18.1.09

Tek dva od tri računala otporna na Downadup

Downoadup/Conficker, o kojemu je izvjestio čak i CNN, me je podsjetio na dobra stara vremena kada su se maliciozni programi nazivali virusima. Postoje dvije poveznice između ovog programa i virusa iz davnih vremena.

Prvo, Downadup/Conficker se manifestira na bučan i masovan način (koji su moderni maliciozni programi gotovo napustili). Prema nekim procjenama, do današnjeg dana je zahvatio oko 9 milijuna računala (preko 6 milijuna novozaraženih računala u zadnjih nekoliko dana, a broj će se svakako povećati već sutra). Kao da su autori ovog programa bili motivirani i retro porivom za pet minuta slave, što su uz ovakvu dinamiku širenja i postigli.

Drugo, Downadup/Conficker iskorištava jednu ranjivost u Windows operativnom sustavu koja je poznata već dulje vrijeme (od listopada 2008.) i za koju postoji popravak (patch) ali koji, iz nekog razloga, na mnogim računalima nije primjenjen. Ovaj moment se ponavlja iz godine u godinu. Ako računalne ranjivosti baš i moramo silom prilika prihvatiti kao nužnost današnje softverske industrije, korisnici i dalje pokazuju jako malo volje da svojim ponašanjem ublaže negativne učinke takve realnosti. Ponovo moramo naglasiti potrebu za dosljednim upravljanjem računalnim ranjivostima.

Jedan detalj me dodatno iznenadio. Tvrtka Qualys je objavila u 2003. jedno istraživanje (“The Law of Vulnerabilities”) prema kojemu se u roku od 30 dana od dana objave programskog popravka, tek na 50% računala ovaj popravak zaista i primjeni. Ako pogledamo i slijedećih 30 dana, na kraju tog razdoblja popravak nedostaje na oko 30% računala. Kako se čini, Downadup/Conficker je potvrdio ovu zakonitost. Naime, tvrtka Qualys provodi provjeru ranjivosti na temelju SaaS servisu, pa redovito vodi statističke analize o zastupljenosti pojedinih računalnih ranjivosti u poslovnom okruženju koje SaaS servis QualysGuard poslužuje. Ova je analiza pokazala da početkom siječnja (dakle, dva mjeseca od pojave popravka MS08-067 koji spriječava pojavu programa Downadup/Conficker) tek dva od tri računala sadrži spomenuti popravak. Ovi podaci su još ozbiljniji ako uzmemo u obzir da Qualys-ove analize obuhvaćaju korisnike njihovih SaaS usluga, a to su prije svega korporativni korisnici (tek u malom postotku su obuhvaćeni kućni korisnici). Dodatno nas mora zabrinuti činjenica da se pristup nije promjenio od 2003. godine.

Dobra vijest je da Downadup/Conficker, iako napisan izuzetno inovativno i temeljito, kako se čini ne sadrži osobito maliciozan učinak (barem ne verzija koja je poznata u trenutku pisanja ovog teksta). No, kad uzmete u obzir da je značajka modernog malicioznog koda ipak znatno veća opskurnost i tišina djelovanja te veća doza nedobronamjernosti, mislim da je potrebno još jednom ponoviti staru lekciju o održavanju dobrog stanja računalnih sustava.

Nema komentara: