Vyhýbáte se aktualizacím? Jste nezodpovědní a ohrožujete společnost [komentář]

Ve světle úspěšných útoků ransomwaru WannaCry stojí za to si připomenout, že aktualizace softwaru smysl mají. Kdo všechno nese zodpovědnost za šíření WannaCry? Kdo nese zodpovědnost za stav Androidu?

10

1Koho trápí (ne)trápí zabezpečení?

Zabezpečení (Ilustrační foto)

Od 12. května začal na počítače po celém světě útočit ransomware WannaCry. Oficiálně útočil na počítače s Windows XP až Windows 7. Desítky byly v tomto konkrétním případě úplně z obliga, protože v nich ransomware nefungoval. Díky firmě Kaspersky Lab jsme se ale dozvěděli, že napadání strojů s Ikspéčky nebylo na pořadu dne. Více než 98 % napadených strojů pohání Windows 7.

Není to zvláštní? Zhruba sedmiprocentní podíl používanosti Windows XP má na svědomí především Čína a nelze očekávat, že to bude natolik lukrativní „trh“. Kdo používá počítač s Ikspéčky, bude obecně vzato skoro určitě méně ochotný zaplatit nehledě na důvod. Sedmičky se používají po celém světě, tedy i v bohatých západních zemích. I podle Microsoftu loni pět největších ransomwarů útočilo primárně v bohatších zemích a Čína k nim nepatřila.

Nejvíce napadené země
Nejvíce napadené země ransomwarem WannaCry

Cílem ransomwaru je vydělat peníze. O tom, jestli WannaCry uspěl, lze polemizovat. Tedy, svému tvůrci či tvůrkyni vydělal více než drobné kapesné, nejedná se však o jednoznačně závratnou sumu. Software požadoval zaplacení výkupného jen ve výši 300 dolarů do tří dní, případně 600 dolarů do sedmi dní. Podle nejčerstvějšího údaje ze dne 22. května WannaCry obdržel 296 plateb v přepočtu za zhruba 100 000 dolarů. Tj. kolem 2,4 milionu korun.

Na celosvětový útok jde podle mě o skromnou částku (byť se zatím nejedná o částku konečnou), ransomwary běžně vyžadují vyšší výkupná. Což je z naše pohledu ta lepší zpráva. O skutečném cíli můžeme pouze spekulovat a nejistota je spojená také s tím, že zatím nevíme, kdo má útok na svědomí. Prozatímní pátrání naznačuje, že by tento škodlivý kód mohl pocházet z KLDR. Není to ovšem zatím stále potvrzené a ve hře jsou další možnosti. To nicméně nepovažuji za podstatné.

Stanovení rizikovosti

Podstatné je, že WannaCry celý svět „vyškolil“ v oblasti zabezpečení. Za sebe říkám, že nezbývá než doufat, že to pro dotčené organizace či jednotlivce byla cenná lekce. Než podlehneme emocím a budeme očerňovat Windows z toho, jak je to nemožný software, rád bych uvedl na pravou míru jednu věc. Každý software připojený k síti je potenciálně napadnutelný.

Je to podobné, jako když jedete autem po silnici – automaticky se tím vystavujete riziku autonehody. Tím, že žijete, se vystavujete riziku smrti, kdybych měl s přirovnáním zajít do absurdna. Žádný software pak není bez chyby, protože bez chyby nemůže být nic. Jde jen o to, minimalizovat rizika, protože úplně se jim vyhnout nelze. Není to v možnostech našich, neumožňuje nám to tento svět. Můžeme jen do jisté míry ovlivňovat míru rizika.

WCry může vydírat i v češtině
WCry může vydírat i v češtině

Když používáte méně rozšířený software, existuje nižší pravděpodobnost, že se někdo bude obtěžovat hledat v něm zranitelná místa a programovat pro danou platformu škodlivý kód. Když budete používat nejnovější verze softwarů, opět tím snižujete riziko zneužití. A když budete používat nejrozšířenější desktopový operační systém, můžete si být jistí tím, že právě ten bude ve hledáčku kriminálních živlů.

Novější aplikace vám poskytuje jednak obyčejné záplaty na jednotlivá zranitelná místa, jednak ale může obsahovat úplně nové prvky zabezpečení. Ty pak působí jako nový obranný val a jedná se o proaktivní řešení ve srovnání s modelem záplatování starého softwaru s překonanými prvky zabezpečení. Digitální hrozby se vyvíjí a v určitém bodě už nemusí stačit jen vyplňovat starou karoserii tmelem. Některé z novinek jsou ovšem neviditelné.

Z viditelných novinek mne napadá Řízení uživatelských účtů, které se poprvé objevilo ve Vistě. Protože tento prvek Windows XP neměl, nemohl poskytovat ochranu proti útokům, proti kterým bylo Řízení uživatelských účtů navrženo. Je proto čistě z hlediska zabezpečení vždy lepší používat nejnovější vydání softwaru – snad až na čestné výjimky, byť mě nenapadá ani jedna. Při útoku WannaCry se tak např. potvrdilo, že Desítky poskytují lepší ochranu než sedm let staré Sedmičky. Bylo by vlastně velmi zvláštní, kdyby tomu tak nebylo.

Podceňování zabezpečení

Ve své nahotě se však ukázal jiný problém. Napadeno bylo jen velmi málo počítačů s Windows XP. To je přitom nepodporovaný systém, který poslední standardní balík záplat obdržel v roce 2014. (A teď mimořádně záplatu díry, kterou zneužíval WannaCry.) Zato se ransomware úspěšně prokopal do počítačů s Windows 7, což je stále podporovaný operační systém. Někdy útočnictvo využije dosud neznámou díru. Jenže to nebyl případ WannaCry.

Vyhýbání se instalaci aktualizací nechává dveře otevřené pro malware různého druhu
Vyhýbání se instalaci aktualizací nechává dveře otevřené pro malware různého druhu

Microsoft totiž příslušnou záplatu uvolnil v březnu, takže by počítače s Windows 7 měly být chráněné. Jak je možné, že počítače se Sedmičkami podlehly nákaze v květnu? Lze to nazvat nezodpovědností lidí, kteří nezáplatují systém. Bylo dost času na to, aktualizace aplikovat. Sám jsem vždy doporučoval aktualizace instalovat a službu Windows Update nevypínat.

Je ovšem otázka, kolika se to týká jednotlivců. Ačkoli se v internetových diskuzích najdou tací, kteří důrazně doporučují vypínat aktualizace, nemyslím, že se v součtu jedná o tolik lidí. Napadeno bylo prokazatelně mnoho organizací. Kdyby vás zajímala jména, komunitou spravovaný seznam najdete na Wikipedii. Víme, že pro firemní prostředí je zabezpečení aspoň teoreticky jednou z nejzásadnějších hodnot. Současně firmy platí za konzervativní prostředí, které nerado zbytečně investuje.

Odkládání instalace aktualizací

Upgrady operačních systémů jsou typicky odkládány, aby nebyla narušena kompatibilita používaných aplikací či zařízení. Což je ovšem rovněž platný argument. Jenže nejde jenom o upgrady, později jsou očividně pozdě nasazovány také záplaty. Ačkoli lze pochopit, že musí dotyčný člověk ve firmě nejprve aktualizace otestovat, zda nepřináší nějaké problémy s používaným vybavením, výraznější odkládání instalace má reálný dopad na zabezpečení.

Totéž platí v domácnostech, kde opět nelze přehlížet občasnou problémovost distribuovaných aktualizací. (Vzpomeňme na patálie s Anniversary Updatem.) Obecně takové situace ale na denním pořádku nejsou a případné problémy se obvykle týkají jen malého procenta lidí z celé uživatelské základny. Na jedné straně máme potenciální potíže s novými aktualizacemi, na druhé straně odkládáním instalace zvyšujeme riziko, že počítače podlehne nějakému škodlivému kódu.

Předchozí

10 KOMENTÁŘE

  1. Rozšíření viru způsobila především neschopnost uživatele sedícím před počítačem a nikoliv operačním systémem. Toto jen potvrzuje, že tu děláte PR na Mrkvosoft a jejich super aktualizace s telemetrií.

    • WannaCry byl hromadně rozeslán v e-mailech a do počítačů se dostal pitomostí uživatelů. Dál se ovšem šířil v sítích nezazáplatovanou dírou v implementaci protokolu SMB 1.0. Být záplatovaná, rozšíření viru by bylo několikanásobně menší.

  2. „nezodpovědností lidí, kteří nezáplatují systém“
    “ potenciální potíže s novými aktualizacemi“

    A o tom to je. Microsoft odmita aktualizovat pocitace s Windows 7 a procesorem Kaby Lake a RyZen, pritom Windows 7 ma podporu do roku 2020. Aktualizace tak musite stahovat rucne!

    Microsoft netestuje aktualizace tak, jak by mel a proto po instalaci aktualizaci dochazi k problemum s OS, tim Microsoft prispiva k tomu, aby lidi aktualizovali se zpozdenim nebo neaktualizovali vubec.

    Microsoft pridava k aktualizacim Windows 7 telemetrii, pritom v dobe vydani Windows 7 uzivatelum nerekl, ze to bude delat. Chapu uzivatele, kteri telemetrii nechteji a Microsoft svevolnym pridanim telemetrie nuti lidi k tomu , aby neaktualizovali.

    Jednoduse na vine je predevsim Microsoft. Nemam nic proti automatickym aktualizacim Windows 10, nemam nic proti zabudovane telemetrii ve Windows 10, ale u tohoto systemu bylo dopredu znamo, ze tam tyto dve veci budou a uzivetele se mohli rozhodnout, jestli ten system chteji nebo nechteji. Konkurence v podobe linuxu bez telemetrie existuje a je vsem dostupna, tudiz kazdy mel moznost se rozhodnout. V pripade Windows 7 jsou to ale veci, ktere v dobe, kdy si lide Windows 7 kupovali, nebyly v OS pritomny a byly dodany az pozdeji. Lide se tak nemeli moznost rozhodnout!

  3. „Při útoku WannaCry se tak např. potvrdilo, že Desítky poskytují lepší ochranu než sedm let staré Sedmičky.“
    – Toto nelze z útoku jednoznačně říci. I systém s jednou jedinou zranitelností může být napadanější než nějaký jiný s desítkami chyb. A který systém tedy poskytuje lepší ochranu? Dá se to vůbec takto generalizovat?

    „Jak je možné, že počítače se Sedmičkami podlehly nákaze v květnu? Lze to nazvat nezodpovědností lidí, kteří nezáplatují systém.“
    – Položil bych si jinou otázku, Proč lidé ve velkém vypínaly aktualizace ve Windows 7? Důvodů mě napadá hned několik a máslo a hlavě má především MS.

    „Jenže nejde jenom o upgrady, později jsou očividně pozdě nasazovány také záplaty.“
    – Pokud by šlo opravdu jen o bezpečnostní záplaty, zpoždění při nasazování by mohlo být menší, než když se mezi záplaty najednou přimíchá nechtěná funkcionalita. Situaci ještě zhorší, když takové nechtěné záplaty v Microsoftu označí jako „Security update“.

    Microsoft se rozhodl používat Windows Update jako nástroj k ovládání počítačů uživatelů (a uživatelek 🙂 ) a proto se nemůžeme divit, že je Windows Update ve zvýšené míře bojkotován.

    • Přesně tak to je. Jako že existují počítače i s jiným OS než Windows (fakt jsem neslyšel že by zmiňovaný „vir“ napadl něčí PC dejme tomu s Ubuntu), které taky patří do množiny všech PC (ano vohnouti, je to malá podmnožina, ale existuje) to ty jejich studie a výzkumy naprosto ignorují, protože by vyšlo najevo, že za vším je třeba hledat Microsoft a to je názor naprosto nepřijatelný ….

      • Hele, „za vším je třeba hledat Microsoft“ je prostě demagogie.:D
        Ubuntu se mezi obětmi toho viru nevyskytovalo nejspíš proto, že má jiné díry než Windows = nemůže jet na stejné vlně. A jeho uživatelé prostě nejsou dostatečně výnosná cílovka pro autory virů. Není to tím, že jde o dokonalý systém.:)

        Jinak se přiznám, že patřím do skupiny lidí, kterou MS dokopal k vypnutí aktualizací kvůli agresivnímu cpaní reklamy na W10 do kritických záplat sedmiček. A pak už jsem je radši znova nezapínal…
        MS update má pro mne stejnou důvěryhodnost jako reklamy na zvětšení jistých partií – je nepravděpodobné, že kliknutím dostanete to, co je slibováno, ale je celkem jisté, že dostanete něco, o co jste fakt nestáli.

  4. Včera byl na ČT2 skvělý dokument s názvem Co dokáže lež. Bylo to o problematice dezinformačních webů, médií, o lidech kteří je tvoří a proč … o hlouposti lidí kteří je čtou a bezmezně jim věří atd. atp. Co budete pane Urbane psát, až vohnouti typu Petyho začnou konečně myslet, nebo si alespoň, ideálně na nějakém placeném přehrávači či webu , (jak jinak – archiv ČT není IN a COOL) si tenhle dokument prohlédnou, zamyslí se nad ním, nad sebou a odhali o co vám ve skutečnosti jde? Mluvil tam i jeden váš kolega, který otevřeně řekl, že lidi chtějí číst kraviny, tak jim je prostě dávají a protože weby s kravinama jsou ty nejsledovanější, jsou z nich logicky i pěkné prachy z reklamy … to jen tak naokraj ….