Происходит это следующим образом: жертва обращается к домену, принадлежащему злоумышленнику, получает с DNS-сервера IP-адрес, соответствующий доменному имени, обращается на веб-сервер, соответствующий полученному IP, и получает с него сценарий JavaScript. Полученный JavaScript через некоторое время после загрузки инициирует повторный запрос на сервер. В этот момент атакующий с помощью межсетевого экрана блокирует все запросы жертвы к серверу. Браузер пытается повторно узнать IP-адрес сервера, послав соответствующий DNS-запрос, и на этот раз получает IP-адрес уязвимого сервера из локальной сети жертвы.

В 2011 году было обнаружено 594 уязвимости в самых популярных браузерах.

Уязвимости в браузерах
Браузер	Уязвимостей	Критических	Высоких	Средних	Низких
Safari	169	0	140	13	16
Chrome	278	1	197	42	38
Firefox	89	0	65	12	12
Internet Explorer	39	3	20	3	13
Opera	19	0	3	7	9

Источник: Портал по информационной безопасности SecurityLab.ru, 2012

Наиболее защищенным браузером в отношении количества найденных уязвимостей в 2011 году оказался Opera. У всех остальных популярных браузеров этого типа были обнаружены уязвимости критического уровня. Три из них пришлись на Internet Explorer, и одну обнаружили в Chrome 11.x.

В "общем зачете" лидером по найденным уязвимостям стал Google Chrome, второе место — Apple Safari, третье — Firefox.

ActiveX и Flash по-прежнему – источники проблем

Киберзлоумышленниками по-прежнему эксплуатируются уязвимости нулевого дня, дающие возможность произвести атаку до информирования разработчика об обнаруженной уязвимости, что не позволяет последнему вовремя устранить собственную ошибку. Впервые данную уязвимость обнаружили в 2006 году, и основным "поставщиком" проблемы была корпорация Microsoft.

Например, уязвимость в Microsoft Office Web Components Spreadsheet ActiveX компоненте появилась из-за ошибки проверки границ данных в методе msDataSourceObject() в Office Web Components Spreadsheet ActiveX компоненте. В результате чего удаленный пользователь был в состоянии с помощью специально сформированного web-сайта вызвать переполнение стека и выполнить произвольный код на целевой системе.

Однако после 2009 года лидером в данной номинации стал разработчик Adobe со своим популярным продуктом Flash player. Разработчик разослал предупредительные электронные письма о том, что критическая уязвимость была обнаружена в Adobe Reader X (10.1.1) и более ранних версиях для Windows и Macintosh, Adobe Reader 9.4.6, а так же в более ранних девятых версиях для Unix, в Adobe Acrobat X (10.1.1) и более ранних версиях для Windows и Macintosh. Последним "хитом" проникновения стала уязвимость CVE-2011-2462 в Adobe Reader, которая была использована для взлома подрядчика министерства обороны США ManTech.

Огорчает статистика найденных уязвимостей в медиаплеерах. Apple iTunes (133 уязвимости) занимает первое место. У теряющего доли рынка в жесткой конкурентной борьбе Windows Media Player было обнаружено всего 2 уязвимости.

Уязвимости в популярных мультимедийных проигрывателях
ПО/Опасность	Критическая	Высокая	Средняя	Низкая
Apple iTunes	0	133	1	3
Apple Quicktime	0	27	0	2
RealPlayer 14.x	0	22	0	0
VLC Media Player	0	14	1	0
Winamp	0	17	0	0
Windows Media Player	0	2	0	0

Источник: Портал по информационной безопасности SecurityLab.ru, 2012

MS Windows лидирует

Среди операционных систем лидерство по обнаруженным уязвимостям удерживает Windows. Данный количественный показатель (92 уязвимости за весь период) является производной популярности этих продуктов Microsoft. Только в 2011 году было выявлено две критические уязвимости. Однако, если рассматривать показатели по степени их опасности, то 33 уязвимости высокой степени опасности обнаружили в Mac OS, 22 уязвимости обнаружили среди OS Windows, и только одну у Linux. При учете уязвимостей операционных систем не учитывались уязвимости в ПО сторонних производителей.

Уже в марте 2012 года согласно выпущенным компанией Microsoft шести бюллетеням были обнаружены критические уязвимости позволяющие удаленную компрометацию системы в ПО Microsoft Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2.

Рейтинг "important" был так же присвоен другим найденным уязвимостям в вышеуказанном программном обеспечении и в приложениях Microsoft Visual Studio 2008, Studio 2010, Microsoft Expression Design, Design 2, Design 3, Design 4.

График уязвимостей в ОС по уровню опасности

Источник: Портал по информационной безопасности SecurityLab.ru, 2012

Уязвимость веб-сайтов

Ввиду активного развития облачных технологий и увеличения использования удаленной работы с данными и приложениями хакерам стали еще более интересны уязвимости в сегменте web-приложений. В течение года были обнаружены 204 уязвимости в CMS. При этом 18% обнаруженных уязвимостей приходилось на системы управления содержимым и 7% - на web-форумы.

******

Использование таких уязвимостей в состоянии привести не только к нарушениям работы сети и ПО, финансовым и экономическим потерям, но и к снижению выпуска товаров в воспроизводящем секторе, а так же к глобальным физическим катастрофам мирового масштаба. И чем больше удельный вес участия компьютеров в управлении производственными процессами, тем выше степень угрозы атаки хакеров на конкретные предприятия.

Чаще всего причинами "холодной" кибервойны становится отраслевая конкурентная среда, объекты оборонного или военного назначения, интеллектуальная собственность, финансы. В этот список можно внести практически все объекты, косвенно либо напрямую зависимые от электронно-вычислительных машин.

Подробнее: http://www.cnews.ru/reviews/index.shtml?2012/06/26/494412

Использование таких уязвимостей в состоянии привести не только к нарушениям работы сети и ПО, финансовым и экономическим потерям, но и к снижению выпуска товаров в воспроизводящем секторе, а так же к глобальным физическим катастрофам мирового масштаба. И чем больше удельный вес участия компьютеров в управлении производственными процессами, тем выше степень угрозы атаки хакеров на конкретные предприятия.

Чаще всего причинами "холодной" кибервойны становится отраслевая конкурентная среда, объекты оборонного или военного назначения, интеллектуальная собственность, финансы. В этот список можно внести практически все объекты, косвенно либо напрямую зависимые от электронно-вычислительных машин.

Прямая и явная угроза

В качестве примера можно привести реальную физическую угрозу населению, которая могла произойти в результате создания троянского вируса Duqu. Данный вирус в состоянии проникнуть в компьютер под управлением Windows, используя критическую уязвимость CVE-2011-3402. Впоследствии вирус способен внедриться в смежную SCADA-систему предприятия с целью похищения информации об ИТ-инфраструктуре и установления контроля над промышленными объектами. Некоторые эксперты отмечали, что фрагменты основного модуля Duqu имеют большое сходство с "червём" Stuxnet, который в 2010 г. вывел из строя несколько иранских заводов по обогащению урана.

С помощью украденных в RSA Security ключей была произведена попытка взлома серверов крупнейшего в мире предприятия военно-промышленного комплекса - корпорации Lockheed Martin

Еще один серьезный инцидент произошел в США. В середине марта 2011 года неизвестными хакерами были взломаны серверы компании RSA Security, что поставило под угрозу надежность цифровых подписей RSA SecurID. Данные цифровые ключи использовали более 40 миллионов работников для получения доступа к закрытым сетям. Атака началась с рядовой рассылки электронного письма с вложенным Excel файлом "План комплектования штата 2011.xls" При открытии зараженная таблица устанавливала на компьютер бекдор (чёрный ход) Poison Ivy, эксплуатируя уязвимость CVE-2011-0609 в Adobe Flash Player. Среди похищенной информации были сведения о новейших решениях для двухфакторной проверки подлинности. С помощью украденных ключей была произведена попытка взлома серверов крупнейшего в мире предприятия военно-промышленного комплекса - корпорации Lockheed Martin.

Весной и летом 2011 г. иранские хакеры, используя поддельные SSL-сертификаты, последовательно взломали серверы удостоверяющих центров Comodo и DigiNotar. В список украденных сертификатов попали сертификаты безопасности ЦРУ, "Моссада" и MI-6. Помимо международной киберразведки, похищенные "цифровые паспорта" использовались для атак man-in-the-middle (MitM). Хакер пропускал интернет-траффик "клиента" через собственный прокси-сервер, где браузер жертвы встречался с фальшивым сертификатом и выдавал информацию в расшифрованном виде. Под ударом оказались пользователи интернет-банкинга, почтовых онлайн-служб и других сервисов, использующих SSL-сертификаты.

В мае 2011 года были пойманы румынские хакеры, которые воспользовались несоответствием системы обработки транзакций торговых терминалов стандарта PCI DSS, что позволило им в течение трех лет перехватывать данные платёжных карт клиентов. Больше всех пострадали клиенты компании Subway. Проникновение в ЛВС Subway, согласно информации The Wire, осуществлялось через беспроводные сети в ресторанах, при этом сами терминалы не соответствовали стандартам безопасности индустрии платёжных карт (PCI DSS). В результате проведенного расследования было обнаружено, что специалисты, осуществляющие удаленную техподдержку терминалов, не устанавливали обновления для приложения удалённого администрирования PCAnywhere и выбрали простейшую комбинацию логина и пароля (administrator, computer) в более чем 200 системах.

Почти половина уязвимостей не закрывается

Статистика за 2011 год описывает 4733 уязвимости. При этом на 1 января 2012 года производителями программного обеспечения было устранено только 58% из них, и еще 7% были обеспечены инструкциями по устранению. Фактически каждая третья уязвимость осталась доступной для возможной кибератаки при полной информированности разработчиков данных продуктов. В сложившейся ситуации производители подвергают риску не только репутацию собственного бизнеса и абстрактных корпораций, о деятельности которых мы имеем поверхностное представление, но и конкретных пользователей ПО, и в некоторых случаях все общество.

Если рассматривать степень доступности злоумышленника через обнаруженные в 2011 году уязвимости, то в 77% хакер мог иметь удаленный доступ к ПО, и лишь для 15% из них требовалась локальная сеть, а для 8% - личное присутствие или инсайдерская информация.

Практически любое массовое программное обеспечение имеет ряд уязвимостей, которыми могут воспользоваться злоумышленники. В список рассмотренных категорий среди клиентского ПО входят операционные системы, браузеры, офисные и мультимедийные приложения, ActiveX компоненты. Серверное ПО включает SCADA-системы, DNS-серверы, Web-серверы и серверы приложений.

Самый "дырявый" браузер – Chrome

Пример - атаки на DNS-серверы. Все современные браузеры кэшируют результаты DNS-запроса после того, как получили страницу сайта. Кэширование необходимо для предотвращения отправки запросов к сторонним серверам осуществляемой с помощью подмены IP-адреса. Такой механизм называется DNS Pinning. Для взлома DNS сервера производятся атаки типа Anti DNS pinning, специализацией которых являются веб-серверы, отвечающие на HTTP-запросы с произвольным значением заголовка Host.

Одна из основных причин наличия уязвимостей в ПО является недооценка риска и слабая защищенность web-приложений. Простота протокола HTTP позволяет злоумышленнику разрабатывать эффективные методы автоматического анализа программ и выявления в них уязвимостей.

Согласно статистического анализа уязвимостей, проведенных в 2010 и 2011 годах компанией Positive Technologies было произведено исследование 123 web-приложений крупнейших предприятий. В список вошли наиболее значимые предприятия в отраслях экономики:

Распределение участников по отраслям экономики
Отрасль экономики	Доля, %
Телекоммуникации	26
Государственный сектор	25
Финансовый сектор	17
Информационные технологии	13
Промышленность	7
Другие	12

Источник: Портал по информационной безопасности SecurityLab.ru, 2012

Лидер в этом списке — уязвимость Cross-Site Request Forgery, которой оказался подвержен 61% всех проверенных сайтов. Далее следуют Information Leakage и Brute Force — 54% и 52% сайтов, а также SQL Injection с критическим уровнем риска, обнаруженная на 47% ресурсов. Далее, по удельным долям найденных уязвимостей в список вошли уязвимости с высокой степенью риска — OS Commanding и Path Traversal (28%) и среднего уровня риска: Insufficient Anti-automation (42%), Cross-Site Scripting (40%), Predictable Re-source Location (36%) и Insufficient Transport Layer Protection (22%).

Наиболее распространенные уязвимости
Уязвимость	Доля сайтов, %
Cross-Site Request Forgery	61
Information Leakage	54
Brute Force	52
SQL Injection	47
Insufficient Anti-automation	42
Cross-Site Scripting	40
Predictable Resource Location	36
OS Commanding	28
Path Traversal	28
Insufficient Transport Layer Protection	22

Источник: Портал по информационной безопасности SecurityLab.ru, 2012

Также в исследовании была выявлена зависимость уязвимостей от языка программирования. Можно заметить, что доли уязвимых сайтов на ASP.NET и Java ниже по сравнению с аналогичными показателями для языка PHP.

Наиболее распространенные уязвимости в зависимости от языка программирования х
PHP	Доля сайтов, %	ASP.NET	Доля сайтов, %	Java	Доля сайтов, %
Cross-Site Request Forgery	73	Cross-Site Scripting	39	Insufficient Authorization	41
SQL Injection	61	Cross-Site Request Forgery	35	Cross-Site Request Forgery	35
Cross-Site Scripting	43	Insufficient Anti-automation	35	Application Misconfiguration	29
Insufficient Anti-automation	42	SQL Injection	22	Insufficient Authenticatio	29
Path Traversal	42	Application Misconfiguration	17	OS Commanding	29

Источник: Портал по информационной безопасности SecurityLab.ru, 2012

Доли сайтов на различных языках программирования с уязвимостями высокого и среднего уровня риска

Источник: Портал по информационной безопасности SecurityLab.ru, 2012

В результате исследований были выявлены уязвимости, которые присутствуют среди ресурсов, функционирующих под управлением серверов Apache, Microsoft IIS, nginx, Jboss, Tomcat, IBM HTTP Server, Oracle Application Server и др. Наиболее широко представлены первые три сервера, из них предпочтение отдается серверу Apache (57%). Согласно классификации WASC TC v.2, значительная доля уязвимостей связано с ошибками администрирования.

Распределение сайтов по используемому web-серверу
Сервер	Доля, %
Apache	57
IIS	17
Nginx	10
Другие	16

Источник: Портал по информационной безопасности SecurityLab.ru, 2012

Доли уязвимых сайтов на различных web-серверах

Увеличить

Источник: Портал по информационной безопасности SecurityLab.ru, 2012

Исследование Positive Technologies позволяет оценить доли присутствия уязвимостей различных уровней рисков для отраслевой принадлежности владельца web-приложений. В зависимости от рода деятельности предприятия и назначения системы наибольшую значимость могут приобретать конфиденциальность информации и (или) доступность ресурса.

Доли сайтов с уязвимостями высокого уровня риска, принадлежащих разным отраслям экономики

Источник: Портал по информационной безопасности SecurityLab.ru, 2012

Доли уязвимых сайтов из различных отраслей экономики

Источник: Портал по информационной безопасности SecurityLab.ru, 2012

Распределение уязвимостей по уровню риска на сайтах из различных отраслей экономики

Источник: Портал по информационной безопасности SecurityLab.ru, 2012

Анализ выявленных уязвимостей по сегментам отраслей показывает, что основная доля рисков проникновения приходится на телекоммуникационные предприятия, IT компании и промышленность. Наиболее защищенным является финансовый и банковский сектор. Однако банки предпочитают защищать только собственные ресурсы, не уделяя должного внимания информированию своих клиентов.

Сравнительно честные способы обмануть службу поддержки

Зачастую сами работники крупных компаний пренебрегают элементарными мерами безопасности, что приводит к потере данных и взлому пользовательских страниц, размещенных на удаленных площадках. Это касается, как сегментов B2С и B2B, так социальных сетей и почтовых служб.

Простая услуга получения забытого пароля позволяет обеспечить проникновение и доступ к информации аккаунта, размещенного с использованием ресурсов некоторых социальных сетей. Для доступа к странице среднестатистического пользователя "ВКонтакте" достаточно несколько запросов в службу поддержки с представлением контактных данных, размещенных на его же странице в свободном доступе (номер телефона, электронная почта и так далее). В ходе переписки с персоналом и манипуляции с данными пароль можно получить в течение суток.

Компания Google, позиционирующая себя как создателя одного из самых безопасных ресурсов в интернете, требует для получения утерянного пароля заполнение формы, в которой указывается время начала использования учетной записи, сервисы, подключенные к данной учетной записи, информация о содержимом почтового ящика (метки, популярные корреспонденты и т. д.) Большую часть этих данных можно получить из открытых источников не прибегая к специальным средствам. Этих данных оказывается достаточно для получения пароля из службы поддержки Google, что позволяет получить доступ не только к чужому почтовому ящику, но и к другим сервисам Google: Picasa, YouTube, Google Analytics и т.д.

"Корпорация добра" платит за находки

Оборотная сторона медали пользовательской безопасности – это потеря доверия к программному обеспечению со стороны клиентов. И как следствие, снижение прибыли продавцов. Крупные интернет компании и разработчики программного обеспечения подходят к решению проблемы комплексно. Например, компания Google организовала программу Bug Bounty, в рамках которой она платит за найденные баги в своих продуктах. Программа действует с ноября 2010 года и участвовать в ней может любой желающий, гонорар присылают чеком. В июле 2011 года сумма вознаграждения за самые опасные дыры была увеличена до 3133,7 долл.

На оплату могут претендовать все находки серьёзных багов, особенноXSS, XSRF / CSRF, XSSI (cross-site script inclusion),обход авторизации (User A получает доступ к приватным данным User B), исполнение кода на стороне сервера или внедрение кода.

Вознаграждение можно получить за нахождение уязвимости в любом продукте Google: это браузеры Chrome, Chromium, продукты Gmail, Youtube, Google Docs, Chrome OS, а также за все сервисы на доменах *.google.com, *.youtube.com, *.blogger.com и *.orkut.com. Программа вознаграждений не действует только для клиентских приложений (Android, Picasa, Google Desktop и проч.).

После года действия программы и 410 тыс. долл. выплаченных вознаграждений, компания Google определила программу как "очень успешную". За время её действия было получено 1100 сообщений об уязвимостях разной важности более чем от 200 человек. Из этого числа 730 уязвимостей были оплачены. Значительная часть денег Google была отправлена в СНГ. Стоить отметить, что Google не согласен с отнесением всех уязвимостей на его счет. Менеджеры компании заявляют, что примерно половина найденных уязвимостей приходится на разработки вновь приобретенных компаний.

Что же такое уязвимость?

Для того чтобы проблема была решена, требуется дать ей четкую характеристику. В США были предприняты попытки определения термина "компьютерные уязвимости" В результате исследований, финансируемых из госбюджета, группой MITRE (анализ и разрешение компьютерных проблем, безопасность) было дано развернутое определение уязвимости.

Уязвимость — это состояние вычислительной системы (или нескольких систем), которое позволяет исполнять команды от имени другого пользователя; получать доступ к информации, закрытой от доступа для данного пользователя; показывать себя как иного пользователя или ресурс; производить атаку типа "отказ в обслуживании".

Впоследствии термин "уязвимость" был разделен на два значения. В MITRE считают, что атака, производимая вследствие слабой или неверно настроенной политики безопасности, может также описываться термином "открытость" (exposure).

Открытость — это состояние вычислительной системы (или нескольких систем), которое не является уязвимостью, но позволяет атакующему производить сбор защищенной информации; позволяет атакующему скрывать свою деятельность; содержит возможности, которые работают корректно, но могут быть легко использованы в неблаговидных целях; является первичной точкой входа в систему, которую атакующий может использовать для получения доступа или информации.

В момент получения неавторизованного доступа к системе злоумышленник производит сбор информации (расследование) об объекте атаки, собирает любые доступные данные и затем использует слабость политики безопасности ("открытость") или какую-либо уязвимость.

Интернет – безусловное благо для общества. В период перехода социального развития от индустриального к информационному именно глобальная Сеть позволяет эффективно эксплуатировать необходимые данные и информацию. Интернет связывает, систематизирует, находит, передает, показывает, выполняет огромное количество иных функций. Однако, как любой инструмент, Сеть может быть использована не только во благо, но и во вред. Подобный перекос напрямую связан с возможностями, которые предоставляет эксплуатируемый инструмент. В частности, такие возможности для противоправных деяний создаются самими разработчиками ПО.

Мы все понимаем, что невозможно предусмотреть появление всех уязвимостей и создать идеальное программное обеспечение. На каждого производителя найдется свой взломщик. Вопрос качественной эксплуатации программ стоит не в обеспечении 100% безопасности клиентов на момент разработки ПО, а максимизации качества продукта и своевременном реагировании на обнаруженные уязвимости путем устранения последних со стороны производителя.

Павел Лаврентьев