Добавить новость
Добавить компанию
Добавить мероприятие
Обзор уязвимостей за 2011 год
30.03.2012 12:05
версия для печати
Сколько уязвимостей было устранено? Всего за год было описано 4733 уязвимостей. К 1 января производители программного обеспечения смогли устранить только 58% уязвимостей и выпустить инструкции по устранению для еще 7%. Таким образом, больше трети уязвимостей остались открытыми для киберпреступников. Программы Adobe взламывают все чаще Уязвимости нулевого дня — головная боль для разработчиков. Эти бреши в системе активно эксплуатируются хакерами еще до публикации сообщения об уязвимости и выхода исправления. Любопытно отметить рост числа таких уязвимостей в продуктах Adobe — в минувшем году их число достигло семи (по этому параметру Adobe обогнала другого гиганта — компанию Microsoft, в продуктах которой было обнаружено 5 уязвимостей нулевого дня). В числе свежих примеров — обнаруженная в конце 2011 года уязвимость с идентификатором CVE-2011-2462 в Adobe Reader, которая использовалась для взлома компании ManTech, подрядчика министерства обороны США. Браузер Opera — самый безопасный? Наиболее защищенным браузером (в отношении количества уязвимостей, найденных в 2011) стал Opera. Во всех распространенных приложениях этого типа, кроме Opera, было обнаружено очень большое количество уязвимостей высокой степени опасности, которые могут использоваться для компрометации системы. Кроме того, в минувшем году у ведущих браузеров было найдено 4 уязвимости критической степени опасности, которые использовались злоумышленниками для проведения успешных атак на различные компании. Три из них пришлись на Internet Explorer, и одну обнаружили в Chrome 11.x. Windows — почти 100 уязвимостей за год Популярность Windows логичным образом сказывается на количестве уязвимостей. По сравнению с другими операционными системами у продукта от Microsoft их было найдено больше всего. Windows держит лидерство как в общем зачете (92 уязвимости), так и в индивидуальном:у этой ОС в отчетный период была опубликована информация о 2 критических уязвимостях. С другой стороны, максимальное число уязвимостей высокой степени опасности (33) обнаружили в Mac OS, у Windows их нашли 22, а в разных версиях Linux — всего одну. Все внимание к SCADA-системам В серверном программном обеспечении широкое распространение получили уязвимости в SCADA-системах: в 17 уведомлениях безопасности было описано 37 уязвимостей. Интерес исследователей к программной части АСУ ТП неслучаен: именно в последние два года получили распространение вирусы, нацеленные на приложения для промышленной автоматизации. CMS и форумы — благоприятная среда для хакеров Наилучшие условия для несанкционированных проникновений в сегменте веб-приложений предоставляют системы управления содержимым (18%). Хакеры постоянно ищут уязвимости в CMS, и, как мы видим, находят их в большом количестве (204 уязвимости за год). Администраторам сайтов, построенных на популярных платформах, необходимо не только контролировать подозрительную активность, но и оперативно устанавливать обновления для CMS. Следует не забывать также о веб-форумах, которые удерживают второе место по количеству уязвимостей (7%). Защищенность Apple iTunes под вопросом Прошлогодний хит-парад наиболее уязвимых медиапроигрывателей (из числа популярных) возглавил Apple iTunes (133 уязвимости). В середине списка находится распространенный VLC Media Player (15 уязвимостей), а у Windows Media Player было обнаружено всего две уязвимости, что примерно в 70 раз меньше, чем у Apple iTunes. 77% «дыр» в системе можно использовать удаленно Если рассмотреть все уязвимости за 2011 год, то можно заключить, что злоумышленник мог работать удаленно при эксплуатации 77% уязвимостей. Для 15% требовалась локальная сеть, а для 8% — личное присутствие или инсайдерская информация. Каждая четвертая уязвимость позволяет скомпрометировать систему Примерно четверть уязвимостей (24%) позволяли хакеру скомпрометировать систему, выполнив произвольный код на компьютере жертвы. Еще 21% обнаруженных «дыр» подходил для XSS-нападения, 15% могли быть использованы для отказа в обслуживании, 13% — для раскрытия важных данных, 12% — для неавторизованного изменения данных. Уязвимости как способ остановить завод и ядерную программу В 2011 году специалисты в полный голос заговорили о наступлении эпохи холодной кибервойны. Мишенями хакеров становятся промышленные предприятия и военные секреты. Осенью стало известно о троянском вирусе под названием Duqu. Он проникает в компьютер под управлением Windows, используя критическую уязвимость с идентификатором CVE-2011-3402. Затем вирус способен внедриться в смежную SCADA-систему предприятия с целью похищения информации об ИТ-инфраструктуре и установления контроля над промышленными объектами. Некоторые эксперты отмечали, что фрагменты основного модуля Duqu имеют большое сходство с червем Stuxnet, который в 2010 году вывел из строя несколько иранских заводов по обогащению урана. Поддельные SSL-сертификаты — месть за Иран? Весной и летом 2011 года тегеранские хакеры последовательно взломали серверы удостоверяющих центров Comodo и DigiNotar. Второй случай оказался особенно «урожайным». Часть украденных сертификатов безопасности принадлежали ЦРУ, Моссаду и МИ-6. Помимо международной киберразведки, похищенные «цифровые паспорта» использовались для атак типа man-in-the-middle (MitM). Хакер пропускал интернет-траффик «клиента» через собственный прокси-сервер, где браузер жертвы встречался с фальшивым сертификатом и выдавал информацию в незашифрованном виде. Под ударом оказались пользователи интернет-банкинга, почтовых онлайн-служб и других сервисов, использующих SSL-сертификаты. Цифровые подписи и военные секреты США Взломав серверы компании RSA Security в середине марта 2011 года, неизвестные хакеры поставили под угрозу надежность цифровых подписей RSA SecurID. Этими ключами пользовались более 40 миллионов работников для получения доступа к закрытым сетям. Атака началась с электронного письма, призывающего работников головной компании RSA открыть фальшивый файл Excel с интригующим названием «План комплектования штата 2011.xls». Зараженная таблица при открытии инициировала установку на ПК бекдора Poison Ivy, эксплуатируя уязвимость с идентификатором CVE-2011-0609 в Adobe Flash Player. Среди похищенной информации были сведения о новейших решениях для двухфакторной проверки подлинности. Позже с помощью украденных ключей злоумышленники пытались взломать серверы крупнейшего в мире предприятия ВПК – корпорации Lockheed Martin. Что бывает из-за несоответствия стандарту PCI DSS В мае 2011 года были пойманы румынские хакеры, взломавшие системы обработки транзакций торговых терминалов и три года перехватывавшие данные платежных карт клиентов. Основной удар пришелся по компании Subway. Проникновение в ЛВС Subway, согласно информации The Wire, осуществлялось через беспроводные сети в ресторанах, а сами терминалы не соответствовали стандартам безопасности индустрии платежных карт (PCI DSS). Кроме того, специалисты, осуществляющие удаленную техподдержку терминалов, не только не устанавливали обновления для приложения удаленного администрирования PCAnywhere, но и выбрали простейшую комбинацию логина и пароля (administrator, computer) в более чем 200 системах. Исследовательский центр Positive Research совместно с порталом, по информационной безопасности, SecurityLab.ru продолжает анализировать уязвимости информационных систем. Результаты последующих исследований будут раскрыты на международном форуме по практической безопасности Positive Hack Days 30–31 мая 2012 года в Москве. Редактор раздела: Алена Журавлева (info@mskit.ru) Рубрики: Безопасность Ключевые слова: информационная безопасность сетей, информационная безопасность защита, безопасность информационных систем обеспечение безопасности, анализ информационной безопасности, информационная безопасность организации, безопасность, информационная безопасность, сетевая безопасность, системы безопасности, защита персональных данных, персональные данные
наверх
Для того, чтобы вставить ссылку на материал к себе на сайт надо:
|
|||||
А знаете ли Вы что?
NNIT.RU: последние новости Нижнего Новгорода и Поволжья13.11.2024 Т2 запустил первый тариф после ребрендингаз> 31.10.2024 «Осенний документооборот – 2024»: взгляд в будущее системы электронного документооборотаз>
|
||||