V kontextu IT se pod pojmem exploity ukrývají určité posloupnosti instrukcí nebo data, která mohou v důsledku programátorské chyby způsobit neočekávané chování aplikace i hardwarového zařízení. V oblasti kybernetické bezpečnosti jsou takové chyby označovány jako zranitelnosti a mohou mít širokou škálu podob – od utajené administrační stránky na routeru dostupné s triviálním heslem přes vypuštění autentizačního mechanismu přihlašovacího dialogu při zadání enormně dlouhého hesla až po pád bezpečnostní aplikace v důsledku nahrání přílohy s nulovou délkou.

Důvtip počítačových zločinců nezná mezí a zranitelnosti i exploity využívají jak pro přímé útoky, tak například i pro šíření malwaru. Velmi často jsou zneužívány chyby v nejrozšířenějších systémech a aplikačních prostředích včetně Adobe Flash nebo Silverlight.

Novinka? Ale kdeže…

Ve své podstatě nejsou exploity ničím novým. Prakticky všechny kybernetické útoky využívají nějaké slabé místo v zabezpečení. Ať již jde o nedostatečné heslo, o malou informovanost uživatelů před zneužitím sociálního inženýrství, o procházení nedůvěryhodných webových stránek nebo třeba o spouštění nelegálně získaného softwaru. Nicméně exploity jsou specifické v tom, že pro obejití jednoho nebo více bezpečnostních mechanismů využívají chyby v běžně používaných produktech. Nejčastěji softwarových, ale může jít i o chyby hardwarové. Naštěstí je většina těchto chyb dobře zachytitelná a zpracovatelná pomocí prostředků operačního systému. Bohužel ale ne všechny.

Zjistí-li počítačoví zločinci zranitelnost, která jim umožní vzdálené provádění kódu na počítači potenciální oběti (tzv. Remote Code Execution), mají téměř „vyhráno“. Díky těmto chybám mohou obejít bezpečnostní mechanismy a škodlivý kód spustit bez zobrazení nějakých varovných hlášení či potvrzovacích dialogů. Uživatelé tak vlastně ani nevědí, že se něco nežádoucího děje.

Na více frontách

Řadu čtenářů určitě napadne, že snadno to vypadá jen na papíře. Ve skutečnosti to přece nemůže být tak jednoduché. Ano i ne, samotné hledání zranitelností a tvorba exploitů sice vyžaduje poměrně rozsáhlé znalosti, nicméně k dispozici jsou i tzv. exploit kity, tedy předpřipravené sady webových stránek nebo aplikací s exploity. A tyto sady si mohou kybernetičtí zločinci zakoupit, licencovat nebo pronajmout.

Do počítače oběti se exploit kit obvykle dostane cestou webového prohlížeče, a to v podobě spletitého a jen obtížně sledovatelného kódu v JavaScriptu. Následně kit automaticky vyzkouší sérii několika typů útoků.

Exploit kity využívají i další distribuční kanály, zejména elektronickou poštu. Kybernetičtí zločinci v rámci e-mailových a phishingových kampaní zasílají zprávy v naději, že někteří uživatelé přílohu otevřou a exploit kit si nainstalují. Existuje široká škála mechanismů, jak exploit kit na cílové zařízení propašovat, a bohužel nic netušící uživatelé mají jen málo možností, jak si s těmito hrozbami poradit.

Zločinná spolupráce

Exploit kity nejsou okrajovou záležitostí a ve skutečnosti se okolo nich točí celý průmysl. Díky nim se autoři malwaru nemusí starat o hledání chyb v provozních prostředích, o nalezení cest k jejich zneužití, o zajištění distribuce ani o nalákání potenciálních obětí. Obdobné výhody ale mají i autoři exploit kitů, kteří nemusí věnovat svoji drahocennou energii na tvorbu malwaru.

Tato divná symbióza různých účastníků kybernetického zločinu dává za vznik i zcela nové oblasti nazývané s nadsázkou jako Crimeware-as-a-Service. S exploity souvisí dokonce i jedno novodobé povolání, tzv. exploit makléři. Tento typ podnikavců se zabývá skupováním exploitů od jejich autorů a následným prodejem takto získaného „duševního vlastnictví“ některému ze zájemců, obvykle vládním úřadům nebo hackerům.

Bez aktualizací to nejde

Připomeňme si, co je podstatou exploitů: využívání zranitelných míst a chyb v legitimních softwarových produktech. Je nutné také pochopit a připustit si, že chyby se vyskytují ve všech programech. Problémem přitom není chyba jako taková, ale její ignorování. Velcí výrobci to moc dobře vědí, a pravidelně proto vydávají ke svým produktům bezpečnostní záplaty a aktualizace, například Microsoft tak činí každé druhé úterý v měsíci (tzv. Patch Tuesday), kdy zpřístupňuje i několik desítek oprav.

Mezi objevením nebo zveřejněním – ne, opravdu nejde o totéž – zranitelnosti a vydáním záplaty vždy existuje nějaká prodleva, a tedy i riziko zneužití nové zranitelnosti k páchání trestné činnosti. Součástí běžných opatření ze strany autorů softwaru je proto informování o bezpečnostním riziku i o datu zveřejnění opravy. Díky tomu se uživatelé mohou v tomto mezičase vyhnout určitým aktivitám nebo být při využívání informačních technologií o něco obezřetnější.

Úspěšnost exploitů je obvykle nejvyšší v období do vydání opravy příslušné zranitelnosti, nicméně existují i dlouhodobě přetrvávající výjimky. Důvod je prostý, ne všichni aktualizují včas a důsledně. Některé exploity tak dokonce přetrvávají roky od objevení zranitelnosti.

A co ochrana?

Tradiční způsoby ochrany, například antivirové programy, jsou nejčastěji zaměřené na zastavení konkrétního bezpečnostního incidentu, nikoli na exploit jako takový. Faktem nicméně je, že i když existují miliony zranitelností i exploitů, počítačoví zločinci aktivně využívají jen několik málo typických „exploit“ technik. A tak ošetření těchto postupů může snadno zabránit šíření obrovského množství malwaru i mnoha dalším nelegálním aktivitám. Obecněji pojatá ochrana je navíc důležitá v souvislosti s tzv. dosud nezveřejněnými zranitelnostmi, či chcete-li, zero-day hrozbami.

Na úrovni podnikové informační architektury by mezi první linie ochrany mělo patřit vyhodnocování nebezpečnosti příloh elektronické pošty. Důležité také je, aby zodpovědné osoby měly dostatečné povědomí o tom, k jakým zranitelnostem jsou používaná zařízení, systémy a aplikace vlastně náchylné. Stejně tak jsou užitečné informace o tom, co vlastně konkrétní chyba umožňuje, existují totiž i zranitelnosti, díky kterým mohou útočníci provádět na cílovém zařízení prakticky jakýkoli kód (jde o tzv. Arbitrary Code Execution zranitelnosti). Nebezpečnost jednotlivých exploitů navíc roste spolu s tím, jak se dokážou maskovat a bránit detekci ze strany antivirových řešení.

S ohledem na výše uvedené oblasti je pro ochranu koncového bodu ideální využívat komplexní řešení, které dokáže jednotlivé exploity rychle detekovat a blokovat. Důležité je, aby takové řešení zvládalo i detekci bez využívání signatur a zaměřovalo se nejen na konkrétní exploity, ale také na obecné techniky. Nasazení systému pro ochranu koncových bodů lze z pohledu nejlepších možných osvědčených postupů doplnit zejména o včasné a pravidelné aktualizování, využívání prohlížečů dokumentů místo plnohodnotných editorů (které mají obvykle mnohem více zranitelností) a odstraňování nepoužívaných rozšíření z webového prohlížeče.

Existenci chyb, zranitelností a exploitů nelze zabránit, zdokonalit lze ale přístup, jak s nimi bojovat. Čím více proaktivní a komplexní tento přístup bude, tím méně mohou kybernetičtí zločinci ovlivňovat naše pracovní i soukromé životy. Tak proč zbytečně riskovat?

Michal Hebeda Autor článku působí ve společnosti SOPHOS a je zkušený IT profesionál s více než 15letou zkušeností z oblasti IT bezpečnosti.