Vyhýbáte se aktualizacím? Jste nezodpovědní a ohrožujete společnost [komentář]

23. 5. 2017

Sdílet

 Autor: Redakce
Ve světle úspěšných útoků ransomwaru WannaCry stojí za to si připomenout, že aktualizace softwaru smysl mají. Kdo všechno nese zodpovědnost za šíření WannaCry? Kdo nese zodpovědnost za stav Androidu?

Koho trápí (ne)trápí zabezpečení?

Od 12. května začal na počítače po celém světě útočit ransomware WannaCry. Oficiálně útočil na počítače s Windows XP až Windows 7. Desítky byly v tomto konkrétním případě úplně z obliga, protože v nich ransomware nefungoval. Díky firmě Kaspersky Lab jsme se ale dozvěděli, že napadání strojů s Ikspéčky nebylo na pořadu dne. Více než 98 % napadených strojů pohání Windows 7.

Zabezpečení (Ilustrační foto) Zabezpečení (Ilustrační foto)

Není to zvláštní? Zhruba sedmiprocentní podíl používanosti Windows XP má na svědomí především Čína a nelze očekávat, že to bude natolik lukrativní „trh“. Kdo používá počítač s Ikspéčky, bude obecně vzato skoro určitě méně ochotný zaplatit nehledě na důvod. Sedmičky se používají po celém světě, tedy i v bohatých západních zemích. I podle Microsoftu loni pět největších ransomwarů útočilo primárně v bohatších zemích a Čína k nim nepatřila.

Nejvíce napadené země Nejvíce napadené země ransomwarem WannaCry

Cílem ransomwaru je vydělat peníze. O tom, jestli WannaCry uspěl, lze polemizovat. Tedy, svému tvůrci či tvůrkyni vydělal více než drobné kapesné, nejedná se však o jednoznačně závratnou sumu. Software požadoval zaplacení výkupného jen ve výši 300 dolarů do tří dní, případně 600 dolarů do sedmi dní. Podle nejčerstvějšího údaje ze dne 22. května WannaCry obdržel 296 plateb v přepočtu za zhruba 100 000 dolarů. Tj. kolem 2,4 milionu korun.

Na celosvětový útok jde podle mě o skromnou částku (byť se zatím nejedná o částku konečnou), ransomwary běžně vyžadují vyšší výkupná. Což je z naše pohledu ta lepší zpráva. O skutečném cíli můžeme pouze spekulovat a nejistota je spojená také s tím, že zatím nevíme, kdo má útok na svědomí. Prozatímní pátrání naznačuje, že by tento škodlivý kód mohl pocházet z KLDR. Není to ovšem zatím stále potvrzené a ve hře jsou další možnosti. To nicméně nepovažuji za podstatné.

Stanovení rizikovosti

Podstatné je, že WannaCry celý svět „vyškolil“ v oblasti zabezpečení. Za sebe říkám, že nezbývá než doufat, že to pro dotčené organizace či jednotlivce byla cenná lekce. Než podlehneme emocím a budeme očerňovat Windows z toho, jak je to nemožný software, rád bych uvedl na pravou míru jednu věc. Každý software připojený k síti je potenciálně napadnutelný.

Je to podobné, jako když jedete autem po silnici – automaticky se tím vystavujete riziku autonehody. Tím, že žijete, se vystavujete riziku smrti, kdybych měl s přirovnáním zajít do absurdna. Žádný software pak není bez chyby, protože bez chyby nemůže být nic. Jde jen o to, minimalizovat rizika, protože úplně se jim vyhnout nelze. Není to v možnostech našich, neumožňuje nám to tento svět. Můžeme jen do jisté míry ovlivňovat míru rizika.

WCry může vydírat i v češtině WCry může vydírat i v češtině

Když používáte méně rozšířený software, existuje nižší pravděpodobnost, že se někdo bude obtěžovat hledat v něm zranitelná místa a programovat pro danou platformu škodlivý kód. Když budete používat nejnovější verze softwarů, opět tím snižujete riziko zneužití. A když budete používat nejrozšířenější desktopový operační systém, můžete si být jistí tím, že právě ten bude ve hledáčku kriminálních živlů.

Novější aplikace vám poskytuje jednak obyčejné záplaty na jednotlivá zranitelná místa, jednak ale může obsahovat úplně nové prvky zabezpečení. Ty pak působí jako nový obranný val a jedná se o proaktivní řešení ve srovnání s modelem záplatování starého softwaru s překonanými prvky zabezpečení. Digitální hrozby se vyvíjí a v určitém bodě už nemusí stačit jen vyplňovat starou karoserii tmelem. Některé z novinek jsou ovšem neviditelné.

Z viditelných novinek mne napadá Řízení uživatelských účtů, které se poprvé objevilo ve Vistě. Protože tento prvek Windows XP neměl, nemohl poskytovat ochranu proti útokům, proti kterým bylo Řízení uživatelských účtů navrženo. Je proto čistě z hlediska zabezpečení vždy lepší používat nejnovější vydání softwaru – snad až na čestné výjimky, byť mě nenapadá ani jedna. Při útoku WannaCry se tak např. potvrdilo, že Desítky poskytují lepší ochranu než sedm let staré Sedmičky. Bylo by vlastně velmi zvláštní, kdyby tomu tak nebylo.

Podceňování zabezpečení

Ve své nahotě se však ukázal jiný problém. Napadeno bylo jen velmi málo počítačů s Windows XP. To je přitom nepodporovaný systém, který poslední standardní balík záplat obdržel v roce 2014. (A teď mimořádně záplatu díry, kterou zneužíval WannaCry.) Zato se ransomware úspěšně prokopal do počítačů s Windows 7, což je stále podporovaný operační systém. Někdy útočnictvo využije dosud neznámou díru. Jenže to nebyl případ WannaCry.

Vyhýbání se instalaci aktualizací nechává dveře otevřené pro malware různého druhu Vyhýbání se instalaci aktualizací nechává dveře otevřené pro malware různého druhu

Microsoft totiž příslušnou záplatu uvolnil v březnu, takže by počítače s Windows 7 měly být chráněné. Jak je možné, že počítače se Sedmičkami podlehly nákaze v květnu? Lze to nazvat nezodpovědností lidí, kteří nezáplatují systém. Bylo dost času na to, aktualizace aplikovat. Sám jsem vždy doporučoval aktualizace instalovat a službu Windows Update nevypínat.

Je ovšem otázka, kolika se to týká jednotlivců. Ačkoli se v internetových diskuzích najdou tací, kteří důrazně doporučují vypínat aktualizace, nemyslím, že se v součtu jedná o tolik lidí. Napadeno bylo prokazatelně mnoho organizací. Kdyby vás zajímala jména, komunitou spravovaný seznam najdete na Wikipedii. Víme, že pro firemní prostředí je zabezpečení aspoň teoreticky jednou z nejzásadnějších hodnot. Současně firmy platí za konzervativní prostředí, které nerado zbytečně investuje.

Odkládání instalace aktualizací

Upgrady operačních systémů jsou typicky odkládány, aby nebyla narušena kompatibilita používaných aplikací či zařízení. Což je ovšem rovněž platný argument. Jenže nejde jenom o upgrady, později jsou očividně pozdě nasazovány také záplaty. Ačkoli lze pochopit, že musí dotyčný člověk ve firmě nejprve aktualizace otestovat, zda nepřináší nějaké problémy s používaným vybavením, výraznější odkládání instalace má reálný dopad na zabezpečení.

Totéž platí v domácnostech, kde opět nelze přehlížet občasnou problémovost distribuovaných aktualizací. (Vzpomeňme na patálie s Anniversary Updatem.) Obecně takové situace ale na denním pořádku nejsou a případné problémy se obvykle týkají jen malého procenta lidí z celé uživatelské základny. Na jedné straně máme potenciální potíže s novými aktualizacemi, na druhé straně odkládáním instalace zvyšujeme riziko, že počítače podlehne nějakému škodlivému kódu.

Proč se WannaCry šíří?

Windows 10 je pro někoho druhý extrém

Desítky zavedly nový pořádek, kdy aktualizace nešlo vypnout. Byla to v principu solidní pojistka proti nezodpovědnému chování, ale jednalo se o další extrém, který může někoho občas poškodit. Pokud jste měli problém s aktualizací, nemohli jste se mu vyhnout. Významné zlepšení v tomto ohledu představuje Creators Update, kde lze příjem aktualizací pozastavit až o 35 dní.

Zabezpečení (Ilustrační foto) Zabezpečení (Ilustrační foto)

Microsoft v tomto vydání přinesl také další možnosti, jak se vypořádat s případnými problémovými aktualizacemi, aby byl celý aktualizační proces co nejméně protivný. Potíž spočívá v tom, že tyto funkce nejsou dostupné v edici Home, což považuji za vyloženě hloupé rozhodnutí. Část uživatelů a uživatelek sice instalujete servisní aktualizace, ale v případě potíží jim nezbývá než vydržet do doby, kdy bude uvolněně na oprava. Nelze se divit, že se jim proces aktualizování softwaru znechutit. Tuto nechuť si s sebou mohou nést i v dalších letech – to nepovažuji za dobrou výchovu.

Přitom design funkce pro odkládání instalace aktualizací ve Windows 10 Creators Update naznačuje, že je vhodná pro všechny edice Windows. Microsoft nám dává možnost, jak dočasně vypnout instalaci aktualizací v případě, že dojde k potížím s konkrétní aktualizací. Dočasně není trvale (pořád si myslím, že je dobře, že Windows Update nelze trvale vypnout), přitom tím firma mírní nastavený extrém. Jedná se o zlatou střední cestu vyvažující funkčnost a zabezpečení.

Čí je vina, že se WannaCry šíří?

Jak dokazuje nedávný případ ransomwaru WannaCry, trvalé vypnutí aktualizací je neoddiskutovatelně hloupé. A jejich přílišné odkládání může způsobit potíže zrovna tak. Mějte na paměti, že vyhýbáním se aktualizací přitom neohrožujete pouze sami sebe. Opět pro příklad nemusíme chodit daleko. Pokud budete řídit pod vlivem alkoholu, tak kromě vlastního života ohrozíte všechny další účastníky a účastnice provozu, případně pasažérky a pasažéry, kteří cestují s vámi.

Takhle vypadá vyděračská obrazovka Takhle vypadá vyděračská obrazovka

Podobné je to s očkováním. Nemoci, které byly prakticky vyhubené, se začaly znovu častěji objevovat. Proč? Protože neočkovaný člověk umožňuje přenos nemoci. Sám ji šíří dál a infikuje společnost. Pamatujete na moudro, že řetěz je tak silný jako jeho nejslabší článek? Pokud používáte starý a děravý software pro přístup k sítím, ohrožujete tím také ostatní zařízení v síti – některá přímo, jiná nepřímo.

To je odpověď na otázku, kdo může za šíření WannaCry. Podobně lze ovšem odpověď i v případech jiných podobných bezpečnostních hrozeb. V tomto případě nelze vinit Microsoft, protože ten příslušnou záplatu vydal v březnu, tedy zhruba dva měsíce před zahájením tažení WannaCry. Ten, kdo nedokázal za tuto dobu nainstalovat záplaty, je neodpovědný a zřejmě neefektivní.

Je větší riziko neaktualizovat, nebo aktualizovat?

Dnešní doba je rychlá a WannaCry nám ukázal, že čekat s instalací dva měsíce je pozdě. Myslím, že možnost odkladu instalace aktualizací ve Windows 10 Pro nám ukazuje vhodný kompromis. Instalace by neměla být odložena o více než několik týdnů, jinak ohrožujete data svoje, ale mnohdy také pomůžete v šíření hrozeb napříč sítí. Každý z nás, kdo provozuje počítač, nese tvůj díl zodpovědnosti. Část zodpovědnosti ovšem nese rovněž Microsoft.

Ten má vybudovanou infrastrukturu na distribuci aktualizací, teď jde jen o to, aby na ohlášené hrozby včas reagoval. Ačkoli někdy instalace aktualizací může způsobit problémy, problémy nepochybně způsobí to, že se instalaci budete úplně vyhýbat. Podobné je to ostatně se zmíněným očkováním. V případě očkování proti spalničkám je rizikovost samotného očekávání mnohem nižší než výskyt rizik spojených s nemocí.

code hand security bezpečnostZachraňovat data z infikovaného počítače může být problematičtější a náročnější než se vypořádat s občasnými problémy při instalacích aktualizací. (Které navíc až na výjimky nelze nazvat plošnými.) Někdy o data nadobro přijdete. To nemluvím o tom, že podceňujeme zálohování, což je další lekce, kterou nám udělil WannaCry. Obnova ze zálohy je v takovém případě nejspolehlivějšími a nejlevnějším řešením. Někdy to může být jediné možné řešení.

Přehlížený problém v podobě Androidu

Ačkoli byl poslední velký útok cílený primárně na Sedmičky, nepřestává platit, že používat Ikspéčka na počítači připojeném k internetu je velice nezodpovědné. V posledních dnech mi v souvislosti s tím více než kdy dřív připadá nanejvýš komické, že se zabezpečení neřeší na mobilech. Konkrétně se neřeší na smartphonech s Androidem. Google se chlubí tím, že lidé na celém světě používají dvě miliardy zelených zařízení.

Jen 0,5 % z nich, tj. asi 10 milionů, používá úplně poslední řadu Androidu. Jak jsem ovšem uvedl výše, hlavní verze softwaru není ten nejdůležitější ukazatel. Nad ním stojí distribuce záplat pro danou řadu softwaru. Není vůbec zábavné sledovat příliš krátkou životnost zařízení, včetně těch nejdražších. Jistě, distribuce záplat je na mobilech komplikovanější, ale může za to z velké části Google. Nikdo jiný než on s tím nic neudělá.

Zařízení Nexus mají garantován pravidelný měsíční přísun záplat po tři roky od uvedení na trh. Není to moc, ve světě Android to lze považovat za malý zázrak Zařízení Nexus mají garantován pravidelný měsíční přísun záplat po tři roky od uvedení na trh. Není to moc, ve světě Androidu to však lze považovat za malý zázrak

Zanedbávána jsou dokonce i drahá zařízení. Např. LG pro svou dva roky starou vlajkovou loď G4 dodalo Android 6 začátkem roku 2016 s tím, že distribuce mohla někde trvat déle. Až v létě 2016 dostal evropský model servisní aktualizaci. Nejméně půl roku tak byla část zařízení G4 děravá. A co hůř, např. evropská verze mobilu má oficiálně stále záplaty skoro tři čtvrtě roky staré. Jen v některých regionech se objevují softwary s novějšími záplatami. Tohle má být vzorová podpora ve své době nejlepšího mobilu od LG?

V případě smartphonů nesou vinu výrobci zařízení, operátoři a pak výrobce systému. V neposlední řadě se to týká také lidí, kteří smartphony s Androidem kupují, byť reálně moc na výběr nemají. iPhony nejsou cenově dostupné a jiná vhodná alternativa dnes neexistuje. Nejméně stovky milionů zařízení s Androidem představují bezpečnostní problém, který nyní ignorujeme. Přestaneme jej ignorovat, až na tyto smartphony plošně zaútočí malware podobně jako v případě počítačů WannaCry?