Gata cu Internet Explorer ?
După cum spuneam într-unul dintre comentarii, era o chestiune de ore până când un patch avea să fie lansat. Gata. Aşteptarea a luat sfârşit, Microsoft lansând în această seară o actualizare de securitate, un patch ce rezolvă problema „Aurora”.
Săptămâna trecută, anunţul făcut de Google avea să pună în stare de alertă comunitatea IT şi, de ce nu, chiar lumea întreagă, ţinând cont de faptul că internetul a devenit o parte a realităţii cotidiene.
O serie de incidente, al căror punct maxim s-a înregistrat la mijlocului lunii decembrie a anului trecut, au mascat încercarea de sustragere a unor informaţii confidenţiale de pe serverele Google, toată povestea fiind orchestrată, se pare, din China. Nu era pentru prima dată când Google, ca orice altă organizaţie cunoscută, era ţinta unor astfel de incidente, dar ceea deosebeşte situaţia curentă de altele similare, este bănuiala că hackerii ar fi fost „sponsorizaţi” şi motivaţi suficient de mult pentru un atac de o asemenea amploare.
Într-un comunicat din 12 ianuarie, Google precizează extrem de clar, că doar două conturi Gmail ar fi fost accesate, informaţiile preluate neautorizate fiind însă limitate la data creării acelui cont şi la câmpul subiect al mesajelor. Dar povestea nu se opreşte aici. O serie de conturi ale celor care militează pentru respectarea drepturile omului în China, ar fi fost accesate în mod frecvent de o terţă parte, însă NU datorită unor scăpări în infrastructura de securitate a Google. Au fost celebrele scamatorii de tip phishing, cărora le-au căzut victimă utilizatorii neatenţi.
Iar tocmai când subiectul Google vs. China acaparase paginile site-urilor de specialitate şi ale blogurilor, o altă dezvăluire, cel puţin la fel de şocantă, tinde să dea o nouă turnură poveştii. Se pare că nu mai puţin de 33 de companii, dintre care multe cu o securitate net inferioară Google, ar fi fost ţinta unor atacuri similare, misiunea hackerilor fiind facilitată de o vulnerabilitate în Internet Explorer / Microsoft Security Advisory (979352), ce afectează toate versiunile, mai puţin IE 5.01 SP 4. Da, aţi citit bine. Atât Internet Explorer 6, cât şi versiunile mai noi, 7 şi 8 sunt vulnerabile, însă într-o măsură mai mică, situaţie influenţată se setările implicite ale browser-elor.
Denumit Aurora, codul vulnerabilităţii este deja făcut public, iar până pe 9 februarie, când se pare că Microsoft ne va răsplăti răbdarea şi stoicismul cu o actualizare de securitate, unele instituţii oficiale au început să blameze Internet Explorer, recomandând trecerea la un alt browser web.
Primul anunţ în acest sens l-a făcut guvernul german, care prin organismul abilitat (BSI – Oficiul Federal German pentru Securitate în Tehnologia Informaţiei), sublinia faptul că acestă vulnerabilitate se manifestă indiferent de sistemul de operare folosit (Windows XP, Windows Vista, Windows 7), şi nici char modul „protejat” din Internet Explorer 8, nu asigură invulnerabilitatea în faţa acestei ameninţări.
Comunicat BSI din 15 ianuarie:
URL: https://www.bsi.bund.de/cln_183/ContentBSI/presse/Pressemitteilungen/Sicherheitsluecke_IE_150110.html
Prietenii francezi s-au alăturat şi ei demersului, CERTA (Centre d’Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques), recomandând folosirea unui browser alternativ, cel puţin până la remedierea problemelor.
Comunicat CERTA din 15 ianuarie:
URL: http://www.certa.ssi.gouv.fr/site/CERTA-2010-ALE-001/
Înainte să trecem mai departe, vreau să lămurim câteva lucruri:
- Vulnerabilitatea din Intern Explorer a fost recunoscută inclusiv de Microsoft, iar după ce codul de atac a fost făcut public, pericolul este încă şi mai mare.
- Decizie a se retrage sau nu, va fi luată de Google în urma unor discuţii serioase cu partenerii chinezi, iar aspectele economice ale înţelegerii fiţi siguri că nu sunt deloc de neglijat.
Cu ce NU sunt însă de acord, şi mă bucur să văd că „minţi luminate”, oameni mult mai bine pregătiţi decât mine în domeniu (de exemplu Graham Cluley de la Sophos sau Alfred Huger de la Immunet), gândesc în acelaşi mod, este DEMERSUL de schimbare a browser-ului, în baza unor recomandări, mai mult sau mai puţin pertinente. Daţi-mi voie să mă explic.
Odată codul făcut public, un blog şi-a îndemnat cititorii să facă teste, iar rezultatele arată extrem de clar că vulnerabilitatea este influenţată de versiunea de Internet Explorer folosită, de sistemul de operare (cu sau fără Serice Pack), de actualizară rile de securitate instalate. De asemeni, de cele mai multe ori, încercarea de a obţine accesul neautorizat, a avut drept rezultat un „crash”, o blocare a sistemului.
Browser sigur şi browser (ne)sigur
Experienţele trecute au demonstrat că nu există browser invulnerabil şi pot să afirm, cu riscul de a fi nepopular, renunţarea la Internet Explorer DOAR în baza acestor informaţii, este o decizie destul de pripită. Este deja o certitudine, faptul că browser-ul celor de Microsoft s-a aflat sub presiune pe tot parcursul anului 2009 şi nu mai departe de săptămână trecută, scriam într-un articol că Internet Explorer pierde câte un procent în fiecare lună, din cota de piaţă.
IE a devenit suspectul de serviciu şi se induce, voluntar sau nu, ideea că SECURITATEA este dată doar de browser-ul de internet folosit. Această împărţire, să nu spun împărţeală, între browser-e sigure şi browser-e nesigure, mi se pare păguboasă într-un domeniu unde situaţia evoluează extrem de rapid (sper că vă mai aduceţi aminte de vulnerabilitatea critică descoperită la Firefox 3.5), iar aceste anateme timp să reziste în conştiinţa publicului, mult timp după ce problema a rezolvată.
Scuzat să-mi fie scepticismul, dar îmi vine greu să cred că aceleaşi organizaţii vor RECOMANDA săptămâna viitoare, sau peste două săptămâni, utilizatorilor SĂ FOLOSEASCĂ Internet Explorer, iar blogurile care în tot acest timp au avut materiale didactic, îşi vor actualiza articolele în consecinţă.
Îmi amintesc de un cântecel simpatic, „Better The Devil You Know”, ce cred că se potriveşte destul de bine situaţiei de faţă. Poate Internet Explorer nu este „cel mai sigur browser”, cu toate că un studiu făcut de laboratoarele NSS în 2009, plasa browser-ul celor la Microsoft extrem de avantajos în competiţia directă cu Apple Safari 4, Google Chrome 2, Mozilla Firefox 3 şi Opera 10 Beta. Doar dacă ne uităm la blocarea tentativelor de tip phishing, o ameninţare mai serioasă la adresa datelor personale (după cum însuşi Google a recunoscut), observăm că lupta nu este nici pe departe încheiată, iar ajutorul de care beneficiază unele browser-e web în aceste zile, s-ar putea să nu fie deloc întâmplător. De exemplu, în weekend-ul ce a urmat anunţului făcut de BSI, descărcările browser-ului Opera pe teritoriul Germaniei, s-au dublat.
Ce recomandă Microsoft ?
Într-un comunicat de presă, datat 19 ianuarie 2009, Microsoft recomandă utilizatorilor să facă TRECEREA la Internet Explorer 8, un demers pe care l-am încurajat inclusiv pe acest blog, într-o vreme în care Amy Barzdukas vorbea despre experienţa PLĂCUTĂ oferită în continuare de Internet Explorer 6 şi anunţa susţinerea acestui browser până în 2014.
Succint, Microsoft vorbeşte despre instalarea unui firewall, a unui software antivirus şi antispyware… şi despre importanţa actualizărilor.
Recomandările mele… sunt ceva mai tranşante
- Dacă vă menţineţi preferinţa pentru Internet Explorer, actualizaţi DE URGENŢĂ la versiunea cu numărul 8.
- Indiferent de sistemul de operare Windows folosit, instalaţi actualizările disponibile, şi îndeosebi cele de securitate.
- În măsura posibilităţilor financiare, încercaţi să faceţi trecerea de la Windows XP la Windows 7.
- Folosiţi un software antivirus care oferă protecţie activă. Am prezentat câteva alternative gratuite, dintre care una poartă girul Microsoft (Microsoft Security Essentials).
- Folosiţi un firewall, de preferinţă unul care să ofere HIPS / Host – Intrusion Detection System şi Behavior Blocking.
În loc de încheiere…
Mi-e teamă că problemele vor continua, iar dacă Internet Explorer este azi o ţintă predilectă datorită cotei sale de piaţă, pe măsură ce alternativele câştigă teren, n-ar fi de mirare ca problemele rivalilor să iasă la iveală. Doar dacă aruncăm o privire pe secunia.com, realizăm utopia browser-ului complet sigur.
Atât am avut de spus. Vă mulţumesc pentru atenţie şi, indiferent de browser-ul folosit, aveţi grijă de voi. O seară plăcută în continuare.
Materiale bibliografice:
- http://www.guardian.co.uk/technology/2009/aug/13/microsoft-internet
- http://www.worldit.info/noutati/guvernul-german-roaga-populatia-sa-renunte-la-internet-explorer/
- https://www.bsi.bund.de/cln_183/ContentBSI/presse/Pressemitteilungen/Sicherheitsluecke_IE_150110.html
- http://news.bbc.co.uk/2/hi/technology/8465038.stm
- http://blog.metasploit.com/2010/01/reproducing-aurora-ie-exploit.html
- http://siblog.mcafee.com/cto/“aurora”-exploit-in-google-attack-now-public/
- http://www.sophos.com/blogs/gc/g/2010/01/18/french-government-advise-users-stop-internet-explorer/
- http://blog.immunet.com/blog/2010/1/18/nicht-mehr-den-internet-explorer.html
- http://www.microsoft-watch.com/content/advertising_search/is_ie_8_truly_a_security_improvement_over_ie_6.html
- http://blogs.computerworld.com/15416/ditch_ie_over_google_china_hack_bug
- http://www.information-age.com/channels/security-and-continuity/news/1110378/germany-and-france-warn-against-internet-explorer-use.thtml
Hi,
Vesti proaste, francezii de la Vupen Security a fabricat un exploit pentru Internet Explorer cu DEP activat. Daca ei au putut si baietii rai o sa poata. Cea mai buna protectie in acest moment este dezactivarea JavaScript si/sau folosirea unui browser alternativ. Inca nu am vazut un exploit “in-the-wild”, dar situatia se poate schimba de la o ora la alta. Microsoft se grabeste sa lanseze patch-ul saptamana asta.
Probleme cu comentariul meu ? Ce e cel mai important din recomandarile Microsoft lipseste cu desavarsire din articolul tau: dezactivarea JavaScript. Your choice
http://www.microsoft.com/technet/security/advisory/979352.mspx
Salut
Pe acest blog, orice comentariu trebuie aprobat manual, iar dat fiind faptul că nu sunt mai mult de câteva mesaje pe zi, validarea lor poate să dureze un pic. Nu ştiu cred că se miră cineva, de ce un mesaj publicat la 3.47 AM va fi publicat dimineaţă
Revenind la Aurora, doar cu câteva minute în urmă urmărit un filmuleţ pe Sophos, http://www.sophos.com/blogs/gc/g/2010/01/20/operation-aurora-video-apology/ , prin care alături de o scurtă demonstraţie, s-a reiterat faptul că nu sunt motive de panică, cel puţin pentru utilizatorii IE8. Apoi, la sfârşitul filmului, Paul Ducklin arată că un „antivirus bun” îşi va face datoria şi blochează exploit-ul.
După cum spuneam şi în articol, problema e serioasă şi până la remedierea vulnerabilităţii trebuie să fim atenţi, dar de aici şi până a vedea rezolvarea tuturor problemelor de securitate în dispariţia lui Internet Explorer e cale lungă. Ţinând cont de profilul acestui blog, n-am mai continuat cu dezactivarea Active Scripting, însă ai dreptate şi e posibil să-mi fi scăpat link-ul de mai sus.
P.S. Sunt semne că în cursul zilei de azi, apare peticul şi sunt curios cât a pierdut IE în această săptămână. Suficient cât să-i fie „fatal” ?
lol, nu-l mai vedeam acolo. IE nu cred ca a pierdut, unele companii nu au cum sa nu-l foloseasca. Cu utilizatorii de acasa e altceva, dar si aici exista destui ignoranti.
Un browser -oricare – rulat in Sandboxie rezolva problema malware-ului ce il poti intalni pe net , plus nah un AV si firewall si update-uri la SO, dar odata ce browserul e emulat in sandbox virusii nu mai pot face nimic din cate stiu eu .
Dap, nu exista browser sigur. Imi aduc aminte ca atunci cand a fost lansat un browser, parca Safari 4.0, un hacker a fost invitat sa testeze vulnerabilitatile programului si in mai putin de 1 minut l-a dat peste cap.
Pe de alta parte Germania si Franta, membre fondatoare ale UE – “dusman” al Microsoft – au beneficiat de situatie pentru a blama produsul IE. Un browser pe care au reusit sa il scoata din zona “default” a sistemelor de operare Windows.
S-a creat un mare buzz prin miile de articole şi IE a primit o lovitura serioasa. Degeaba spui acum ca nu este foc cand toata lumea a fugit panicata din cauza alarmei.
Vă mulţumesc tuturor pentru comentarii. Ştiu că alegerea browser-ului naşte cele mai fierbinţi controverse, fiecare platformă având-şi proprii adepţi şi tocmai de aceea echilibrul celor câteva comentarii este de apreciat.
În câteva ore, nu ştiu să vă spun exact şi câte, va fi lansat patch-ul ce remediază vulnerabilitatea amintită în articol, şi cred că sunt destui cei care vor dormi un pic mai liniştiţi.
@FlorinS Foarte corectă observaţia legată de Sandboxie, http://www.sandboxie.com/ mai ales dacă ţinem cont de sloganul lor „Trust No Program” şi de pictogramele IE şi Firefox, prezentate într-un cadru alăturat. Sper să am timp şi inspiraţie să scriu câteva rânduri despre Sandboxie, o soluţie ce se poate dovedi salvatoare.
@Emil Îmi amintesc de povestea cu Safari, însă cred că era o versiune beta. Oricum, doar dacă ne uităm pe site-ul Secunia, găsim vulnerabilităţi ce pot afecta într-o măsură mai mare sau mai mică, orice browser.
@I’m Safe OnLine Panica s-a manifestat mai degrabă în rândul utilizatorilor „casnici”, de unde şi ideea acestui articol ceva mai calm, menit a echilibra starea de spirit. Companiile şi cei care se bazau săptămâna trecută pe IE 8, nu s-au apucat să testeze browser-e alternative.
Deşi am renunţat să mai folosesc Internet Explorer ca browser principal, mi s-a părut nefiresc acest „linşaj” mediatic la care a fost supus Internet Explorer 8, un browser cel puţin mai bun decât versiunile anterioare. Rămâne să vedem cum vor evolua lucrurile însă presimt oarece surprize…