U ovom postu ću pokušati da približim čitaocima važnost procesa update sistema kao i sigurnosne izazove koji se mogu javiti u ovakvom procesu. Ovde moram napomenuti da se ovaj proces veoma razlikuje ako je u pitanju pojedinačan računar privatnog korisnika gde je dovoljno samo uključiti opciju automatski update i veliki računarskih mreža u kompanijama gde se svaki update mora prvo testirati pre nego što se pušta u produkcijsko okruženje (update management process).
Da li raditi update sistema?
Odgovor je uvek DA! Naravno postoje i posebne situacije gde ovaj odgovor nije odgovarajući ali skoro uvek je pozitivan odgovor na navedeno pitanje. Sami tim što nismo uradili update operativnog sistema i programa koje imamo instalirane na računaru ostavili smo sebe ranjivim na veliki broj propusta koji zlonamerni korisnik (haker može iskoristiti) protiv nas. Iz tog razloga ukoliko je moguće update sistema je potrebno raditi što češće i naravno potrebno je stanje sistema održati na nivou poslednjeg update koji je proizvođač izbacio.
Zero (0) day
Ako neko nije upućen u problematiku ovde želim samo da istaknem šta se zapravo podrazumeva pod pojmom zero day. Radi se o tome da je to propust koji nije poznat proizvođaču softvera i kompanijama koje se bave zaštitom. Kada se sazna za ovakav propust proizvođač odmah izbacuje peč (path) koji ispravlja uočeni nedostatak. Međutim postavlja se pitanje ko je i kada došao do saznanja da postoji zero day. Ovo je posebno važno jer postoji na dark netu veliki broj marketa gde se trguje ovakvim zero day informacijama. Neretko se dešava da su kupci i same vlade određenih zemalja ili špijunske agencije. Vrednost ovakvki informacija može da bude i do 500.000 eura ukoliko je to zero day koji se može iskoristiti na velikom broju računaru i ako su posledice preuzimanje kontrole nad računarom. U poslednje vreme je u medijima često informacija o nepoznatoj grupi Shadow Brokers koja izbacuje razne informacije o NSA špijunskim operacijama i gde je pre nedelju dana baš objavljena informacija da postoji već neko vreme poznat zero day propust koji može da se iskoristi na većini savremenih windows operativnih sistema i za koji Microsoft nije izbacio već neko vreme update upravo iz razloga šta ga NSA koristi za svoje operacije već neko vreme. Postoji mnogo špekulacija na navedenu temu kao i na temu grupe Shadow Brokers za koju mnogi smatraju da je u pitanju ne grupa hakera već insajdera koji rade za NSA i koji zbog nekih viših interesa žele da obelodane razne informacije i operacije. Ovo nije tema ovog posta pa se neću detaljnije time baviti ali uskoro možete očekivati i post sa mojim mišljenjem na ovu temu.
Kako se nekada radilo?
Nekada za vreme windowsa 2000 i drugih serverskih operativnih sistema među iskusnim administratorima je važilo pravilo da se Service Pack (SP) ne instalira na serverski sistem pre neko što se pojavi SP3 što je tada i bilo prihvatljivo ali danas to više apsolutno nije slučaj i ovakvo ponašanje bi mnoge izložilo nepotrebnim bezbednosnim rizicima.
Kako se to danas radi?
U nekim slučajevima situacija je takva da update sistema treba uraditi istog dana kada se pojavi update upravo iz razloga što takav update zatvara mogućnosti iskorišćavanja nekih zero day propusta. Danas je sasvim neprihvatljivo ne raditi update osim u posebnim uslovima kao što su računari specijalne namene do kojih je teško doći i koji su veoma specifični kao što su računari koji upravljaju SCADA sistemom gde i dan danas možemo videti veliki broj windows XP sistema za koje više ne postoji tehnička podrška. Slična stvar je i sa ATM mašinama sa kojih podižemo novac i gde u Srbiji postoji doduše sada već manji broj Windowsa XP jer se na većini ATM-ova sada postavlja Windows 7. Naravno moramo uzeti u obzir da su ovakvi računaru van interneta i da imaju specijalne konekcije tako da je do njih veoma teško doći osim da se neko fizički nakači na takav računar pa samim tim i njihova izloženost napadima je drastično smanjena.
Šta može poći po zlu?
Može se javiti problem kompatibilnosti sa određenim uređajima ili drajverima. Takođe određene aplikacije možda neće moći da se pokrenu ili neće normalno raditi posle update sistema. Ono što je Microsoft počeo da radi trenutno jeste da svakog 14-tog u mesecu izbacuje update i da tu uključuje veći broj pečeva a ne da pušta jedan po jedan. Ovakav potez je direktna posledica toga što se svaki peč testira neko vreme pre nego što se zvanično objavi. Ono što zabrinjava jeste šta ako se određeni sigurnosni problemi ne pečuju uopšte nekoliko meseci iako se zna za njih odnosno da budem precizniji ako proizvođač softvera zna za njih. Ovakav potez može izuzetno veliki broj kako privatnih tako i poslovnih korisnika ostaviti ranjivim određeni vremenski period što priznaćete nije baš dobro.