Domů

Profipatch značky Microsoft

Přihlásit se
eArchiv

Profipatch značky Microsoft

Pravidelné měsíční záplaty by měly být nedílnou součástí každého bezpečného operačního systému. Za celým procesem je však dlouhá mašinerie.
ULI RIES

Je 13. dubna a odehrává se stejný scénář jako již 9. března, 9. února nebo 12. ledna tohoto roku. Je totiž druhé úterý v měsíci a hodiny ukazují pár minut před desátou ranní. V jedné přízemní kanceláři budovy 27 v Microsoftu se z reproduktoru line rocková hudba. Dva pánové v oblecích na sebe kývnou hlavou a jeden z nich mačká červené tlačítko, aby vypustil bezpečnostní aktualizace – tak jako každý měsíc.
Stisknutím červeného tlačítka však vše teprve začíná. Je to ovladač od napájení počítače. Ten se musí spustit a teprve po několika kliknutích myší jsou aktualizace opravdu vypuštěny do internetu. Show je pro tento měsíc u konce a unavení zaměstnanci se mohou jít konečně vyspat. Mnozí totiž poslední dny trávili dlouhými přesčasy a nočními směnami, při kterých se dopovali jídly z fast foodů, množstvím koly i kávy. Tak to chodí v Redmondu, když se vypouštějí aktualizace.
Druhé úterý v měsíci je tak označováno jako "Patch Tuesday" – tedy neoficiálně, protože v Microsoftu tento výraz slyší jen neradi. Překlad anglického "patch" totiž ze všeho nejlépe vystihuje slovo záplata, tedy prostředek, jehož pomocí se nouzovým způsobem opravují díry na starém oblečení. Raději proto používají výraz "update" neboli aktualizace. O tom, že aktualizace budou vycházet v pravidelných měsíčních intervalech, se v Redmondu rozhodlo v říjnu roku 2003. Zejména firemní zákazníci totiž požadovali pravidelný cyklus, neboť náhodně vycházející aktualizace byly problémem při správě velkého množství počítačů připojených do sítě.

Software z doby kamenné: Starý kód zdrojem bezpečnostních mezer

Jak vlastně Microsoft přijde na to, že se v jeho kódu objevila bezpečnostní mezera? Odkud se Microsoft dozví, že by měl vydat nějakou záplatu? Jedno je jisté: v Redmondu není nikdo překvapený, pokud se nová bezpečnostní díra objeví. Se zranitelností takto komplexních softwarových produktů se jednoduše počítá dopředu. Obsahují miliony řádků kódu. Řada z nich navíc přechází z předchozích verzí. Byli byste jistě překvapeni, jaké množství kódu pochází z operačních systémů "z doby kamenné". Pro příklad nemusíme chodit daleko: až v únoru letošního roku byla opravena chyba, která se objevila ve Windows 3.1. Chyba z roku 1993 se objevila ve všech 32bitových Windows, včetně Windows 7. Díru objevil Tavis Ormandy ze společnosti Google.
Spoustu bezpečnostních děr ovšem objevují samotní experti Microsoftu. Rychle pak vyvíjí záplatu, aby díru uzavřeli a hackeři neměli žádnou šanci. Experti čerpají z různých zdrojů. Přímo v Redmondu pracuje tým lidí, kteří navštěvují webové stránky, fóra a konference s tematikou bezpečnosti. Snaží se tak držet krok s hackery, kteří bezpečnostní mezery objevují. Microsoft dostává hlášení od bezpečnostních expertů z celého světa. Ročně je to přes 100 000 e-mailů. Skutečný problém však obsahuje jen malé procento z nich. Většinou se jedná o legrácky, spamy, objevují se i čínské zprávy, které přinášejí "důkazy" o časované bombě v kódu Windows.
Důležitou práci odvádí zaměstnanci Microsoft Security Response Center (MSRC). Je-li díra identifikována jako skutečná, spouští se náročná mašinerie jejího záplatování. Nejprve se zalarmují původní vývojáři daného kódu. Jen ti totiž mají odborné znalosti k tomu, aby dokázali problém vyřešit v krátkém čase. Paralelně k tomu začíná jiný tým expertů hledat stejnou chybu v jiných produktech Microsoftu. Často se totiž stejný kód dostává do různých produktů. Za pomoci speciálně naprogramovaných nástrojů se pak navíc prohledávají i různé variace této bezpečnostní mezery. Další pracovníci dokumentují tento "objev", aby zákazníci a uživatelé věděli, ve kterém produktu byla objevena bezpečnostní mezera a jak nebezpečné je program používat.
Psaní takovýchto bezpečnostních zpráv je velmi důležité a je třeba udržet rovnováhu. Na jednu stranu musí zpráva obsahovat dostatek informací, aby zákazník mohl zvážit riziko, případně jej zcela eliminovat tím, že používá bezpečnostní řešení třetí strany, na druhou stranu nesmí zpráva prozradit, o jaký problém se jedná, jinak by tisíce hackerů využili slabého místa. Microsoft zkrátka nemůže hackerům na stříbrném podnose donést popis bezpečnostní díry. I vydání aktualizace je svým způsobem riziko. Jakmile aktualizace vyjde, hackeři ji dokážou zanalyzovat a tím vlastně zjistí, jaký problém opravuje. To se stalo třeba u počítačového červu Zotob. Mnoho počítačů běžících na Windows 2000 nebylo včas záplatováno, proto se červ dokázal rychle rozšířit.
Stejné množství péče, které je věnováno vytvoření záplaty, je třeba dát také jejímu otestování. Vždyť záplata se dostane na stovky milionů počítačů, není možné, aby vyvolala nějaký konflikt, nebo dokonce nefunkčnosti.

Rizika a nežádoucí účinky: Záplata nesmí zničit Firefox

Právě interakce záplaty na aplikace třetích stran musí být pořádně otestována. Když chce domácí uživatel používat Firefox nebo iTunes, nová záplata mu to nesmí znemožnit. Nejen že by Microsoft čelil kritice uživatelů, ale určitě by za to dostal také pořádně tučnou pokutu. Ještě těžší je situace u korporátních zákazníků. Ti často používají specializované informační systémy pracující jako servery, databáze, a zde je riziko vysoké. Nesmí se stát, že by záplata takový systém vyřadila.
Ještě do roku 2002 se aktualizace vypouštěly po jednom dni testování. Případné chyby na milionech počítačů se řešily, až když vznikly. Hněv uživatelů, kteří fungovali jako betatesteři, byl tedy zcela oprávněný. Dnes trvá testování něco přes týden. V extrémním případě ale trvalo testování i 120 dnů. Někdy to však jde i rychleji. Pokud je díra nebezpečná a rychle se šíří mezi hackery, musí MSRC pracovat s nejvyšším nasazením. To se stalo na začátku ledna 2010: mimořádný hack zasáhl společnosti Google, Symantec a další. Příčinou byl Internet Explorer. Jak se odborníci s chybou poprali, to najdete v rámečku vlevo. MSRC má pro tyto případy vypracovaný speciální nouzový plán. Všichni pracovníci, kteří se budou podílet na řešení problému, se přestěhují do tzv. "Situation Room" a pracují zde. Tím se zkrátí komunikace mezi nimi na minimum. V prvé řadě je třeba zabránit vzniku škod. Pracuje se na vytvoření aktualizace, dokud ale není hotova, vydávají se rady a postupy, jak se chovat, aby nebyla bezpečnostní mezera zneužita.
V "Situation Room" se mezitím pracuje na záplatě. Součástí je také testovací laboratoř, ve které se testuje každé stadium aktualizace. Pokud je to nutné, může se celá laboratoř stisknutím jediného tlačítka odpojit od zbývající sítě Microsoftu. Jakmile je update hotový a otestovaný, okamžitě se vydává. Jelikož je kritický, nečeká se do příštího "Patch Tuesday", ale vypouští se okamžitě. Tento Out-of-Band-Updates (mimo běžný aktualizační cyklus) je naprostou výjimkou a používá se pouze při nouzových a kritických situacích.

Preventivní hacking: Nejlepší obrana je útok

Velké společnosti jako Microsoft nemohou složit ruce do klína a čekat, až se objeví bezpečnostní mezery u Windows, Office a dalších produktů. Microsoft najímá hackery a nechává je hledat slabá místa. Dokonce jim zpřístupní zdrojový kód Windows, aby byli schopni najít chyby, a to vše ještě předtím, než se systém vůbec dostane do prodeje. Hackerská celebrita Dan Kaminsky vzpomíná, jak to probíhalo v případě Windows Vista: "Microsoft nás požádal, abychom prohledali kód a našli slabá místa. Během dalších 24 hodin jsme diskutovali o objevených problémech. Tímto způsobem se nám podařilo odhalit tisíce bugů ve zdrojovém kódu."
Někteří z expertů spolupracují se softwarovým gigantem pravidelně. Probírají možnosti nových ochran a technologií – samozřejmě za zajímavý honorář. Je to vlastně legální cesta, jak hacker může dostat peníze od Microsoftu.
MSRC dovedl spolupráci hackerů a Microsoftu k dokonalosti. Pravidelně pořádá tzv. "BlueHat" briefingy, při kterých se kromě hackerů setkávají ekonomové, návrháři, produktoví manažeři i management. "Mnoho hackerů je zpočátku skeptických, když je kontaktujeme," říká Sarah Blankinship, vedoucí outreach týmu v MSRC. Ona a její tým mají za úkol udržovat kontakty na důležité hackery z celého světa. Dalším velmi důležitým úkolem je zbavit hackery strachu ze softwarového gigantu: "Někdy mají strach, že budou zatčeni okamžitě po přistání. To je samozřejmě nesmysl. Našim cílem je s nimi navázat spolupráci."

Bezpečnost místo funkcí: Nový trend programátorů Microsoftu

Představa, jak se skupina hackerů šťourá ve zdrojových kódech Windows, byla v roce 2002 pro Billa Gatese zcela nepředstavitelná. Tehdy napsal zakladatel Microsoftu e-mail všem zaměstnancům. Tzv. "Trustworthy Computing" ukázal zcela novou cestu. Prvním krokem této výzvy bylo, že po dobu jednoho měsíce se nebudou vyvíjet žádné nové kódy, ale budou se opravovat ty staré. Poprvé se tak bezpečnosti dostalo vyšší priority než vývoji nových funkcí. Svou zásluhu na tom zřejmě má i Steve Lipner, profesionál v oblasti IT bezpečnosti, se 40letou zkušeností. Do Microsoftu přišel v roce 1999 a vymyslel "Security Development Lifecycle" (SDL). Velmi zjednodušeně je to sbírka příkazů, zákazů, tipů a postupů, jak by měli programátoři psát bezpečný software.
Zní to paradoxně, ale před Gatesovou zprávou v Microsoftu nikdo o nějakém bezpečném programování neslyšel. Zkrátka to nebyla priorita. Pozastavit práci 9 000 vývojářů nebylo vůbec jednoduché. Navíc se programátoři museli naučit psát software zcela novým způsobem – tak, aby nebyl zranitelný. "Příprava celého konceptu zabrala dva měsíce, jeho nasazení však trvalo přes rok," vzpomíná Lipner.
Bez SDL kontrol dnes Microsoft nevypustí ani jeden produkt. A těch je ročně kolem tří set. Od vysoce profesionálních serverových řešení a operačních systémů na míru až po hry pro Xbox. Navíc jsou tu ještě bezpečnostní záplaty nebo beta verze produktů, jako je Office 2010, který byl na minulém Chip DVD. Jakmile produkt absolvuje SDL, může odpovědný zaměstnanec opět přijít do budovy 27 a stisknout červené tlačítko. Produkty se pak vydají vstříc uživatelům.
AUTOR@CHIP.CZ


Pohled do bezpečnostního centra Microsoftu
Chip přináší exkluzivní pohled od Microsoft Response Center.
Pracovní stroj
Na takovýchto strojích pracují zaměstnanci MSRC. Zde se vyvíjí záplaty.
Světový čas
Aby aktualizační server nebyl přetížen, vypouští se aktualizace pro jednotlivé části světa postupně a automaticky. Mapa se světovým časem umístěná v "Situation Room" tak vlastně vůbec není nutná, pracovníci však chtěli, aby to vypadalo jako v NASA.
Rychlá komunikace
Při závažném problému se profesionálové z MSRC sejdou v "Situation Room" a intenzivně pracují na vytvoření záplaty.
Velitelské stanoviště
Pomocí tohoto interaktivního panelu se řídí hardware v "Situation Room". Tlačítkem vpravo nahoře je možné se oddělit od celé sítě Microsoftu
Jen pro zábavu
Toto je tlačítko, které čeká na "Patch Tuesday". Jeho pomocí se vypouští aktualizace. Ve skutečnosti je to však jen legrace.
Symbolická fotografie
Obrázek Winstona Wolfa z filmu "Pulp Fiction" symbolizuje, že s dobrou organizací a přehledem o situaci je možné vyřešit jakýkoliv problém.


Časový scénář: Tak vznikla záplata "Aurora"
Není to tak dávno, co se v Internet Exploreru objevila závažná bezpečnostní díra. Ukážeme vám, jak probíhala výroby záplaty.
15. prosince 2009 – celosvětový útok hackerů
V polovině prosince se mnoho firemních sítí (například Googlu, Yahoo, Adobe, Symantecu) stalo terčem útoku. Útočníci posílají e-maily na zaměstnance těchto amerických firem. Lákají je na zmanipulované webové stránky, zde se počítače infikují programem, který provádí špionáž na firemních sítích. Útok je řízen ze serverů v Texasu a na Tchaj-wanu.
4. ledna 2010 – konec útoku
Spojení se servery je přerušeno, útok je u konce.
12.ledna 2010 – Google obviňuje Čínu
Google otevřeně na svém blogu popisuje útoky z poloviny prosince. Přičítá je Číně, především proto, že byly hacknuty Gmailové účty čínských aktivistů za lidská práva. Google nahlas mluví o tom, že odejde z Číny. Jen několik hodin poté oznamuje na svém blogu i Adobe, že jejich síť byla hacknuta. Celkem bylo napadeno přes 30 významných firem.
14. ledna 2010 – Microsoft přiznává díru v IE
Microsoft připouští, že dírou v IE 6, 7 a 8 je možné získat kontrolu nad počítačem. Microsoft doporučuje zákazníkům nastavit úroveň zabezpečení na nejvyšší úroveň.
18. ledna 2010 – Microsoft upravuje varování
Po podrobnějším prozkoumání problému omezuje Microsoft riziko pouze pro prohlížeče s enginem využívajícím Internet Explorer 8.
21. ledna 2010 – Microsoft uvolňuje záplatu
Microsoft vydává kumulativní aktualizaci pro Internet Explorer s číslem 978207. Díra v prohlížeči je uzavřena.


Mozilla, Apple aj.: Jak záplatuje konkurence Microsoftu
Strategie aktualizací, kterou nabídl Microsoft, se stala vzorem pro mnoho dalších programů jiných výrobců. Ale ne všech.
Mozilla - Aktualizace produktů Mozilla je velmi podobná tomu, co nabízí Microsoft. Vývojáři sledují na různých fórech, zda se v produktu neobjevila bezpečnostní mezera. Jakmile si ji ověří, okamžitě začínají pracovat na záplatě, která díru uzavře. Záplatu testují buď přímo programátoři, nebo spolupracovníci a také soukromí uživatelé. Ještě než se však záplata dostane ke koncovému uživateli, proběhnou stovky tisíc automatických testů. Teprve až má výrobce jistotu, že záplata je v pořádku, je update vypuštěn mezi koncové uživatele. Pokud se jedná o kritickou mezeru, je uzavřena do týdne. Pokud není díra kritická, může vytvoření záplaty trvat 6–8 týdnů.
Adobe - Proces záplatování nemá Adobe ještě tak detailně zpracovaný jako Microsoft. Tým nazvaný Product Security Incident Response přijímá oznámení o dírách většinou e-mailem. Programátoři jsou obvykle schopni napsat záplatu do 24 hodin. Stejně jako u Microsoftu a Mozilly dochází k testování záplaty. Jenže třeba obyčejný Acrobat Reader existuje ve 29 variantách a každá v 80 jazycích. Každá verze musí být otestována, takže samotné testování trvá mnohem déle než výroba záplaty.
Apple - Apple neposkytuje žádné informace o svých aktualizačních procesech. Předpokládáme však, že kolem pravidelných aktualizací žádná složitá mašinerie neprobíhá. Kde není tlak velkých zákazníků, tam nejsou žádné pravidelné aktualizace potřeba. Apple tedy vydává záplaty pro kritické bezpečnostní mezery, ty ovšem nejsou pravidelné.


Foto: Bezpečný software Bill Gates, zakladatel Microsoftu, dává v roce 2002 základy pravidelným aktualizacím.
Foto: Lepší vývojář Steve Ballmer, šéf Microsoftu, vsadil na dobré vývojáře a programátory, kteří myslí na bezpečnost. Ti jsou srdcem dnešního Microsoftu.
Obchodník
V televizní reklamě prodává Steve Ballmer Windows 1.0. Jeho schopnosti by mu mohl závidět i Horst Fuchs. Tuto i další zajímavé reklamy Microsoftu najdete na DVD.
Výjimka
Pouze kritické aktualizace vycházejí mimo běžný cyklus.