Számos népszerű alkalmazásából hiányoznak olyan fontos védelmi eljárások, amelyek meggátolhatnák a hálózati támadásokat, olvashattuk a Secunia cikkében.
A dán sebezhetőségeket vizsgáló cég arra derített fényt, vajon a legnépszerűbb harmadik fél által (vagyis a Microsofttól függetlenül) fejlesztett alkalmazások használják-e a két alapvető Windows biztonsági szolgáltatást, a Data Execution Prevention (DEP) és az Address Space Layout Randomisation (ASLR) technológiákat.
A DEP a memória adatokat tartlmazó részét nem futtathatóvá jelöli meg, így időigényesebbé és komplexebbé tesz egy sebezhetőség kihasználására irányuló támadást. A DEP 2004 . augusztus 2-a óta a Windows rendszerek része.
Az ASLR a Windows Vista operációs rendszerben jelent meg 2007-ben. Használatával egy program kódja a memóriában véletlenszerűen elhelyezhető, így a tipikus rögzített memóriacímre utaló támadások működésképtelenek lesznek. Persze sem a DEP, sem az ASLR nem teszi lehetetlenné a sebezhetőségek kihasználását, de a támadásokat annyira megnehezíti, hogy sokkal több időt és erőforrást vesz igénybe egy új exploit elkészítése.
A cikk szerint számos fejlesztőcég figyelmét elkerüli a Microsoft két védelmi technológiája, pedig alklamazásuk egyszerűen történhet minden program fejlesztése során.
„Ezek a technológiák nem váltják ki a patchelést, nem is védenek meg az összes támadástól, de bizonyos esetekben meggátolhatják a sebezhetőségek kihasználását, más esetekben pedig csökkenthetik a sikeres exploitok számát.” – mondta Thomas Kristensen, a Secunia biztonsági igazgatója.
„A Microsoft rengeteget hirdeti a két védelmi eljárás szükségességét Windows 7 és Vista esetében. Minden szoftver fejlesztőnek tisztában kellene lenni ezzel, ezért nem értjük, miért nem alkalmazzák őket.” – tette hozzá Kristensen.
A vizsgált alkalmazások közé tartozik a Sun Java JRE, az Apple Quicktime, a VLC Media Player, az OpenOffice.org, a Google Picasa, a Foxit Reader, a Winamp és a RealPlayer. A cikk szerint közülük egyik sem használja a DEP-et vagy az ASLR-t.
„Főként azoknak a fejlesztőknek kellene alkalmaznia a szolgáltatásokat, akik rendszeresen kapnak jelentéseket a sebezhetőségekről. Az általunk nem vizsgált cégeknél valószínűleg még szomorúbb képet fest a védelmi technológiák alkalmazása.”- emelte ki Kristensen.
Pozitívum, hogy a DEP néhány népszerű alkalmazásban már elérhető, pl. a Mozilla Firefox, az Apple iTunes és a Safari böngésző már alkalmazza. Azonban a kivitelezés folyamata lassú és következetlen volt a rendszerek verziói között, állítja a jelentés. Sőt, az ASLR-t szinte az összes fejlesztő helytelenül használja.
„A két védelmi rendszert együtt kell alkalmazni a legjobb hatás elérése érdekében.” – mondta Kristensen.
A 16 elemzett alakalmazás közül egyedül a Google Chrome használta a DEP és ASLR technológiákat egyszerre. A Google szóvívője csütörtökön elmodta az SC Magazine-nak, hogy a Picasa követketző kiadásában már tervezik alkalmazni a védelmi eljárásokat.
„Remélem, a jövőben egyre több fejlesztő fogja használni a védelmi eljárásokat. Ezekkel ugyanis jelentősen megnehezíthetők az exploitok, így a végfelhasználók is nagyobb biztonságban lennének.” – emelte ki Kristensen.
A NETASQ, a legnagyobb európai vállalati tűzfalgyártó hazai képviselete 2011. augusztus és szeptember során 100 magyar rendszergazda körében végzett felmérést a vállalatok hálózati védelméről, az informatikai biztonságra fordított költésekről és az alkalmazott eszközökről. A felmérésből kiderül, hogy a rendszergazdák ugyan tisztában vannak a külső támadások jelentette veszélyekkel, a teljes informatikai költségvetést figyelembe véve azonban elenyészően keveset fordíthatnak az informatikai biztonság fejlesztésére, jóllehet mind a sebezhetőségek, mind a célzott külső támadások és a közösségi oldalakat látogató felhasználók potenciális veszélyt jelentenek a szervezetek hálózatára, az ott tárolt adatokra.
