Microsoft (Wikimedia/Johannes Hemmerlein)

Útoky na řadu firem po celém světě, včetně Google nebo Yahoo, jsou v poslední době mediálně nejznámějšími důsledky zranitelností, které sužují jak webový prohlížeč Internet Explorer, tak i samotné Windows. Microsoft v těchto dnech radí, jak zabránit napadení počítačů s jeho softwarem a zároveň poněkud alibisticky odkazuje na studie, podle nichž patří Internet Explorer mezi nejbezpečnější prohlížeče na trhu.

18. ledna společnost Microsoft vydala tiskovou zprávu, v níž dává několik rad, jak se bezpečně pohybovat na internetu. Její znění je následující:

Dne 14. ledna obdržel Microsoft upozornění na možnost zneužití Internet Exploreru, které v některých specifických případech umožňuje na dálku spustit na počítači uživatele škodlivý kód. Do současné doby bylo zaznamenáno jen několik útoků proti verzi Internet Explorer 6, které byly vedeny po navštívení infikovaných webových stránek. Uživatelé by proto měli minimalizovat návštěvy neznámých webový stránek, neotevírat e-maily od neznámých uživatelů, neklikat na odkazy v neznámých e-mailech a pravidelně stahovat aktualizace softwaru.

Hned následující den po prvních testech Microsoft vydal doporučení, jak riziko minimalizovat. Těmito kroky jsou přechod na poslední verzi Internet Explorer 8 (IE8), nastavit zabezpečení Internet Exploreru na vysoký stupeň („High“), povolit tzv. DEP (Data Execution Prevention – v IE8 je toto nastavení automatické), dále mít zapnutý firewall, aktuální antivirový program a mít nainstalované všechny bezpečností aktualizace. Microsoft v současné chvíli na opravě chyby pracuje.

V loňském roce proběhlo několik studií bezpečnosti webových prohlížečů (celou zprávu naleznete na adrese http://nsslabs.com/browser-security), ze kterých vyplynulo, že poslední verze Internet Exploreru patří mezi nejbezpečnější na trhu.“

Dohady kolem toho, který prohlížeč je bezpečnější, jsou už takovým koloritem. Ovšem i Microsoft při srovnávání počtu známých děr v různých konkurenčních prohlížečích a jiném softwaru poněkud „zapomíná“ na jednu zásadní věc: a to, že počet nalezených zranitelností není možné ztotožnit se závěrem, že jejich menší počet znamená vyšší bezpečnost. Zásadní rozdíl totiž je, že například Firefox má otevřené zdrojové kódy: to znamená, že do nich může nahlédnout řada lidí, mohou je zkoumat a hledat problémy. Zdrojové kódy Internet Exploreru dostupné nejsou a kontrolovat je může jen Microsoft.

Najde-li se díra ve Firefoxu (nebo jiném otevřeném prohlížeči), chyba je nahlášena a rychle opravena. U Internet Exploreru to však chodí často tak, že Microsoft čeká — čeká, až se objeví účinný zákeřný kód, který díru v Internet Exploreru začne zneužívat. Potom firma možná záplatu vydá, možná také ne — a záleží na rychlosti, s jakou ji vydá. Takových příkladů je celá řada, viz z poslední doby například články:

• Microsoft věděl i o další závažné zranitelnosti. Přesto s ní nic nedělal
• Microsoft o kritické chybě možná ví už od roku 2007
• Microsoft: o kritické zranitelnosti opravdu víme déle než rok

Daleko horší, jak tomu bylo v tom případě, je, když jde o tzv. zero-day zranitelnost. O také zranitelnost nikdo kromě útočníků (kteří přes ní napadají systémy) neví a Microsoft musí zkoumat, co se vlastně děje. V takovém případě je každý den bez záplaty nebezpečný pro uživatele, hlavně ty firemní, jak se stalo i teď.

Z počtu nalezených děr skutečně nejde odvodit závěr o bezpečnosti softwaru. Stačí však sečíst útoky, které přes takový software (na takový software) jsou vedeny a závěry už svou váhu mají. Totéž platí u operačních systémů na bázi Linuxu a Windows: kdosi může porovnávat počet děr ve Windows a Linuxu, a dojít k závěru, že nejnovější Windows jsou nejbezpečnějším OS na trhu. Ale taková informace je zcela bezcenná. Kódy Linuxu jsou přístupné všem zájemcům, opět se tak v nich mohou vrtat a hledat problémy. Oprava díry pak na sebe nenechá dlouho čekat. S Windows je to zase zcela opačné. Navíc samotná „díra“ ještě neznamená, že lze přes ní automaticky provádět útoky a přebírat kontrolu nad stroji.

Jinak řečeno: zkusme najít počet funkčních zákeřných kódů (virů, trojských koní apod.), které ohrožují linuxové nebo podobné systémy, a srovnejme je s počtem malwarových vzorků a útoků na systémy Windows. V prvním případě se takové číslo limitně blíží nule. V druhém… Podobně tomu je u dalšího softwaru včetně prohlížečů.

Jestliže německý Úřad pro informační bezpečnost radí, aby lidé začali namísto Internet Exploreru používat jiný prohlížeč, pak taková rada je opravdu smysluplnější než to, že Microsoft v době útoků na jeho systémy řekne, že Internet Explorer (přes který tyto útoky probíhají) patří mezi nejbezpečnější prohlížeče na trhu.