Сколько дыр в современном ПО? Обзор актуальных сетевых угроз
26.06.12, Вт, 15:33, Мск, фото: СФН
Большая часть пользователей глобальной
Сети понятия не имеют о том, какие угрозы могут скрывать в себе
программы, которыми они пользуются годами. Статистика компьютерных
уязвимостей за 2011 год, собранная исследовательским центром Positive
Research, показывает, что SCADA-системы, CMS, офисные программы,
приложения мультимедиа, почти все браузеры и операционные системы
становились объектами для незаконного проникновения. Причина угроз –
безобидные на первый взгляд и непонятные простому пользователю
уязвимости.
Использование таких уязвимостей в состоянии привести не только к нарушениям работы
сети и ПО, финансовым и экономическим потерям, но и к снижению выпуска
товаров в воспроизводящем секторе, а так же к глобальным физическим
катастрофам мирового масштаба. И чем больше удельный вес участия
компьютеров в управлении производственными процессами, тем выше степень
угрозы атаки хакеров на конкретные предприятия.
Чаще всего причинами "холодной" кибервойны становится отраслевая
конкурентная среда, объекты оборонного или военного назначения,
интеллектуальная собственность, финансы. В этот список можно внести
практически все объекты, косвенно либо напрямую зависимые от
электронно-вычислительных машин.
Прямая и явная угроза
В качестве примера можно привести реальную
физическую угрозу населению, которая могла произойти в результате
создания троянского вируса Duqu. Данный вирус в состоянии проникнуть в
компьютер под управлением Windows, используя критическую уязвимость
CVE-2011-3402. Впоследствии вирус способен внедриться в смежную
SCADA-систему предприятия с целью похищения информации об
ИТ-инфраструктуре и установления контроля над промышленными объектами.
Некоторые эксперты отмечали, что фрагменты основного модуля Duqu имеют
большое сходство с "червём" Stuxnet, который в 2010 г. вывел из строя
несколько иранских заводов по обогащению урана.
С
помощью украденных в RSA Security ключей была произведена попытка
взлома серверов крупнейшего в мире предприятия военно-промышленного
комплекса - корпорации Lockheed Martin
Еще один серьезный инцидент произошел в США. В середине марта 2011
года неизвестными хакерами были взломаны серверы компании RSA Security,
что поставило
под угрозу надежность цифровых подписей RSA SecurID. Данные цифровые
ключи использовали более 40 миллионов работников для получения доступа к
закрытым сетям. Атака началась с рядовой рассылки электронного письма с
вложенным Excel файлом "План комплектования штата 2011.xls" При
открытии зараженная таблица устанавливала на компьютер бекдор (чёрный
ход) Poison Ivy, эксплуатируя уязвимость CVE-2011-0609 в Adobe Flash
Player. Среди похищенной информации были сведения о новейших решениях
для двухфакторной проверки подлинности. С помощью украденных ключей была
произведена попытка взлома серверов крупнейшего в мире предприятия
военно-промышленного комплекса - корпорации Lockheed Martin.
Весной и летом 2011 г. иранские хакеры, используя поддельные SSL-сертификаты, последовательно взломали серверы удостоверяющих центров
Comodo и DigiNotar. В список украденных сертификатов попали сертификаты
безопасности ЦРУ, "Моссада" и MI-6. Помимо международной киберразведки,
похищенные "цифровые паспорта" использовались для атак
man-in-the-middle (MitM). Хакер пропускал интернет-траффик "клиента"
через собственный прокси-сервер, где браузер жертвы встречался с
фальшивым сертификатом и выдавал информацию в расшифрованном виде. Под
ударом оказались пользователи интернет-банкинга, почтовых онлайн-служб и
других сервисов, использующих SSL-сертификаты.
В мае 2011 года были пойманы румынские хакеры, которые воспользовались несоответствием системы
обработки транзакций торговых терминалов стандарта PCI DSS, что
позволило им в течение трех лет перехватывать данные платёжных карт
клиентов. Больше всех пострадали клиенты компании Subway. Проникновение в
ЛВС Subway, согласно информации The Wire, осуществлялось через
беспроводные сети в ресторанах, при этом сами терминалы не
соответствовали стандартам безопасности индустрии платёжных карт (PCI
DSS). В результате проведенного расследования было обнаружено, что
специалисты, осуществляющие удаленную техподдержку терминалов, не
устанавливали обновления для приложения удалённого администрирования
PCAnywhere и выбрали простейшую комбинацию логина и пароля
(administrator, computer) в более чем 200 системах.
Почти половина уязвимостей не закрывается
Статистика за 2011 год описывает 4733 уязвимости. При этом на 1
января 2012 года производителями программного обеспечения было устранено
только 58% из них, и еще 7% были обеспечены инструкциями по устранению.
Фактически каждая третья уязвимость осталась доступной для возможной
кибератаки при полной информированности разработчиков данных продуктов. В
сложившейся ситуации производители подвергают риску не только репутацию
собственного бизнеса и абстрактных корпораций, о деятельности которых
мы имеем поверхностное представление, но и конкретных пользователей ПО, и
в некоторых случаях все общество.
Если рассматривать степень доступности злоумышленника через
обнаруженные в 2011 году уязвимости, то в 77% хакер мог иметь удаленный
доступ к ПО, и лишь для 15% из них требовалась локальная сеть, а для 8% -
личное присутствие или инсайдерская информация.
Практически любое массовое программное обеспечение имеет ряд
уязвимостей, которыми могут воспользоваться злоумышленники. В список
рассмотренных категорий среди клиентского ПО входят операционные
системы, браузеры, офисные и мультимедийные приложения, ActiveX
компоненты. Серверное ПО включает SCADA-системы, DNS-серверы,
Web-серверы и серверы приложений.
Самый "дырявый" браузер – Chrome
Пример - атаки на DNS-серверы. Все современные браузеры кэшируют
результаты DNS-запроса после того, как получили страницу сайта.
Кэширование необходимо для предотвращения отправки запросов к сторонним
серверам осуществляемой с помощью подмены IP-адреса. Такой механизм
называется DNS Pinning. Для взлома DNS сервера производятся атаки типа
Anti DNS pinning, специализацией которых являются веб-серверы,
отвечающие на HTTP-запросы с произвольным значением заголовка Host.
******
Происходит
это следующим образом: жертва обращается к домену, принадлежащему
злоумышленнику, получает с DNS-сервера IP-адрес, соответствующий
доменному имени, обращается на веб-сервер, соответствующий полученному
IP, и получает с него сценарий JavaScript. Полученный JavaScript через
некоторое время после загрузки инициирует повторный запрос на сервер. В
этот момент атакующий с помощью межсетевого экрана блокирует все запросы
жертвы к серверу. Браузер пытается повторно узнать IP-адрес сервера,
послав соответствующий DNS-запрос, и на этот раз получает IP-адрес
уязвимого сервера из локальной сети жертвы.
В 2011 году было обнаружено 594 уязвимости в самых популярных браузерах.
Уязвимости в браузерах |
Браузер |
Уязвимостей |
Критических |
Высоких |
Средних |
Низких |
Safari |
169 |
0 |
140 |
13 |
16 |
Chrome |
278 |
1 |
197 |
42 |
38 |
Firefox |
89 |
0 |
65 |
12 |
12 |
Internet Explorer |
39 |
3 |
20 |
3 |
13 |
Opera |
19 |
0 |
3 |
7 |
9 |
Источник: Портал по информационной безопасности SecurityLab.ru, 2012
Наиболее защищенным браузером в отношении количества найденных
уязвимостей в 2011 году оказался Opera. У всех остальных популярных
браузеров этого типа были обнаружены уязвимости критического уровня. Три
из них пришлись на Internet Explorer, и одну обнаружили в Chrome 11.x.
В "общем зачете" лидером по найденным уязвимостям стал Google Chrome, второе место — Apple Safari, третье — Firefox.
ActiveX и Flash по-прежнему – источники проблем
Киберзлоумышленниками по-прежнему эксплуатируются
уязвимости нулевого дня, дающие возможность произвести атаку до
информирования разработчика об обнаруженной уязвимости, что не позволяет
последнему вовремя устранить собственную ошибку. Впервые данную
уязвимость обнаружили в 2006 году, и основным "поставщиком" проблемы
была корпорация Microsoft.
Например, уязвимость в Microsoft
Office Web Components Spreadsheet ActiveX компоненте появилась из-за
ошибки проверки границ данных в методе msDataSourceObject() в Office Web
Components Spreadsheet ActiveX компоненте. В результате чего удаленный
пользователь был в состоянии с помощью специально сформированного
web-сайта вызвать переполнение стека и выполнить произвольный код на
целевой системе.
Однако после 2009 года лидером
в данной номинации стал разработчик Adobe со своим популярным продуктом
Flash player. Разработчик разослал предупредительные электронные письма
о том, что критическая уязвимость была обнаружена в Adobe Reader X
(10.1.1) и более ранних версиях для Windows и Macintosh, Adobe Reader
9.4.6, а так же в более ранних девятых версиях для Unix, в Adobe Acrobat
X (10.1.1) и более ранних версиях для Windows и Macintosh. Последним
"хитом" проникновения стала уязвимость CVE-2011-2462 в Adobe Reader,
которая была использована для взлома подрядчика министерства обороны США
ManTech.
Огорчает статистика найденных уязвимостей в медиаплеерах. Apple
iTunes (133 уязвимости) занимает первое место. У теряющего доли рынка в
жесткой конкурентной борьбе Windows Media Player было обнаружено всего 2
уязвимости.
Уязвимости в популярных мультимедийных проигрывателях |
ПО/Опасность |
Критическая |
Высокая |
Средняя |
Низкая |
Apple iTunes |
0 |
133 |
1 |
3 |
Apple Quicktime |
0 |
27 |
0 |
2 |
RealPlayer 14.x |
0 |
22 |
0 |
0 |
VLC Media Player |
0 |
14 |
1 |
0 |
Winamp |
0 |
17 |
0 |
0 |
Windows Media Player |
0 |
2 |
0 |
0 |
Источник: Портал по информационной безопасности SecurityLab.ru, 2012
MS Windows лидирует
Среди операционных систем
лидерство по обнаруженным уязвимостям удерживает Windows. Данный
количественный показатель (92 уязвимости за весь период) является
производной популярности этих продуктов Microsoft. Только в 2011 году
было выявлено две критические уязвимости. Однако, если рассматривать
показатели по степени их опасности, то 33 уязвимости высокой степени
опасности обнаружили в Mac OS, 22 уязвимости обнаружили среди OS
Windows, и только одну у Linux. При учете уязвимостей операционных
систем не учитывались уязвимости в ПО сторонних производителей.
Уже в марте 2012 года согласно выпущенным компанией Microsoft шести
бюллетеням были обнаружены критические уязвимости позволяющие удаленную
компрометацию системы в ПО Microsoft Windows XP, Windows Server 2003,
Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008
R2.
Рейтинг "important" был так же присвоен другим найденным уязвимостям в
вышеуказанном программном обеспечении и в приложениях Microsoft Visual
Studio 2008, Studio 2010, Microsoft Expression Design, Design 2, Design
3, Design 4.
График уязвимостей в ОС по уровню опасности
Источник: Портал по информационной безопасности SecurityLab.ru, 2012
Уязвимость веб-сайтов
Ввиду активного развития облачных технологий и увеличения
использования удаленной работы с данными и приложениями хакерам стали
еще более интересны уязвимости в сегменте web-приложений. В течение года
были обнаружены 204 уязвимости в CMS. При этом 18% обнаруженных
уязвимостей приходилось на системы управления содержимым и 7% - на
web-форумы.
******
Использование таких уязвимостей в состоянии привести не только к нарушениям работы
сети и ПО, финансовым и экономическим потерям, но и к снижению выпуска
товаров в воспроизводящем секторе, а так же к глобальным физическим
катастрофам мирового масштаба. И чем больше удельный вес участия
компьютеров в управлении производственными процессами, тем выше степень
угрозы атаки хакеров на конкретные предприятия.
Чаще всего причинами "холодной" кибервойны становится отраслевая
конкурентная среда, объекты оборонного или военного назначения,
интеллектуальная собственность, финансы. В этот список можно внести
практически все объекты, косвенно либо напрямую зависимые от
электронно-вычислительных машин.
Подробнее: http://www.cnews.ru/reviews/index.shtml?2012/06/26/494412 Использование таких уязвимостей в состоянии привести не только к нарушениям работы
сети и ПО, финансовым и экономическим потерям, но и к снижению выпуска
товаров в воспроизводящем секторе, а так же к глобальным физическим
катастрофам мирового масштаба. И чем больше удельный вес участия
компьютеров в управлении производственными процессами, тем выше степень
угрозы атаки хакеров на конкретные предприятия.
Чаще всего причинами "холодной" кибервойны становится отраслевая
конкурентная среда, объекты оборонного или военного назначения,
интеллектуальная собственность, финансы. В этот список можно внести
практически все объекты, косвенно либо напрямую зависимые от
электронно-вычислительных машин.
Прямая и явная угроза
В качестве примера можно привести реальную
физическую угрозу населению, которая могла произойти в результате
создания троянского вируса Duqu. Данный вирус в состоянии проникнуть в
компьютер под управлением Windows, используя критическую уязвимость
CVE-2011-3402. Впоследствии вирус способен внедриться в смежную
SCADA-систему предприятия с целью похищения информации об
ИТ-инфраструктуре и установления контроля над промышленными объектами.
Некоторые эксперты отмечали, что фрагменты основного модуля Duqu имеют
большое сходство с "червём" Stuxnet, который в 2010 г. вывел из строя
несколько иранских заводов по обогащению урана.
С
помощью украденных в RSA Security ключей была произведена попытка
взлома серверов крупнейшего в мире предприятия военно-промышленного
комплекса - корпорации Lockheed Martin
Еще один серьезный инцидент произошел в США. В середине марта 2011
года неизвестными хакерами были взломаны серверы компании RSA Security,
что поставило
под угрозу надежность цифровых подписей RSA SecurID. Данные цифровые
ключи использовали более 40 миллионов работников для получения доступа к
закрытым сетям. Атака началась с рядовой рассылки электронного письма с
вложенным Excel файлом "План комплектования штата 2011.xls" При
открытии зараженная таблица устанавливала на компьютер бекдор (чёрный
ход) Poison Ivy, эксплуатируя уязвимость CVE-2011-0609 в Adobe Flash
Player. Среди похищенной информации были сведения о новейших решениях
для двухфакторной проверки подлинности. С помощью украденных ключей была
произведена попытка взлома серверов крупнейшего в мире предприятия
военно-промышленного комплекса - корпорации Lockheed Martin.
Весной и летом 2011 г. иранские хакеры, используя поддельные SSL-сертификаты, последовательно взломали серверы удостоверяющих центров
Comodo и DigiNotar. В список украденных сертификатов попали сертификаты
безопасности ЦРУ, "Моссада" и MI-6. Помимо международной киберразведки,
похищенные "цифровые паспорта" использовались для атак
man-in-the-middle (MitM). Хакер пропускал интернет-траффик "клиента"
через собственный прокси-сервер, где браузер жертвы встречался с
фальшивым сертификатом и выдавал информацию в расшифрованном виде. Под
ударом оказались пользователи интернет-банкинга, почтовых онлайн-служб и
других сервисов, использующих SSL-сертификаты.
В мае 2011 года были пойманы румынские хакеры, которые воспользовались несоответствием системы
обработки транзакций торговых терминалов стандарта PCI DSS, что
позволило им в течение трех лет перехватывать данные платёжных карт
клиентов. Больше всех пострадали клиенты компании Subway. Проникновение в
ЛВС Subway, согласно информации The Wire, осуществлялось через
беспроводные сети в ресторанах, при этом сами терминалы не
соответствовали стандартам безопасности индустрии платёжных карт (PCI
DSS). В результате проведенного расследования было обнаружено, что
специалисты, осуществляющие удаленную техподдержку терминалов, не
устанавливали обновления для приложения удалённого администрирования
PCAnywhere и выбрали простейшую комбинацию логина и пароля
(administrator, computer) в более чем 200 системах.
Почти половина уязвимостей не закрывается
Статистика за 2011 год описывает 4733 уязвимости. При этом на 1
января 2012 года производителями программного обеспечения было устранено
только 58% из них, и еще 7% были обеспечены инструкциями по устранению.
Фактически каждая третья уязвимость осталась доступной для возможной
кибератаки при полной информированности разработчиков данных продуктов. В
сложившейся ситуации производители подвергают риску не только репутацию
собственного бизнеса и абстрактных корпораций, о деятельности которых
мы имеем поверхностное представление, но и конкретных пользователей ПО, и
в некоторых случаях все общество.
Если рассматривать степень доступности злоумышленника через
обнаруженные в 2011 году уязвимости, то в 77% хакер мог иметь удаленный
доступ к ПО, и лишь для 15% из них требовалась локальная сеть, а для 8% -
личное присутствие или инсайдерская информация.
Практически любое массовое программное обеспечение имеет ряд
уязвимостей, которыми могут воспользоваться злоумышленники. В список
рассмотренных категорий среди клиентского ПО входят операционные
системы, браузеры, офисные и мультимедийные приложения, ActiveX
компоненты. Серверное ПО включает SCADA-системы, DNS-серверы,
Web-серверы и серверы приложений.
Самый "дырявый" браузер – Chrome
Пример - атаки на DNS-серверы. Все современные браузеры кэшируют
результаты DNS-запроса после того, как получили страницу сайта.
Кэширование необходимо для предотвращения отправки запросов к сторонним
серверам осуществляемой с помощью подмены IP-адреса. Такой механизм
называется DNS Pinning. Для взлома DNS сервера производятся атаки типа
Anti DNS pinning, специализацией которых являются веб-серверы,
отвечающие на HTTP-запросы с произвольным значением заголовка Host.
Одна из основных причин наличия уязвимостей в ПО является недооценка риска и слабая защищенность web-приложений. Простота
протокола HTTP позволяет злоумышленнику разрабатывать эффективные
методы автоматического анализа программ и выявления в них уязвимостей.
Согласно статистического анализа уязвимостей, проведенных в 2010 и 2011 годах компанией Positive Technologies
было произведено исследование 123 web-приложений крупнейших
предприятий. В список вошли наиболее значимые предприятия в отраслях
экономики:
Распределение участников по отраслям экономики |
Отрасль экономики |
Доля, % |
Телекоммуникации |
26 |
Государственный сектор |
25 |
Финансовый сектор |
17 |
Информационные технологии |
13 |
Промышленность |
7 |
Другие |
12 |
Источник: Портал по информационной безопасности SecurityLab.ru, 2012
Лидер в этом списке — уязвимость Cross-Site Request Forgery, которой
оказался подвержен 61% всех проверенных сайтов. Далее следуют
Information Leakage и Brute Force — 54% и 52% сайтов, а также SQL
Injection с критическим уровнем риска, обнаруженная на 47% ресурсов.
Далее, по удельным долям найденных уязвимостей в список вошли уязвимости
с высокой степенью риска — OS Commanding и Path Traversal (28%) и
среднего уровня риска: Insufficient Anti-automation (42%), Cross-Site
Scripting (40%), Predictable Re-source Location (36%) и Insufficient
Transport Layer Protection (22%).
Наиболее распространенные уязвимости |
Уязвимость |
Доля сайтов, % |
Cross-Site Request Forgery |
61 |
Information Leakage |
54 |
Brute Force |
52 |
SQL Injection |
47 |
Insufficient Anti-automation |
42 |
Cross-Site Scripting |
40 |
Predictable Resource Location |
36 |
OS Commanding |
28 |
Path Traversal |
28 |
Insufficient Transport Layer Protection |
22 |
Источник: Портал по информационной безопасности SecurityLab.ru, 2012
Также в исследовании была выявлена зависимость уязвимостей от языка
программирования. Можно заметить, что доли уязвимых сайтов на ASP.NET и
Java ниже по сравнению с аналогичными показателями для языка PHP.
Наиболее распространенные уязвимости в зависимости от языка программирования х |
PHP |
Доля сайтов, % |
ASP.NET |
Доля сайтов, % |
Java |
Доля сайтов, % |
Cross-Site Request Forgery |
73 |
Cross-Site Scripting |
39 |
Insufficient Authorization |
41 |
SQL Injection |
61 |
Cross-Site Request Forgery |
35 |
Cross-Site Request Forgery |
35 |
Cross-Site Scripting |
43 |
Insufficient Anti-automation |
35 |
Application Misconfiguration |
29 |
Insufficient Anti-automation |
42 |
SQL Injection |
22 |
Insufficient Authenticatio |
29 |
Path Traversal |
42 |
Application Misconfiguration |
17 |
OS Commanding |
29 |
Источник: Портал по информационной безопасности SecurityLab.ru, 2012
Доли сайтов на различных языках программирования с уязвимостями высокого и среднего уровня риска
Источник: Портал по информационной безопасности SecurityLab.ru, 2012
В результате исследований были выявлены уязвимости, которые
присутствуют среди ресурсов, функционирующих под управлением серверов
Apache, Microsoft IIS, nginx, Jboss, Tomcat, IBM HTTP Server, Oracle
Application Server и др. Наиболее широко представлены первые три
сервера, из них предпочтение отдается серверу Apache (57%). Согласно
классификации WASC TC v.2, значительная доля уязвимостей связано с
ошибками администрирования.
Распределение сайтов по используемому web-серверу |
Сервер |
Доля, % |
Apache |
57 |
IIS |
17 |
Nginx |
10 |
Другие |
16 |
Источник: Портал по информационной безопасности SecurityLab.ru, 2012
Доли уязвимых сайтов на различных web-серверах
Увеличить
Источник: Портал по информационной безопасности SecurityLab.ru, 2012
Исследование Positive Technologies позволяет оценить доли присутствия
уязвимостей различных уровней рисков для отраслевой принадлежности
владельца web-приложений. В зависимости от рода деятельности предприятия
и назначения системы наибольшую значимость могут приобретать
конфиденциальность информации и (или) доступность ресурса.
Доли сайтов с уязвимостями высокого уровня риска, принадлежащих разным отраслям экономики
Источник: Портал по информационной безопасности SecurityLab.ru, 2012
Доли уязвимых сайтов из различных отраслей экономики
Источник: Портал по информационной безопасности SecurityLab.ru, 2012
Распределение уязвимостей по уровню риска на сайтах из различных отраслей экономики
Источник: Портал по информационной безопасности SecurityLab.ru, 2012
Анализ выявленных уязвимостей по сегментам отраслей показывает, что
основная доля рисков проникновения приходится на телекоммуникационные
предприятия, IT компании и промышленность. Наиболее защищенным является
финансовый и банковский сектор. Однако банки предпочитают защищать
только собственные ресурсы, не уделяя должного внимания информированию
своих клиентов.
Сравнительно честные способы обмануть службу поддержки
Зачастую сами работники крупных компаний пренебрегают элементарными
мерами безопасности, что приводит к потере данных и взлому
пользовательских страниц, размещенных на удаленных площадках. Это
касается, как сегментов B2С и B2B, так социальных сетей и почтовых
служб.
Простая услуга получения забытого пароля позволяет обеспечить
проникновение и доступ к информации аккаунта, размещенного с
использованием ресурсов некоторых социальных сетей. Для доступа к
странице среднестатистического пользователя "ВКонтакте" достаточно
несколько запросов в службу поддержки с представлением контактных
данных, размещенных на его же странице в свободном доступе (номер
телефона, электронная почта и так далее). В ходе переписки с персоналом и
манипуляции с данными пароль можно получить в течение суток.
Компания Google, позиционирующая себя как создателя одного из самых
безопасных ресурсов в интернете, требует для получения утерянного пароля
заполнение формы, в которой указывается время начала использования
учетной записи, сервисы, подключенные к данной учетной записи,
информация о содержимом почтового ящика (метки, популярные
корреспонденты и т. д.) Большую часть этих данных можно получить из
открытых источников не прибегая к специальным средствам. Этих данных
оказывается достаточно для получения пароля из службы поддержки Google,
что позволяет получить доступ не только к чужому почтовому ящику, но и к
другим сервисам Google: Picasa, YouTube, Google Analytics и т.д.
"Корпорация добра" платит за находки
Оборотная сторона медали пользовательской безопасности – это потеря
доверия к программному обеспечению со стороны клиентов. И как следствие,
снижение прибыли продавцов. Крупные интернет компании и разработчики
программного обеспечения подходят к решению проблемы комплексно.
Например, компания Google организовала программу Bug Bounty, в рамках
которой она платит за найденные баги в своих продуктах. Программа
действует с ноября 2010 года и участвовать в ней может любой желающий,
гонорар присылают чеком. В июле 2011 года сумма вознаграждения за самые
опасные дыры была увеличена до 3133,7 долл.
На оплату могут претендовать все находки серьёзных багов,
особенноXSS, XSRF / CSRF, XSSI (cross-site script inclusion),обход
авторизации (User A получает доступ к приватным данным User B),
исполнение кода на стороне сервера или внедрение кода.
Вознаграждение можно получить за нахождение уязвимости в любом
продукте Google: это браузеры Chrome, Chromium, продукты Gmail,
Youtube, Google Docs, Chrome OS, а также за все сервисы на доменах
*.google.com, *.youtube.com, *.blogger.com и *.orkut.com. Программа
вознаграждений не действует только для клиентских приложений (Android,
Picasa, Google Desktop и проч.).
После года действия программы и 410 тыс. долл. выплаченных
вознаграждений, компания Google определила программу как "очень
успешную". За время её действия было получено 1100 сообщений об
уязвимостях разной важности более чем от 200 человек. Из этого числа 730
уязвимостей были оплачены. Значительная часть денег Google была
отправлена в СНГ. Стоить отметить, что Google не согласен с отнесением
всех уязвимостей на его счет. Менеджеры компании заявляют, что примерно
половина найденных уязвимостей приходится на разработки вновь
приобретенных компаний.
Что же такое уязвимость?
Для того чтобы проблема была решена, требуется дать ей четкую
характеристику. В США были предприняты попытки определения термина
"компьютерные уязвимости" В результате исследований, финансируемых из
госбюджета, группой MITRE (анализ и разрешение компьютерных проблем,
безопасность) было дано развернутое определение уязвимости.
Уязвимость — это состояние вычислительной системы (или нескольких
систем), которое позволяет исполнять команды от имени другого
пользователя; получать доступ к информации, закрытой от доступа для
данного пользователя; показывать себя как иного пользователя или ресурс;
производить атаку типа "отказ в обслуживании".
Впоследствии термин "уязвимость" был разделен на два значения. В
MITRE считают, что атака, производимая вследствие слабой или неверно
настроенной политики безопасности, может также описываться термином
"открытость" (exposure).
Открытость — это состояние вычислительной системы (или нескольких
систем), которое не является уязвимостью, но позволяет атакующему
производить сбор защищенной информации; позволяет атакующему скрывать
свою деятельность; содержит возможности, которые работают корректно, но
могут быть легко использованы в неблаговидных целях; является первичной
точкой входа в систему, которую атакующий может использовать для
получения доступа или информации.
В момент получения неавторизованного доступа к системе злоумышленник
производит сбор информации (расследование) об объекте атаки, собирает
любые доступные данные и затем использует слабость политики безопасности
("открытость") или какую-либо уязвимость.
Интернет – безусловное благо для общества. В период перехода
социального развития от индустриального к информационному именно
глобальная Сеть позволяет эффективно эксплуатировать необходимые данные и
информацию.
Интернет связывает, систематизирует, находит, передает, показывает,
выполняет огромное количество иных функций. Однако, как любой
инструмент, Сеть может быть использована не только во благо, но и во
вред. Подобный перекос напрямую связан с возможностями, которые
предоставляет эксплуатируемый инструмент. В частности, такие возможности
для противоправных деяний создаются самими разработчиками ПО.
Мы все понимаем, что невозможно предусмотреть появление всех
уязвимостей и создать идеальное программное обеспечение. На каждого
производителя найдется свой взломщик. Вопрос качественной эксплуатации
программ стоит не в обеспечении 100% безопасности клиентов на момент
разработки ПО, а максимизации качества продукта и своевременном
реагировании на обнаруженные уязвимости путем устранения последних со
стороны производителя.
Павел Лаврентьев
Источник:
|