Mechanizmy dostarczania łatek do poprawki

Możliwości zautomatyzowanego tworzenia eksploitów w oparciu o łatki zostały opisane w artykule autorstwa kilku naukowców z Carnegie Mellon University, University of California at Berkeley oraz University of Pittsburgh. Artykuł będzie przedstawiony w czasie 2008 IEEE Security and Privacy Symposium.

Naukowcy korzystali m.in. z narzędzia o nazwie Eye Binary Diffing Suite służącego do analizy kodu. Pozwalało ono na sprawdzenie, co naprawiła zainstalowana przed chwilą łatka. Dzięki temu badaczom udało się ustalić, m.in. gdzie znajdowała się luka w GDI, którą dwa tygodnie temu załatał Microsoft. Na podstawie analizy udało się szybko przygotować szkodliwy kod, który mógł posłużyć do ataków DoS.

Badacze piszą w artykule, że dzięki odpowiednim narzędziom możliwe jest przygotowanie kodu wykorzystującego łataną usterkę w ciągu zaledwie kilku minut albo nawet sekund od otrzymania aktualizacji. Tymczasem z badań Chrostosa Gkantsidisa dotyczących aktualizacji Microsoftu wynika, że w ciągu 24 godzin od czasu udostępnienia aktualizacji tylko ok. 80% komputerów zdąży sprawdzić dostępność aktualizacji. Jeśli więc cyberprzestęcy uda się pobrać łatkę wystarczająco wcześnie, ma on czas na przygotowanie ataku z wykorzystaniem łatanej luki.

Trzeba tu zaznaczyć, że stosowana przez badaczy metoda nie zadziała we wszystkich przypadkach, ale uzyskane przez badaczy wyniki pokazują, że stanowi ona realne zagrożenie.

Problem dotyczy nie tylko oprogramowania Microsoftu. W przypadku wielu innych produktów proces udostępniania aktualizacji jest rozciągnięty w czasie, aby nie doszło do przeciążenia serwerów udostępniających aktualizacje.

Co w takim razie zrobić? Badacze sugerują, że mechanizmy udostępniania aktualizacji wymagają przeprojektowania. Przykładowo łatki mogłyby być konstruowane tak, aby ukrywały co naprawiają. Innym rozwiązaniem mogłoby być udostępnianie możliwości zaaplikowania łatki dopiero po tym, jak wszyscy ją pobrali. Aktualizacja byłaby wtedy szyfrowana, a klucz do szyfru byłby uwalniany dopiero po pewnym czasie. Jeszcze inny pomysł to skorzystanie z sieci P2P w celu dystrybucji łatek, co pozwoliłoby na pobieranie ich przez różnych użytkowników mniej więcej w tym samym czasie.

Nie jest to pierwszy raz, gdy badacze krytykują sposób dostarczania aktualizacji. Już od dłuższego czasu mówi się o wadach modelu przyjętego przez Microsoft. Firma ta udostępnia aktualizacje tylko raz w miesiącu - w każdy drugi wtorek miesiąca. Jeśli zatem w drugą środę miesiąca pojawi się w sieci informacja o nowej wykrytej luce, cyberprzestępcy mają cały miesiąc na swobodne korzystanie z niej.