на единственном известном нам примере — собственном. О безопасности собственных продуктов у нас заботятся на всех этапах разработки, начиная с определения поверхности атак на этапе проектирования и заканчивая специализированными тестированиями, направленным на поиск возможных уязвимостей в практически готовом к релизу продукте. В процессе разработки сотрудники R&D не только создают нужную функциональность продукта, но и следят за тем, чтобы эти нововведения нельзя было использовать для нарушения целостности программы.

Мы считаем, что такой подход эффективнее выделенной команды, следящей за уязвимостями во всех продуктах компании. Впрочем, это не означает, что у нас нет такой команды. Специальные архитекторы по безопасности регулярно проверяют новые разработки на предмет наличия в них уязвимостей с применением метода нечеткого тестирования (fuzzing-тестирования) и тестов на проникновение (penetration
test).

Fuzzing — это, по сути, проверка на непредусмотренные действия, при которой программе выдается некорректная или случайная информация. Иными словами, тестирование продукта на нестандартном или искаженном наборе данных.

Тесты на проникновение проводятся как внутри компании, так и с привлечением сторонних экспертов. Но вообще, как показывает практика, не многие сторонние эксперты разбираются в специфике защитных продуктов, а, следовательно, могут эффективно искать в них уязвимости. Также, в «Лаборатории Касперского» есть специальное подразделение, занимающееся поиском уязвимостей в стороннем коде (в частности, его услугами периодически пользуются банки, для анализа безопасности своих приложений). Несмотря на то, что их приоритет — именно сторонние приложения, эти специалисты также проверяют и наши собственные разработки.

Кроме того, мы внимательно прислушиваемся и к мнениям независимых исследователей. Любой человек, обнаруживший уязвимость в наших технологиях, может сообщить о ней через специальный канал связи, который можно найти по адресу http://www.kaspersky.ru/security. Наши эксперты внимательно анализируют поступающие через этот канал сведения. Работа с ними строится следующим образом: первым делом аналитики подтверждают наличие уязвимости. После подтверждения мы связываемся с независимым исследователем и согласовываем сроки публикации его информации. Тем временем данные передаются команде разработчиков, ответственных за создание технологии, а также проводится проверка на воспроизводимость этой уязвимости в других наших продуктах. Надо сказать, бывают случаи, когда независимые исследователи действительно обращают наше внимание на серьезные проблемы, за что им огромное спасибо.

Несколько практических советов

Поскольку радикально исправить ситуацию могут только разработчики ПО, мы предлагаем следующие советы:

• Как уже неоднократно было сказано — обновляться. Если разработчик предлагает обновить свой продукт, велика вероятность, что у него на то есть серьезные основания.
• Не отключать функцию автоматического обновления. Да, если у вас много программ, это может создать некоторые неудобства, но безопасность дороже.
• Удалять программы, которыми вы перестали пользоваться. Незачем им лежать мертвым грузом на жестком диске вашего компьютера. Однажды такие программы могут сослужить вам дурную службу.
• Не использовать устаревшее ПО. Если это действительно удобная и полезная программа, то у нее наверняка найдутся аналоги. Да, иногда сложно отказаться от знакомого интерфейса, но лучше потратить несколько дней на освоение нового, чем пользоваться уязвимым ПО.
• Периодически сканировать компьютер на наличие известных уязвимостей, при помощи специализированных утилит.

Автор: Вячеслав Закоржевский

Источник: Лаборатория Касперского