טוב, כמו שאני מזהיר לפעמים, יש בעיה – תריצו את העדכון. הפעם, אבל, הבעיה יותר מעצבנת.
דבר ראשון זאת בעיה שהמשתמש לא צריך לעשות כלום כדי להדבק בה. גם אם יש לכם פיירוול. במקרים מסויימים, גם אם יש לכם אנטי וירוס. כל מה שצריך לקרות זה שאתם תגלשו לאתר מסויים, ופתאום נדבקתם.
אבל, לא על זה רציתי לדבר איתכם. לפני שנתיים וחצי מיקרוסופט יצאה בהכרזה של “מיחשוב אמין”. הרעיון היה לשפר את התדמית הדיי זוועתית שהיתה להם בתחום אבטחת המידע. במסמך ארוך ומרשים שהוציא ביל גייטס הוא הסביר, שלב אחרי שלב, את כל מה שצריך לעשות כדי להשיג את המטרה הזו. לא היו שם דברים מהפכניים. להתמקד באבטחה במקום ביכולות חדשות, לדאוג לשמור על פרטיות המשתמשים ועוד ועוד (הטקסט המלא). וזאת בעצם הנקודה. לא היו שם דברים מהפכניים. הסיבה היחידה שהיוזמה הזו זכתה לכיסוי תקשורתי נרחב הינה שהיא באה ממקום שעד אותו זמן לא הראה סימנים של להבין את הדברים האילו.
מאז עברו שנתיים וחצי. קשה להגיד ששום דבר לא השתנה, אבל גם קשה להגיד שמיקרוסופט ראו את האור.
אחד מהדברים החשובים ביותר לחברה הוא להבין שבעיות אבטחת מידע הינן בעיות שתמיד יקרו בקוד. פשוט אין דרך להמנע מזה. אחרי שהבנו את זה, השאלה שצריכה להשאל היא “איך מקטינים את הנזקים”. אחד מהדברים החשובים ביותר לתת לשמתמשים הינם כלים לדעת היכן הם עומדים. הכלי הראשוני במטרה הזו הינה התראת הפגיעות – Vulnerability Advisory. התראה כזו צריכה, לכל הפחות להוציא את מי שקורא אותה עם מושג סביר לגבי האם הוא פגיע או לא. לפחות בנקודה הזו, על מיקרוסופט להשתפר עוד הרבה.
במאמר כועס יוצא טום ליסטון נגד התראה בשם MS04-028. מילא, הוא אומר, שלא ניתן להבין מהרשימות הארוכות שם האם אני פגיע או לא. מיקרוסופט הכינה כלי פשוט, שאמור להגיד לי את זה. רק תוריד אליך למחשב, תריץ, ותקבל את התשובה שאתה “אולי פגיע”. רגועים?
אני חייב להודות שכשאני קורא את ההתראה, אני יותר מוטרד. הנה כמה נקודות למחשבה:
– תחת “General Information”, יש מספר רכיבים חשובים. את הרכיבים האילו לא ניתן לקרוא בלי שיש לכם JavaScript דלוק במכונה. במקרה זה לא נכון לגבי ההתראה הזו, אבל אחד מהאמצעי עקיפת באג, ז”א “אם תעשה את זה הבאג לא יוכל לתקוף אותך גם אם אתה פגיע”, הוא “לבטל JavaScript”. במילים אחרות, אם אתה מודע לעניני אבטחה, מיקרוסופט מבטיחה שלא תוכל לגשת להתראות האבטחה שלהם. הגיוני לעוד מישהו?
– תחת Mitigating factors נהוג לכתוב את הגורמים שבגללם הבאג הזה אולי לא חמור כמו שהוא נשמע. הגורמים האילו בהתראות של מיקרוסופט הינם בד”כ כל כך לא רלוונטיים. בואו נסתכל עליהם פה:
התוקף מקבל רק את ההרשאות של המשתמש שהותקף. אם המשתמש לא Administrator, אז גם התוקף לא. ועל זה נאמר, “באמת תודה”. אני מודע לזה שהרבה מקוראי הבלוג הזה משתמשים בלינוקס, אבל מבין משתמשי החלונות, כמה אינם מתחברים בהרשאת מנהל? לא חשבתי. כולם מתחברים בהרשאת מנהל. זוהי ברירת המחדל של המערכת. אם לא תעשו את זה, חצי מהתוכנות שתנסו לא יעבדו. גם אם הגדלתם ראש, עדיין תמצאו שזה שהתוקף יכול לעשות כל מה שאתם יכולים לעשות לא יפריע לרוב הוירוסים, ולכל התוקפים, מלעשות מה שהם רוצים עם המחשב שלכם.
התוקף צריך לגרום לכם לפתוח את הקובץ. הא! אחרי שהסברנו באריכות לאנשים שעליהם להזהר מקבצים שנגמרים ב-exe, com, scr, dll, ocx, bat, btm, וכנראה עוד כמה הרחבות ששכחתי, עכשיו אנחנו אמורים להזהר מקבצי jpg??? כולם מעבירים תמונות. זה מה שיפה באינטרנט. אני מצטער – להגיד לי שאני צריך לא לפתוח תמונות של האחיין שלי מצרפת כדי לא להדביק את המחשב זה פשוט לא קביל.
בהתקפות web, התוקף ייצטרך לארח אתר שמכיל את הקובץ שמכיל את ההתקפה. אין לו שום דרך להפנות אנשים אל הקובץ. מה??? אני משוכנע שאני יכול לכתוב מייל שיגרום למעל 90% מהקוראים ללחוץ על לינק שנמצא במייל. למעשה, מספיק לטעון שיש שם “קסם אונליין”, או בדיחה, כדי שרוב האנשים יבדקו את זה. חוץ מזה, אני אפילו לא צריך את זה. אני יכול לשלוח לכם את הקובץ במייל. כל תוכנת דוא”ל מודרנית נתסה להציג אותו ברגע שפותחים את המייל.
חלונות XP, XP עם ערכת שידרוג 1, ו-Windows server 2003 הם היחידים שמכילים את הבעיה כברירת מחדל. אבל, הנה רשימה ענקית של תוכנות שמתקינות את הבעיה איתן. אני באמת צריך להסביר למה זו נקודה לא רלוונטית?
אז מה הבעיה שלי, בעצם? הבעיה היא שמי שקורא את ה-Mitigating factors האילו עלול, חלילה, להגיע למסקנה שהוא בסדר. האמת הכואבת היא שלבעיה הספציפית הזו אין mitigating factors. כל מי שפגיע, צריך להתעדכן בהקדם האפשרי.
ורק תעשו לעצמכם טובה אחת. אם אתם כבר רוצים לבדוק אם אתם פגיעים, אל תשתמשו בתוכנה של מיקרוסופט לבדוק את זה. נסו את התוכנה של סאנס. לא ניסיתי אותה, כך שאני לא יודע עד כמה היא טובה, אבל התגובות ששמעתי מראות שהיא הרבה יותר טובה.
שחר
בעיית ה-JPEG של מיקרוסופט
מאת
