Przewodnik po zabezpieczaniu komputera: skąd tyle aktualizacji?

Poza nieszczęsnymi antywirusami i zaporą, o których (najpierw bardzo ogólnie) dyskutowaliśmy w poprzedniej części, istnieje jeszcze szereg innych zagadnień związanych z "krokiem zerowym" w zabezpieczaniu komputerów osobistych. Jak być może łatwo się już domyślić po zapoznaniu się z pierwszą częścią, są one nieco istotniejsze, niż tandem AV+firewall. Na drodze do nich stoi jednak pewna ważna i niezwykle kontrowersyjna kwestia: aktualizacje oprogramowania.

O aktualizacje bardzo łatwo się pokłócić, jest to temat wywołujący gorączkowe dyskusje, które znacznie częściej niż zwykle kończą się strumieniami epitetów, emfatycznymi wykrzyknieniami i erotycznymi insynuacjami pod adresem matek adwersarzy (stan rzeczy znany na podstawie doświadczeń z moderowaniem komentarzy). Spróbujmy podejść do sprawy nieco spokojniej.

Zacznijmy od podstaw. Każde rozbudowane oprogramowanie zawiera błędy. Programy są pisane przez ludzi, toteż obecność błędów jest nieunikniona. Wbrew pozorom ich rozrzut jest niezależny od tego, czy oprogramowanie jest otwarte czy zamknięte. Errata publikowana przez Red Hata i Dockera często dorównuje objętością i powagą notatkom z Microsoftu, VMWare i Cisco. Błędów po prostu nie da się uniknąć, a rynek zorientowany na maksymalizację zysków sprawia, że oprogramowanie tworzy się coraz szybciej, co mimo rosnącego zaawansowania tzw. dobrych praktyk miewa dramatyczny wpływ na wydajność. Odmawianie aktualizacji w takich przypadkach nie jest aktem odwagi ani anarchistycznego buntu. Nie jest zwycięstwem nad drapieżnym kapitalizmem. Nikt takich manifestów nie dostrzega, a my możemy sobie zrobić niezłą krzywdę.

Konieczność aktualizowania oprogramowania jest coraz pilniejsza, ponieważ dzisiejsze oprogramowanie robi więcej, niż dawne. Ćwierć wieku temu, komputery osobiste miały ograniczony wachlarz zastosowań, a w internecie pojawiały się tylko na krótki czas, ograniczany wysokością rachunku telefonicznego. W dodatku sprzęt był na tyle drogi i trudny w produkcji (relatywnie, rzecz jasna), że nikomu nie przeszkadzały zworki, brak wybudzania przez sieć LAN, tekstowy BIOS i nieistniejące narzędzia do zdalnego zarządzania sprzętem. Dziś jest inaczej.

Większość używanych przez nas dziś urządzeń to sprzęt klasy "zawsze połączony" (always connected), posiadający swój aktywny "stan" podczas uruchomienia (stateful). Oznacza to nie tylko większe ryzyko obecności błędów, ale także potencjalnie niższy poziom zabezpieczeń, często w absurdalnym kształcie typu "włamania do sieci przez telewizor". Ponadto, bardzo często producenci sprzętu świadczą wsparcie techniczne wyłącznie dla modeli ze zaktualizowanym oprogramowaniem.

A to dopiero mowa o oprogramowaniu (firmware) w samym sprzęcie! Są jeszcze systemy operacyjne oraz oprogramowanie w nim. Windows również jest aktualizowany co miesiąc i choć większości łatanych dziur nie da się wykorzystać z tego samego powodu, dla którego wiara w zaporę sieciową jest przesadzona, to wśród poprawek i tak często znajdują się łaty dla dziur, do których wykorzystania wystarczy tylko przeglądarka internetowa i trochę kulawego szczęścia.

Istnieje pokaźne grono ludzi odradzających aktualizowanie Windowsa. Niektórzy z nich wzbraniają się jedynie przed instalowaniem nowej wersji Windows 10 co pół roku, inni jednak wykazują o wiele bardziej ortodoksyjny pogląd, jakim jest całkowite wyłączenie aktualizacji w Windows. Bardzo często są to także zatwardziali zwolennicy Windows 7. W ich opinii, aktualizowanie systemu przynosi więcej szkody niż pożytku, a rzekomo łatane podatności są dziurami o tak nierealistycznych scenariuszach wykorzystania, że nie warto tracić na nie czasu. Ach, no i oczywiście to wszystko jest przyprawione zwyczajową psychozą w kwestii telemetrii i prywatności. Bardzo trudno z tym dyskutować.

Natychmiast dostrzegalny jest paralelizm owego myślenia z poglądami ruchu antyszczepionkowego. Ponieważ ktoś gdzieś miał jakiś niezaprzeczalny, poważny, acz rzadki problem, właściwą reakcją miałoby rzekomo być niepodejmowanie żadnych szczepień, nigdy. I jakimś cudem nie ma tu miejsca na kompromis: nie ma mowy o tym, żeby nie stosować przeterminowanych szczepionek z przemytu i żeby kontrolować przemysł medyczny nie dając się przekupić celem przymknięcia oczu na wyniki kontroli jakości. Najwyraźniej należy otworzyć wrota piekieł, lawinowo zwiększając ryzyko zachorowania na dawno wytępione dolegliwości, narażając przy okazji zdrowie osób, które z takim podejściem nie mają nic wspólnego.

Dokładnie takim rodzajem motywacji jest wyłączanie Windows Update z powodu potencjalnych problemów. Nie da się zaprzeczyć, że gdzieś kiedyś komuś coś nie zadziałało. Ale odjechanie wstecz z linią wsparcia, pozostawiając tuziny, a nierzadko setki niezałatanych podatności jest naiwne i błędne. Argument "jestem wystarczająco rozsądny, żeby nic nie złapać" to już z kolei całkowite poleganie na szczęściu. Padnięcie ofiarą przestępców wykorzystujących luki w zabezpieczeniach nie musi być dowodem skrajnej głupoty. Ci ludzie zarabiają na życie oszukiwaniem innych. Za to naszym głównym zajęciem w życiu nie jest zawodowe opieranie się kolejnym formom oszustw. Pod względem uporu, druga strona zawsze będzie mieć przewagę.

Łatwo przytaczać ogólniki i powoływać się na teorię, która mówi że aktualizacje są z definicji potrzebne. Niestety często zachodzi konieczność skonfrontowania ich z wojującym pragmatyzmem i poglądem brzmiącym "wystarczy antywirus, poprawna konfiguracja i ostrożność". Czyżby? Zwróćmy uwagę na kilka faktów:

• Trojan Emotet(https://www.dobreprogramy.pl/jak-wyglada-trojan-emotet,News,104207.html) nie był wykrywany przez żaden silnik antywirusowy przez ponad dobę od rozpoczęcia kampanii
• Komponent WebMIDI(https://www.cvedetails.com/cve/CVE-2015-6792/) w Google Chrome pozwalał na zdalne wykonanie kodu w ramach procesu chrome.exe, a wywołujące problem komponenty domyślnie nie były filtrowane przez Privacy Badger, NoScript ani uBlock Origin
• Podatność na fałszerstwo homograficzne(https://en.wikipedia.org/wiki/IDN_homograph_attack) symboli Unicode umiędzynarodowionych nazw domenowych (przepiękna nazwa!) pozwala w pewnych okolicznościach podrobić adres URL na nieodróżnialny optycznie od właściwego, co w połączeniu ze słabością CVE-2020-0601 umożliwia podstawienie całkowicie fałszywej strony internetowej, przedstawiającej się jako podpisana cyfrowo

Bezsprzecznie przed powyższymi atakami można się ustrzec, bedąc super-ostrożnym, ale czy zawsze jesteśmy stuprocentowo ostrożni i skupieni? Ja nie. Wczoraj np. włożyłem chleb do lodówki. Zakładanie, że każdemu może się zdarzyć chwila słabości nie jest, wbrew opiniom niektórych, gloryfikowaniem lenistwa i rozgrzeszaniem głupoty. A gdy przyjdzie naprawiać szkody, czy naprawdę powiemy sobie wtedy bez żalu "nie szkodzi, to przecież nauczka za to że nie byłem ostrożny!"...

• Komputery są tworzone przez ludzi, a ludzie są omylni. Dlatego powstają aktualizacje, które przede wszystkim łatają błędy, a nie dodają funkcje (lub telemetrię)
• Dzisiejsze komputery są ciągle podłączone do niezaufanej sieci, a są tak złożonymi maszynami, że zawsze mają swój \stan\
• co znacząco rozszerza zakres aktualizacji
• Oprogramowanie znajduje się dziś nie tylko w systemie, ale w sprzęcie, jako firmware
• Unikanie aktualizacji z powodu woli uchronienia się przed awariami i telemetrią wypadkowo ściąga na nas większe problemy, z powodu niesprawnych zabezpieczeń
• Obsługa techniczna zawsze oczekuje zaktualizowanego oprogramowania

Antywirus, zapora i aktualizacje to trio głównych mitów, z którymi trzeba się mierzyć podczas rozmów o bezpieczeństwie. Jak widać, do tematu podchodzimy bardzo powoli, a to ze względu na wysoką liczbę powtarzających się pytań i deklaracji na forum. W kolejnej części przejdziemy wreszcie do konkretów, czyli do aktualizacji BIOSu/UEFI oraz optymalizacji ustawień. To pierwszy komponent w kolejce do aktualizacji, często pomijany. Od niego daleka droga do złowrogich aktualizacji Windows. Musimy bowiem najpierw rozprawić się też z firmware kontrolerów i sterownikami!

Niniejszy artykuł należy do serii o zabezpieczeniu komputera, poświęconej sprzętowi, systemom operacyjnym i oprogramowaniu.