Η είδηση δεν είναι σημερινή (πρόκειται για είδηση της 29ης Μαρτίου 200 και πιθανότατα όλοι έχετε ήδη ενημερώσει το avast σας (όσοι το χρησιμοποιείτε). Ωστόσο αξίζει να σημειωθεί, μιας και οι περισσότεροι από εμάς, αν εμπιστευόμαστε κάποια software για την ακεραιότητά τους αυτά είναι τα antiviruses και τα firewalls. Λάθος μας. Η πιο πρόσφατη έκδοση του avast, η 4.7.878 παρουσίαζε ένα σημαντικό πρόβλημα ασφάλειας, που έφερε στο φως ο Tobias Klein. Πρόκειται για μια σοβαρή vulnerability στο αρχείο AavmKer4.sys (kernel-mode driver), που επιτρέπει την ολοκληρωτική έκθεση του συστήματος και την απόκτηση πλήρους ελέγχου από κάποιον τρίτο. Για να εκμεταλλευθεί κάποιος την αδυναμία του Avast, είναι αναγκαία η αποστολή ειδικών αιτήσεων IOCTL. Τα αποτελέσματα…crash λόγω kernel panic, δυνατότητα εκτέλεσης κώδικα από τρίτους σε επίπεδο kernel.

Η αδυναμία αφορά μόνο συστήματα 32bit με εγκατεστημένα Windows NT/2000 ή και XP. H Avast εξέδωσε νέα έκδοση που κλείνει την τρύπα και μοίρασε διαμέσω του update της τη διόρθωση.

Παρά το ατυχές αυτό γεγονός το Avast παραμένει μια πολύ αξιόλογη δωρεάν λύση για τους home users.

Σε πολύ κόσμο είναι βαθιά ριζωμένη η αντίληψη ότι οι Mac είναι πιο ασφαλείς από τα PC. Για κάποιους είναι κάτι παραπάνω από αντίληψη και βέβαια δεν έχω καμιά διάθεση να τους ταράξω τις ισορροπίες τους. Αλλά, όσο και αν προσπάθησα δυο μέρες δεν κατάφερα να αντισταθώ, ειδικά σήμερα Κυριακή που είναι μέρα των ειδήσεων που είχαν μπει στην ουρά…δεν υπήρχε ελπίδα. Έτσι, να’μαι με το post μου.

Δε θα σας πω κάτι που ανακάλυψα πρόσφατα, ωστόσο η αφορμή υπήρξε. Σύμφωνα (! pdf), λοιπόν, με ερευνητές του Swiss Federal Institute of Technology, η Apple δε φροντίζει να ασφαλίζει τα software της με ικανοποιητικούς ρυθμούς. Σε αντίθεση (ακούστε…ακούστε) η Microsoft, στον τομέα ασφάλειας, φαίνεται να επιτυγχάνει πολυ καλές επιδόσεις, παρέχοντας πιο πολλές διορθώσεις και σε μικρότερο χρόνο (ή και αμέσως) ειδικά τα τελευταία 2 χρόνια.

Οι ερευνητές εξέτασαν μια περίοδο 6 χρόνων (! pdf) (2002 - 2007) και πιο συγκεκριμένα μελέτησαν πόσες φορές η Apple και η Microsoft είχαν ήδη έτοιμο ένα patch την ημέρα(0day) που αυτό έγινε δημόσια γνωστό, πόσες αδυναμίες διορθώθηκαν σε 30, 90 και 180 ημέρες Εξέτασαν 658 αδυναμίες, υψηλού και μέτριου ρίσκου, που αφορούσαν προϊόντα Microsoft και 738 που αφορούσαν την Apple.

Τι διαπίστωσαν; Μέχρι το 2005 η Apple είχε συνήθως 20 λιγότερες μη διορθωμένες αδυναμίες από τη Microsoft. Από το 2006 και μετά συμβαίνει συχνά να έχει αρκετές περισσότερες unpatched vulnerabilities σε σχέση με τη Microsoft. Από την έρευνα προκύπτει επίσης ότι οι επιδόσεις και των δύο εταιρειών χειροτερεύουν λίγους μήνες πριν την έκδοση σημαντικών προϊόντων, όπως π.χ. μια νέα έκδοση του λειτουργικού συστήματος ή κάποιο service pack.

Τα αποτλέσματα της έρευνας δημοσιεύθηκαν κατά τη διάρκεια της BlackHat 2008: Europe Amsterdam, από τους Stefan Frei και Bernhard Tellenbach.

PDFs :

• 0day patch - Exposing vendors (in)security performance
• 0day patch - Exposing vendors (in)security performance - Presentation BlackHat Europe Amsterdam 2008

Διαβάζοντας την έρευνα θα βγάλετε πιο συγκεκριμένα συμπεράσματα. Εγώ προσπάθησα να σας παρέχω μια γενική ιδέα.

Ok, η έρευνα μας τα είπε. Μπράβο στους ερευνητές και ευχαριστούμε. Τώρα let’s do it our way.

Ας δούμε τι μπορεί να συμπεράνει και να ανακαλύψει ένας απλός χρήστης του web που ενδιαφέρεται να κάνει περίπου τη σύγκριση που έκαναν και οι ερευνητές. Εντάξει, δε θα είμαστε “επιστημονικοί” αλλά μια ιδέα θα την πάρουμε.

Ας στήσουμε λοιπόν τη δικιά μας έρευνα. Δε θα μας απασχολήσουν οι 0day αδυναμίες αλλά γενικότερα οι αδυναμίες των λειτουργικών της Microsoft και της Apple. Για την Microsoft θα συμμετέχουν τα XP Professional και τα Windows Vista. Ενώ για την Apple το Mac OS X. Δεν θα ασχοληθούμε με εκδόσεις, μιας και θα εξετάσουμε γενικά το θέμα και μόνο για το 2008 για να πάρουμε μια ιδέα. Ο σκοπός μου δεν είναι να αποδείξω κάτι διαφορετικό ή καινούριο, αλλά να επιβεβαιώσω τα όσα λέει και η έρευνα όχι σαν ερευνητής αλλά σαν ένας απλός άνθρωπος που έχει πρόσβαση στο web.

Το μόνο μας εργαλείο. Οι σελίδες του www.secunia.com.

Ξεκινάμε και πάντα για το 2008:
Microsoft

• Windows XP professional (για το 2008 έως σήμερα): 0 μη διορθωμένες αδυναμίες
  
• Windows Vista (για το 2008 έως σήμερα): 20% μη διορθωμένες αδυναμίες, το 80% διορθώθηκε αποτελεσματικά από τη Microsoft

Apple

• Mac OS X (για το 2008 έως σήμερα): 33% μη διορθωμένες αδυναμίες, το 67% διορθώθηκε αποτελεσματικά από την Apple
  

Όπως μπορεί εύκολα να διαπιστώσει, τα αποτελέσματα της έρευνας (αν και η έρευνα μιλούσε για πολύ πιο συγκεκριμένα πράγματα) ανταποκρίνονται και στη δικιά μου μικρή έρευνα, που πραγματοποίησα μόνο με τον browser μου και τα εργαλεία που μου παρέχει η αξιόπιστη σελίδα www.secunia.com. Ότι η Apple δεν τα πάει και τόσο καλά, όσον αφορά την ασφάλεια τον τελευταίο καιρό, είναι ένα συμπέρασμα στο οποίο καταλήγουν οι περισσότεροι, ειδικοί και μη. Η εταιρεία, προφανώς, δεν ήταν έτοιμη να αντιμετωπίσει τις συνέπειες της αυξημένης της δημοτικότητας, που είδε κατακόρυφη άνοδο τα τελευταία χρόνια.

Σημείωση: ελπίζω να μην πει κάποιος…γιατί πήρες το 2008, που εντάξει τρεις μήνες πέρασαν και υπήρξαν τόσο λίγα advisories; Πήρα το 2008 εντελώς ενδεικτικά. Εξετάζοντας και το 2007, τα αποτελέσματα δεν αλλάζουν και μάλλον παρουσιάζουν μια χειρότερη εικόνα για την Apple. Έτσι, σύμφωνα με τη Secunia, για το 2007, η Apple άφησε χωρίς διόρθωση το 19% των αδυναμιών, ενώ η Microsoft για τα XP Professional άφησε 7% και για τα Vista το 6% των αδυναμιών αδιόρθωτες.

Ας μην τα βάλουμε με το MacBook Air, για όλα φταίει ο Safari, ωστόσο πλέον κυκλοφόρησε. Χρειάζονται δύο λεπτά για να hackάρετε ένα MacBook Air. Όλα συνέβησαν στο CanSecWest Vancouver 2008, συνέδριο που ασχολείται με θέματα ψηφιακής ασφάλειας. Οι διοργανωτές αποφάσισαν και φέτος να στήσουν έναν διαγωνισμό PWN to 0WN. Ποιός θα χάκαρε ένα από τα τρία ακόλουθα notebooks:

• VAIO VGN-TZ37CN με εγκατεστημένη Ubuntu 7.10
• Fujitsu U810 με Vista Ultimate SP1
• MacBook Air με OS X 10.5.2

Και τα τρία notebooks είχαν τα πιο πρόσφατα updates και το configuration τους χαρακτηρίστηκε ως standard.

Ο νικητής παίρνει δικό του το notebook αν καταφέρει να το χακάρει εκμεταλλευόμενος μια άγνωστη ως τώρα αδυναμία (0day attack) και ένα χρηματικό βραβείο 10.000 δολλαρίων. Έτσι, χθες, ο Charlie Miller έκανε δικό του ένα MacBook Air και 10.000 δολλάρια μέσα σε δύο λεπτά, χρησιμοποιώντας μια αδυναμία του browser Safari για να αποκτήσει τον έλεγχο του notebook. Ο Miller έγινε γνωστός και ως ο πρώτος που κατάφερε να χακάρει το iPhone.

O Miller ήταν ο πρώτος που προσπάθησε πάνω στο MacBook Air…δε χρειάστηκε δεύτερος.

Για να μην υπερβάλουμε, όμως, η αλήθεια είναι ότι την πρώτη μέρα του διαγωνισμού κανείς δεν κατάφερε να χακάρει τα notebooks λόγω των περιορισμένων μεθόδων πρόσβασης σε αυτά που επέτρεψαν οι διοργανωτές στους διαγωνιζόμενους. Πράγματι την πρώτη μέρα που οι επιθέσεις μπορούσαν να γίνουν μόνο μέσω δικτύου, κανείς δεν κατάφερε να αποκτήσει τον έλεγχο των notebooks. Τη δεύτερη μέρα του διαγωνισμού οι κανόνες άλλαξαν και πλέον επιτράπηκε στους hackers να ζητήσουν από τους διοργανωτές να κάνουν συγκεκριμένες πράξεις, όπως να επισκευθούν μια σελίδα ή να ανοίξουν ένα email.

Έτσι, ο Miller κατάφερε να πάρει τον έλεγχο του MacBook Air ζητώντας από τους διοργανωτές να επισκευθούν μια συγκεκριμένη ιστοσελίδα στης οποίας κώδικα είχε εισάγει ήδη τον δικό του “κακό” κώδικα, ο οποίος μόλις εκτελέσθηκε από τον browser Safari, του έδωσε πρόσβαση στoν πίνακα ελέγχου του MacBook Air. H όλη διαδικασία πήρε στον Miller μόλις δύο λεπτά.

Ο Miller με βάση τους κανόνες του διαγωνισμού υπέγραψε δήλωση που τον υποχρεώνει να μη διαδόσει την αδυναμία του Safari μέχρι η ίδια η Apple να δημοσιεύσει κάποιο update που να κλείνει την ¨τρύπα”. Η Apple ενημερώθηκε για την vulnerability του software της άμεσα από τους διοργανωτές.

Η ειρωνία είναι πως τον ίδιο Safari, που ο Miller χάκαρε σε 2 λεπτά, η Apple λίγες μέρες πριν μας τον εγκατέστησε σχεδόν με το ζόρι.

Σήμερα είναι η τελευταία μέρα του διαγωνισμού και θα μάθουμε πως τα πήγαν τα άλλα δύο notebooks που τρέχουν Ubuntu 7.10 και Windows Vista Sp1.

Πιο πρόσφατα:
Νίκησε η Ubuntu, Leopard και Vista KO, CanSecWest συνέχεια.

Πρόσφατα σας ανέφερα για το VirusTotal, μια online υπηρεσία που σας παρέχει δωρεάν ανίχνευση ιών για αρχεία χρησιμοποιώντας διάφορες μηχανές ανίσχνευσης από τα πιο δημοφιλή antivirus software. Μια αντίστοιχη υπηρεσία είναι το VirSCAN, που όμως παρέχει και κάποια έξτρα features όπως η ανίχνευση για spyware.

Πώς δουλεύει; Θεωρείτε ότι κάποιο αρχείο σας είναι ύποπτο. Επισκέπτεστε τη σελίδα του VirSCAN και κάνετε  upload το ύποπτο αρχείο. To VirScan ξεκινά σχεδόν άμεσα την ανίσχνευση και στο τέλος σας παρουσιάζει τα αποτελέσματα που προέκυψαν με τη χρήση της καθεμιάς από τις διαθέσιμες μηχανές ανίχνευσης.

Μας μάθανε από μικρά παιδιά. Δύο real time antiviruses στο ίδιο pc, να τρέχουν ταυτόχρονα, αποτελεί μια προβληματική κατάσταση. Τόσο γιατί χρησιμοποιούνται πολλές πηγές του συστήματός μας, όσο και για πιθανές ασυμβατότητες μεταξύ των δύο προγραμμάτων. Όλοι μας θα θέλαμε τη λεγόμενη πολλαπλή ασφάλεια, αλλά δυστυχώς όπως μας λένε δεν είναι δυνατή. Σήμερα μπορούμε να έχουμε μόνο πολλαπλή ασφάλεια σε διαφορετικά layers, όπως firewall, antivirus, hips, antispyware, αλλά όχι πολλαπλή σε ένα επίπεδο π.χ. δύο antivirus, δύο antispyware.

Κάποιοι ακολουθούν το δρόμο της εγκατάστασης, δύο ή και τριών προγραμμάτων ανίχνευσης ιών, απενεργοποιώντας τις λειτουργίες ανίχνευσης real time, μειώνοντας έτσι δραστικά τις πιθανότητες ασυμβατότητας. Άλλοι, στήνουν πολλαπλές virtual machines και στην καθεμιά αντικαθιστούν ένα διαφορετικό antivirus. Έτσι μπορούν να ελέγχουν με περισσότερα προγράμματα τα ύποπτα αρχεία και να σχηματίζουν μια πιο ολοκληρωμένη γνώμη για το αν πραγματικά ένα αρχείο περιέχει κάποιον ιό. Αυτή η λύση είναι ιδανική ωστόσο όχι πάντα βολική, και απαιτεί χρόνο για το στήσιμό της.

Το VirusTotal έρχεται να καλύψει κατά ένα βαθμό την ανάγκη μας να ξέρουμε τα αποτελέσματα ανίχνευσης περισσότερων από ενός antivirus για τα ύποπτα αρχεία μας. Μετά το ανέβασμα του ύποπτου αρχείου διαμέσω μιας απλής φόρμας, ξεκινά η ανίχνευση ιών με τη χρήση πολλαπλών μηχανών εντοπισμού ιών. Τα αποτελέσματα παρουσιάζονται σταδιακά με την ολοκλήρωση της ανίχνευσης για κάθε antivirus. Στο τέλος έχετε μια συνολική εικόνα που σε καμιά περίπτωση δε σας δίνει απόλυτη σιγουριά, ωστόσο σας δίνει μια ιδέα για το αν είναι πραγματικά μολυσμένο το αρχείο σας. Για παράδειγμα ένα αρχείο στο οποίο εντόπισαν ιό, 2 μόνο antivirus, είναι πιθανότερο να είναι πραγματικά καθαρό από ένα άλλο αρχείο για το οποίο δηλώνουν μόλυνση 12 antivirus.

Μια πραγματικά χρήσιμη υπηρεσία, που τη συνιστούμε ανεπιφύλακτα.

Κάτι τελευταίο. Για καλό και για κακό απόφύγετε το ανέβασμα αρχείων που περιέχουν ή δίνουν πρόσβαση σε ευαίσθητα προσωπικά δεδομένα.