Видео: По закону ⚡️ Барбоскины ⚡️ Сборник мультфильмов 2019 (Ноябрь 2024)
Сторонние продукты берут на себя
Никто не удивится, узнав, что общее количество известных уязвимостей растет с каждым годом или что большинство из них используют атаки удаленных сетей для проникновения в уязвимые сети. Тем не менее, существенные недостатки в операционных системах и программах Microsoft становятся все меньше и меньше. Secunia сообщает, что 86 процентов активных уязвимостей в 2012 году затронули сторонние продукты, такие как Java, Flash и Adobe Reader. В 2007 году сторонние уязвимости составили менее 60 процентов от общего числа.
С другой стороны, опасное окно между обнаружением уязвимости и созданием патча становится все меньше. Secunia сообщает о доступности исправлений в тот же день для 80 процентов этих угроз в 2012 году, по сравнению с чуть более 60 процентами в 2007 году. Это означает, что 20 процентов не имеют исправлений в тот же день или даже в течение 30 дней, но сохраняют все ваши обновления программного обеспечения гарантируют, что вы получите все эти патчи в тот же день.
SCADA небезопасность
В обзоре за 2013 г. сообщается об уязвимостях в системах SCADA (диспетчерский контроль и сбор данных). Эти системы управляют заводами, электростанциями, ядерными реакторами и другими важными промышленными установками. Печально известный червь Stuxnet уничтожил центрифуги по обогащению урана в Иране, захватив их контролеры SCADA.
По словам Secunia, «программное обеспечение SCADA сегодня находится на стадии основного программного обеспечения, было 10 лет назад… Многие уязвимости остаются не исправленными в течение более одного месяца в программном обеспечении SCADA». Таблица времени для исправления репрезентативных уязвимостей SCADA показывает, что некоторые из них в категории высокого риска оставались не исправленными более 90 дней.
Теоретически, системы SCADA должны быть менее уязвимы, потому что они не подключены к Интернету. На практике это не всегда так, и даже локальное сетевое соединение может быть взломано злоумышленниками. Полный «воздушный зазор» без какого-либо сетевого подключения не защитил центрифуги Stuxnet. Они стали жертвами зараженных USB-накопителей, неосознанно вставленных техническими специалистами. Очевидно, что поставщикам программного обеспечения SCADA предстоит проделать определенную работу, связанную с обеспечением безопасности и удалением исправлений.
Хакеры идут за золотом
Уязвимость нулевого дня - это только что обнаруженная уязвимость, для которой не существует патча. Отчет Secunia включает в себя информативную диаграмму, которая показывает количество нулевых дней, обнаруживаемых каждый год в 25 самых популярных программах, а также в 50, 100, 200 и 400. Общие цифры отличаются от года к году, достигнув максимума в 2011 году с 15 нулевых дней.
Что еще интереснее, так это то, что в течение определенного года цифры практически не меняются по мере увеличения пула потенциально скомпрометированных программ. Почти все нулевые дни влияют на самые популярные программы. Это на самом деле имеет большой смысл. Чтобы обнаружить программный недостаток, которого еще никто не нашел, требуется много исследований и кропотливая работа. Для хакеров имеет смысл сконцентрироваться на наиболее распространенных программах. Эксплойт, который получает полный контроль над системой жертвы, не стоит много, если только в одной системе из миллиона установлена уязвимая программа.
Больше узнать
Я достиг вершины, но из отчета об уязвимости Secunia можно многому научиться. Вы можете скачать весь отчет с сайта Secunia. Если полный отчет кажется ошеломляющим, не волнуйтесь. Исследователи Secunia также подготовили инфографику, которая поражает все высокие позиции.