Video: Personal Software Inspector Overview (Septembra 2024)
Produkty tretích strán sa zasiahli
Nikto nebude prekvapený, keď sa dozvie, že celkový počet známych zraniteľností medziročne rastie alebo že väčšina sa spolieha na útok na vzdialenú sieť, aby prenikla do zraniteľných sietí. Významné nedostatky v operačných systémoch a programoch spoločnosti Microsoft sa však stávajú menšou a menšou časťou celku. Spoločnosť Secunia uvádza, že 86 percent aktívnych zraniteľností ovplyvnilo v roku 2012 produkty tretích strán, ako sú Java, Flash a Adobe Reader. V roku 2007 tvorili zraniteľnosti tretích strán menej ako 60% z celkového počtu.
Pozitívne je, že nebezpečné okno medzi objavením zraniteľnosti a vytvorením opravy sa zmenšuje. Spoločnosť Secunia nahlásila dostupnosť záplaty v ten istý deň pre 80 percent týchto hrozieb v roku 2012, z niečoho viac ako 60 percent v roku 2007. Zostáva tak 20 percent, ktoré nemajú záplatu v ten istý deň alebo dokonca do 30 dní, ale ponechávajú si všetok aktualizovaný softvér zabezpečí, aby ste dostali všetky tie opravy z toho istého dňa.
Neistota SCADA
Hodnotiace správy za rok 2013 o zraniteľnostiach v systémoch SCADA (dozorná kontrola a získavanie údajov). Tieto systémy riadia továrne, elektrárne, jadrové reaktory a ďalšie vysoko významné priemyselné zariadenia. Neslávny červ Stuxnet zničil odstredivky na obohacovanie uránu v Iráne prevzatím ich radičov SCADA.
Podľa spoločnosti Secunia „Softvér SCADA je dnes vo fáze, v ktorej bol bežný softvér pred 10 rokmi… Veľa softvérov SCADA zostáva nezodpovedaných viac ako jeden mesiac.“ Časový plán reprezentatívnych zraniteľností SCADA ukazuje, že niektoré z vysoko rizikových kategórií zostali neodoslané viac ako 90 dní.
Teoreticky by systémy SCADA mali byť menej zraniteľné, pretože nie sú pripojené k internetu. V praxi to tak nie je vždy a útočníci môžu narušiť aj pripojenie k miestnej sieti. Celková „vzduchová medzera“ bez akéhokoľvek sieťového pripojenia nechránila odstredivky Stuxnet. Obaja sa stali obeťami infikovaných diskov USB, ktoré vedome vložili technici. Dodávatelia softvéru SCADA majú určite čo robiť, pokiaľ ide o udržiavanie bezpečnosti a vytlačenie opráv.
Hackeri idú na zlato
Nula-denná zraniteľnosť je taká, ktorá bola práve objavená. Táto zraniteľnosť neexistuje. Správa spoločnosti Secunia obsahuje informatívny graf, v ktorom sa uvádza počet nultých dní nájdených každý rok v top 25 najpopulárnejších programoch a v top 50, 100, 200 a 400. Celkový počet sa medziročne líši a dosahuje najvyššiu hodnotu v roku 2011 s 15 nultých dní.
Čo je však zaujímavejšie, je to, že v danom roku sa čísla sotva menia, keď sa zvyšuje počet potenciálne kompromitovaných programov. Takmer všetky nulové dni ovplyvňujú najobľúbenejšie programy. To vlastne dáva veľa zmyslu. Objavenie programovej chyby, ktorú nikto iný nikdy nenašiel, vyžaduje veľa výskumu a tvrdú prácu. Hackeri majú zmysel sústrediť sa len na najrozšírenejšie programy. Využitie, ktoré prevezme úplnú kontrolu nad systémom obete, nestojí za to veľa, ak je nainštalovaný zraniteľný program iba v jednom milióne.
Viac sa dozvedieť
Narazil som na najvyššie miesta, ale zo správy o zraniteľnosti spoločnosti Secunia je toho oveľa viac. Celú správu si môžete stiahnuť z webovej stránky spoločnosti Secunia. Ak sa celá správa zdá byť ohromujúca, nebojte sa. Vedci spoločnosti Secunia tiež pripravili infographic, ktorý zasiahne všetky vysoké miesta.
