Tredjeparts-software gennemhuller Vista-sikkerhed
Microsofts Windows Vista er blevet lovprist for sine sikkerhedsforbedringer. Men sikkerhedstiltagene forslår som en skrædder i Helvede, hvis tredjeparts-programmer indeholder huller.
Sikkerhedsekspert Peter Kruse fra sikkerhedsvirksomheden CSIS fortæller, at problemet opstår, når installerede tredjeparts-programmer kører med administrator-rettigheder. Det betyder nemlig, at det er muligt for hackere at bruge sikkerhedsmæssige svagheder i tredjepart-softwaren som indgang til at foretage handlinger med administrative rettigheder på Vista-maskinen.
CSIS, der bl.a. samarbejder med bankerne i forhold til it-sikkerhed og data-kriminalitet, har adskillige erfaringer med problemerne i forhold til tredjeparts-programmer og Windows. Peter Kruse fortæller, at selvom Microsoft i både XP og Vista har sikret, at styresystemet opdateres automatisk, så er en kæde ikke stærkere end det svageste led, hvilket i dette tilfælde altså er tredjeparts-programmer, som ikke er blevet automatisk opdaterede.
»Når vi modtager maskiner fra bankerne, der har været brugt til netbankindbrud, så viser det sig ofte, at grunden til, det overhovedet har kunnet lade sig gøre, skyldes at maskinerne ikke har været opdateret med relevante patches til eksempelvis Quicktime, Java og Winzip. Det er den altoverskyggende årsag,« siger Peter Kruse.
Og selvom flere tredjeparts-programmer efterhånden kommer med automatiske opdaterings-funktioner, så er der stadig mange ældre versioner af produkterne i omløb, som ikke indeholder den funktionen.
Vigtigst at opdatere tredjeparts-software
Ifølge sikkerhedseksperten så er problemet, at når en bruger installerer et program, så kræver flere applikationer administrator-rettigheder på systemet.
Og selvom Windows Vista eksplicit kræver, at brugeren tillader en applikation at køre med administrator-rettigheder, så er det alligevel problematisk. For når en bruger først har givet administrator-rettigheder til eksempelvis Apples medieafspiller Quicktime, så kan ondsindede mediefiler udnytte upatchede svagheder i afspilleren og derved opnå administrator-adgang til hele Vista-maskinen.
Peter Kruse vurderer, at problemet i forhold til tredjeparts-programmer er så kritisk, at han råder til, at man starter med at opdatere disse programmer, selvom det tidligere har været god latin først at sikre Windows og anti-virus software med opdateringer.
»I dag ser vi desværre, at alt for mange anti-virus programmer ikke kan tjekke exploits (kode rettet mod huller i software, red.), fordi de forskellige exploits som regel er obfuskeret, så de får lov at passere igennem anti-virus programmet,« siger han.
Storms næste mål
Det altid travle og gigantiske botnet Storm består ifølge Peter Kruse for øjeblikket mest af maskiner med Windows XP, mens CSIS ikke har registreret nogen inficerede Vista-maskiner. Dels fordi styresystemet umiddelbart er sværere tilgængeligt end XP set fra et hacker-synspunkt, men også fordi XP er langt mere udbredt.
»De (Storms bagmænd, red.) har ikke skrevet kode, der er decideret er rettet mod Vista, og som helt kan forbigå sikkerhedsarkitekturen i Vista - der er nogle udfordringer der,« siger Peter Kruse.
Han har dog en formodning om, at det kun er et spørgsmål om tid, før Storm rammer Vista-maskiner. Og han gætter på, at det formentligt vil ske netop gennem den sikkerhedsmæssige genvej, som tredjeparts-processer med administrative rettigheder tilbyder.
Vista har dog allerede vist sig ikke at være usårlig. Peter Kruse nævner et eksempel med et program til indbrud i netbanker, der via social-engineering lokker brugeren til at tillade programmet administrative rettigheder, hvorefter det overskriver harddiskens MBR (Master Boot Record). Og derfra har programmet fri adgang til Vista og brugerens data.
Kommentarer (7)
Man burde som forbruger af software sige nej til de programmer der (unødigt) kræver administratorrettigheder, så man på den måde kan være med til at opdrage på de firmaer der insisterer på at udvikle på denne måde.
-
0 -
0
Det er ret interessant når nu MS fanboysne fremfører hvor svært det er at have med Linux at gøre:
Hvis man f.eks. i Ubuntu og andre Debian baserede systemer (eller tilsvarende med Yast osv.) kun sørger for at installere software gennem Apt/Synaptic, ja så bliver alle applikationer selvfølgelig også patched automatisk.
Microsoft, kom igen når I har lært det!
/Christian
-
0
-
0
Præcis, Christian.
Det er jo et vedligeholdelses- og sikkerhedsmæssigt mareridt ikke at kunne styre updates af 3.-parts produkter. Det er ikke bare et teoretisk problem.
WindowsUpdate: Opdatering af core operativsystem + medleverede komponenter.
RPM/apt-baseret system: Opdatering af HELE systemet lige fra kernen og helt ud til den mindste lille media player.
Det er ganske enkelt en af de HELT store fordele ved at køre Linux frem for Windows. På de fleste andre punkter er der ikke de store positive/negative forskelle i den ene eller den andens favør. Men lige dét her rykker altså, og det undrer mig helt vildt, at dem som betaler rigtige penge for et operativsystem, ikke KRÆVER noget tilsvarende. Så vidt jeg ved eksisterer det samme problem på Mac OS?
På Windows ser man det ofte løst ved at hver enkelt lille applikation implementerer sin egen update-funktionalitet. Det er jo komplet og aldeles håbløst.
-
0
-
0
siden hvornår installerer man ikke programmer udenfor sin distributions pakke-system?!... Tror endnu ikke jeg har haft en linux-installation (privat) hvor det ikke var tilfældet.. problemet er selvfølgelig ikke så udtalt som ved et windows system, men det findes..
-
0
-
0
Du har da helt ret i at man sagtens kan installere uden for pakkesystemet, men så er det at Average-Joe brugeren et stået af, dvs. han holder sig typisk inden for pakkesystemet (som faktisk også er ret omfattende).
Dem der så installerer noget udenfor pakkesystemet er som regel så rimeligt velvidende om hvad de gør, og dermed også bevidste om hvad det er de installerer.
Endvidere er der så også meget trediepartsprogrammel der slet ikke kræver root rettigheder, men som bare installeres (husk at man i Linux verdenen heller ikke har en tåbelig registreringsbase at skulle slås med) i brugerens hjemmebibliotek - dvs ingen problem med sikkerheden.
Problemet er at den almindelige dåsebruger, som iøvrigt kører som admin fordi det nu er lettest, bare ved at klikke kan forårsage alskens ulykker.
DET sker ikke under Linux, kun hvis man er tåbelig nok til som standard at køre som root, og så fortjener man heller ikke bedre.
/Christian
-
0
-
0
Virtual PC 2004 kræver faktisk heller ikke administrator rettigheder. Hos mig har de begrænsede brugere kun læsning og læsning og kørsel rettigheder til programmet.
-
0
-
0
Glemte at skrive, at VPC 2004 kører under XP Pro med NTFS som filsystem. Gæst OS er bl.s OpenSuse 10.2.
-
0
-
0
