Exploit odhaluje tmavší stránku automatických aktualizací

Nedávná studie instalací webového prohlížeče ukázala, že příliš málo lidí je aktuální s nejnovějšími bezpečnostními záplatami. A prohlížeče nejsou samy; jak můj milý starý máma dokáže, může být těžké držet krok s operačními a aplikačními záplatami, když vše, co chcete udělat, je použít počítač k práci. Nemělo by být překvapením, že mnoho počítačů je zranitelných vůči bezpečnostním praktikám, které by jinak mohly být zabráněny.

Firefox získal špičkové výsledky ve studii prohlížeče kvůli automatické aktualizaci, která oznamuje uživatelům nejnovější patche, opět k dispozici. Stále více dodavatelů používá podobný přístup a automaticky kontroluje aktualizace vždy, když používáte jejich software. Ale teď se ukáže, že automatické aktualizace nejsou vždycky jen tak, aby byly. Nový zvyk, který se nazývá Evilgrade, může využít automatických updaterů k instalaci škodlivého kódu na nic netušícího systému a vaše počítače mohou být zranitelnější, než si myslíte.

Evilgrade je navržen jako modulární rámec, který přijímá pluginy, různé softwarové balíčky, které používají vlastní postupy automatické aktualizace. Aktuálně podporované cíle zahrnují Java plug-in prohlížeč, WinZip, Winamp, OpenOffice.org, LinkedIn Toolbar, iTunes a Mac OS X, mimo jiné. V následujících měsících se mohou objevit další pluginy.

[Další čtení: Nejlepší krabice NAS pro streamování a zálohování médií]

Využívá se tím, že předstírá, že je skutečnou stránkou upgradu a posílá škodlivý kód, software očekával opravu. Kód může být cokoliv, od trojského koně po keylogger, který zachycuje hesla a uživatelské účty.

Využití exploitu není tak snadné, jako jen stisknutí tlačítka. Vyžaduje to předtím existující stav "člověk ve středu", v němž útočník nastaví falešný webový hostitel, který může zachytit přenos mezi klientem a skutečným serverem. Zatímco obvykle to může být docela složité, nedávno zpřístupněná chyba zabezpečení DNS ponechává mnoho stránek otevřených.

Tak co dělat s bezpečnostní chybou, která využívá samotný systém, který má zabránit bezpečnostním chybám? Za prvé, měli byste se určitě ujistit, že máte na vašem webu chybu DNS. To zablokuje útok Evilgrade.

Dále přečtěte si dokumentaci Evilgrade a uvědomte si, jaký software může být v síti používán, který by mohl být zranitelný vůči zneužití. Pokud je software dostatečně důležitý pro vaši organizaci, obraťte se na svého dodavatele nebo vývojáře a vyjádřete své obavy ohledně zabezpečení funkce automatické aktualizace.

Konečně, pokud je ve vaší organizaci vysoká priorita zabezpečení, možná budete chtít můžete zvážit zakázání automatických aktualizací pro vybraný software zablokováním webů automatické aktualizace v pravidlech brány firewall. Většina softwaru, která podporuje automatické aktualizace, vám také umožňuje ručně stahovat a instalovat záplaty (i když je možné, že jednotlivé soubory patchů mohou být obtížněji lokalizovány).

Prozatím je riziko, které Evilgrade uloží, pravděpodobně minimální, do spokojenosti. Automatické aktualizace softwaru mohou být pohodlné, ale také berou jednu z nejdůležitějších bezpečnostních funkcí počítače z rukou uživatele. To může snadno vést k falešnému pocitu bezpečnosti; a když necháš tvou stráž, tak to dostanou.