Операторски Мрежи

Информационните заплахи и уязвимости: тенденции и прогнози

Computer World

Кръгът от проблем на информационната безопасност вече не се ограничава със задачите от типа защита от вируси или от проникване отвън на зложелател, както бе преди около 5 г. Опасността от вътрешно изтичане на информация в компанията стана не по-малко сериозна, от външните заплахи. Освен това през последните години киберпрестъпността се превърна в професионално и дори търговско занимание, а нейните методи станаха по-изтънчени и скрити.

Вирусните епидемии в края на 90-те г. нанесоха доста сериозни вреди на потребителите, но самите автори на вирусите обикновено не получаваха никакви дивиденти, освен известност. Причина за появата им бяха амбиции на конкретни хора и подобна дейност най-често попадаше в категорията „хулиганство“. Затова повечето вируси не скриваха своето присъствие.

Еволюция на заплахите

В началото на XXI век ситуацията коренно се промени. „Динозаврите“ от 90-те бяха заменени от хитри и гъвкави „бозайници“: цел на компютърната престъпност стана кражбата на чужда информация, нарушение на работоспособността на информационните системи на конкурентите, масовото разпращане на реклама и др. Даже, на пръв поглед, безвредният пощенски спам с рекламен характер изяжда част от производителността на системите, и, което е по-важно, отнема от невъзстановимото време на потребителите.

Преди няколко години в оборот влезе понятието „вредоносни програми“ или „вредоносен програмен код“. Тези термини обединяват вируси, червеи, троянски програми, средства за мрежови атаки, фишинг, фарминг, пращане на спам и други нежелани за потребителите на компютри действия. Операционните системи или приложенията могат да пострадат от такъв код, ако те имат възможност да пуснат програма, която не е част от самата система или приложението. На това условие отговарят всички популярни настолни ОС, много офисни приложения и други програми.

Вредоносният софтуер започна да се продава свободно на различни сайтове и днес за осъществяване на хакерски действия не е задължително са си „гуру“, достатъчно е да се плати неголяма сума (една от най-разпространените програми за такива цели Mpack се продава в интернет за $700). Отчитайки разнообразният характер на заплахите, съвременните системи за защита придобиха многослоен и комплексен характер. Те заменят отделните антивирусни и други специализирани програми за осигуряване на информационна безопасност. На пазара на програмни системи за защита на информацията работят както отдавна известни компании, разработили средства за борба с първите вируси (например McAfee, Symantec, руските „Лаборатория Касперски“ и „Доктор Web“), така и нови, започнали дейността си по-късно. Вече няколко години продължават активните опити на Microsoft да излезе на пазара на средства за защита на информацията.

Независимо от технологичните успехи, най-слабото звено в системите за защита остава човекът, затова много съвременни способи за нежелани прониквания се създават така, че разчитат на грешка или невнимание на потребителя. Така след посещение на някакъв сайт, дори известен, или случайно щракайки върху пристигналото електронно писмо, можете да заредите на своя компютър вредоносна програма, която ще следи всички действия на потребителя и ще изпраща „отчет“ за тях на зложелателя. Ако заразеният компютър се използва, например за достъп до банковата сметка или за онлайн плащане, то финансовите средства на неговия собственик са подложени на реален риск. През миналото лято в Италия с помощта на програмата Mpack бяха „пробити“ хиляди корпоративни сайтове и в резултат вредоносният код попадна в компютрите на голяма част от техните посетители.

Класифициране на вредоносния софтуер

Към вредоносния софтуер се отнасят мрежовите червеи, файловите вируси, троянските програми, хакерските инструменти и други програми, нанасящи съзнателни вреди на завзетия компютър, както и на други компютри.

Мрежовите червеи разпространяват свои копия по локалните и глобалните мрежи с помощта на електронна поща, системи за моментален обмен на съобщения (ICQ и др), файлов обмен и чатове, както и чрез други способи. В последно време все по-активно се задействат и мобилни устройства, свързани към компютърните мрежи. Някои червеи притежават свойствата на други разновидности на злоумишления код, например съдържат троянски функции.

Файловите вируси по принцип не използват мрежовите услуги за проникване в други компютри. Класическите им представители вече почти не се срещат, тъй като за постигане на целите си киберпрестъпниците ползват по-прости и ефективни средства за разпространение на троянския код. Освен това в много страни са приети закони, които заплашват авторите на вируси със сериозни наказания, включително дългогодишен затвор.

Най-разпространените днес троянски програми извършват различни несанкционирани операции: те разрушават или модифицират данни, използват ресурси от компютъра за злоумишлени цели. Сред най-опасните троянски програми се отнасят шпионският софтуер (Spyware): той събира информация за всички действия на потребителя и незабележимо за него я предава на този, който е организирал този процес.

Хакерските средства позволяват да се автоматизира създаването на вируси, червеи и троянци, скривайки кода в заразени файлове и вредоносни програми (руткит), а освен това отключват или блокират действието на антивирусните средства и другите инструменти, предназначени за защита на информацията. Хакерският арсенал се попълва доста бързо, много инструменти се продават и през интернет.

Действителността през 2007

През февруари „Лаборатория Касперски“ представи годишния обзор на вредоносните програми, в който има сведения за най-големите инциденти, станали през 2007 г., експертна оценка на тенденциите в сферата на създаването и разпространението на вредоносни програми и прогноза за относително по-далечното развитие на ситуацията.

Предишната година ще влезе в историята като година на „смъртта“ на нетърговските вредоносни програми. В края на февруари 2008 г. на сайта на легендарната хакерска група 29A се появи съобщение за официално прекратеното съществуване на „старата школа“ автори на вируси. Хората, създали Cap (първият макровирус, предизвикал глобална епидемия), Stream (първият вирус за допълнителни потоци NTFS), Donut (първият вирус за платформата .NET), Rugrat (първият вирус за платформата Win64), мобилния вредоносен софтуер Cabir, Duts и много други, отстъпиха под натиска на всеобщата комерсиализация н вирусосъздаването. Никой вече не разработва вредоносни програми за самоизява, самоутвърждаване или изследвания – доста по-изгодно е да се генерират и продават стотици примитивни троянски програми.

Може да се каже, че през 2007 г. нито една вредоносна програма не получи значително разпространение, без да има зад себе си финансова подкрепа. Година по-рано такива „хулигански“ вируси все още се появяваха - например червеят Nyxem.E не правеше нищо, освен да се саморазпространява и да трие файлове. Почти всички епидемии през 2007 г. имаха краткотраен характер и засягаха не целия световен интернет, а само отделни региони и страни. Такъв принцип на тяхното организиране вече стана типов.

Усъвършенстване на злосторниците

Несъмнено в редица нови вредоносни програми се открива „Щормов червей“ или Storm Worm (Zhelatin по класификацията на Лаборатория Касперски), появил се през януари 2007 г. През годината той демонстрира изключително широк спектър от разнообразно поведение, методи за взаимодействие между своите компоненти, път на разпространение и използвани прийоми на социално инженерство. В него са реализирани практически всички достижения на „вирусоавторската мисъл“ от последните години, много от които досега са били само идея. Тук има и руткит технологии, и маскиране на кода, и ботнети, защитаващи се от анализ и изследване, и взаимодействие между заразените компютри чрез еднорангови мрежи - без наличие на единен управляващ център. За разпространение червеят използва всички съществуващи възможности — както традиционни (електронна поща, системи за моментален обмен на съобщения), така и услуги Web 2.0 (социални мрежи — блогове, форуми, RSS). Освен това злосторниците, отчитайки растящият интерес на потребителите към видеоуслугите, разпространяваха Zhelatin във вид на видеофайл.

Основната насоченост на функционирането на Storm Worm е създаване на мрежа за последващо организиране на спам разпращане и провеждане на атаки с цел предизвикане „отказ от обслужване“ (DoS). Последните станаха една от ключовите теми в информационната безопасност за цялата 2007 г. След период на активно използване през 2002 и 2003 г. атаките DoS не се ползваха с особено внимание от страна на киберпрестъпниците. През миналата година те се върнаха, по-скоро като средство за политическа и конкурентна борба. Историята за атаката към естонските сайтове през май 2007 г. бе широко тълкувана в средствата за масова информация, и, по мнение на много експерти, това бе първият случай на кибервойна. Очевидно зад редица DoS атаки през 2007 г. стояха бизнес конкуренти на жертвите. Преди 4 г. подобни атаки бяха оръдие в ръцете на хакери изнудвачи или хулигани, а днес те са стока като спам разпращането или вредоносни програми по заявка. Рекламата на услуги тип DoS атака станаха обичайно явление, а цената им е съпоставима с тази на организирането на спам поща.

Хакерски програми по поръчка и с поддръжка

Киберпрестъпният бизнес през 2007 г. показа на света няколко нови вида криминална дейност. Активно бе развито създаването на вредоносни програми по поръчка и предоставянето на техническа поддръжка на купувача. Най-яркият пример може би е историята на троянска програма за шпиониране Pinch. За няколко години бяха създадени над 4000 нейни варианта, повечето от които именно по заявка на други злосторници. Тази история като ли приключи през декември 2007 г., когато шефът на руската Федерална служба за сигурност обяви, че са установили самоличността на авторите на Pinch.

Още един пример е китайският вирус червей Fujack. Създаден с цел кражба на данни от потребители на онлайн игри, той се продава на всички желаещи и бе разпространен в целия свят в няколкостотин варианта. Авторът успя да си заработи около $12 хил., или поне такава сума бе обявена от китайската полиция, която го арестува заедно с няколко клиента. Fujack се оказа един от ярките представители на доминиращото по численост през 2007 г. семейство от троянски програми - „игрови“ троянци, докато през 2006 г. доминираха всевъзможни „банкери“ (banker) - троянски програми, ориентирани към кражба на данни от банкови сметки.

Директна конкуренция между двете семейства троянски програми все още няма – техните целеви аудитории не се пресичат. Това се потвърждава от факта, че досега не са известни игрови троянци, „умеещи да ровят в банкови сметки. Теоретично в създаването на такъв „хибрид“ няма нищо сложно, но вероятно тази функционалност не е необходима и интересна за пишещите вируси.

Топ 10

Десетката от най-разпространените вредоносни семейства в пощенския трафик през 2007 г. е показан на Фигура 1. Независимо, че по брой на различните модификации няма равни на семейството Storm Worm, по общ брой съобщения то не попада даже в първата десетка! Рейтингът се оглавява от „ветеран“ - пощенският червей Email-Worm.Win32.Netsky (33,04%). Второ място по разпространеност заема разпращането на лъжливи банкови писма, класифицирани като Trojan-Spy.HTML.Bankfraud (10,22%). От двата нашумели пощенски червеи (Zhelatin и Warezov) в списъка присъства само Warezov, но едва на пето място (4,94%).

 

Фиг. 1: Най-разпространените вредоносни семейства в пощенския трафик през 2007 г.

Източник: Лаборатория Касперски

 

На Фигура 2 е изобразено процентното съотношение между вредоносните файлове по региони, в които са регистрирани сървъри, от които се изпраща заразена поща. В петорката са САЩ, Германия, Швеция, Испания и Малайзия. Заразените писма обаче могат и да не излизат извън пределите на страната, затова показаните данни не показват категорично къде се намира най-опасният източник на вредоносен пощенски трафик.

 

Фиг. 2: Съотношение между вредоносните файлове по региони

 

Интересно е да се отбележи, че през последните години значително е намалял броят на информационните заплахи, тръгващи от територията на Русия. Според шефа на отдела за информационна сигурност в Microsoft Русия Владимир Мамикин това може би е свързано с факта, че ИТ специалистите и в частност програмистите са изключително търсени в страната и предпочитат легалната работа вместо опитите за незаконно забогатяване. В същото време в Югоизточна Азия (Китай, Индия и други страни) безработицата в ИТ бранша е доста голяма и затова най-много заплахи се очакват именно от тези региони.

Някои тенденции

Паралелно с промяната на ситуацията със заплахите нараства популярността на колективните уеб приложения като блогове и социални мрежи, които носят на предприятията нов комплекс от проблеми. С Web 2.0 се появи нова вълна от колективно съдържание, част от което е потенциално опасно за компютрите. Фактически приложения в стил Web 2.0 откриват още един път за проникване на вредоносен код в корпоративната мрежа.

В съвременния свят много предприятия извършват част от дейностите си онлайн и всеки служител и клиент, имащ достъп до интернет може да изпълнява различни операции от дома си. Това означава, че предприятието не само носи отговорност за защитата на компютрите на служителите, клиентите и партньорите при работа в мрежата, но е длъжно да гарантира безопасността на тяхното взаимодействие. Всъщност предприятията са принудени да поемат отговорността за свързаните към техните собствени мрежи устройства, даже ако не им принадлежат и не ги контролират.

Сигурността е крайъгълен стълб в общата стратегия на всяка компания, която иска да гарантира конфиденциалност, цялостност и достъпност на своята информация. Особено внимание трябва да се отдели на т.нар. неконтролируеми крайни работни места – външни устройства, които излизат извън административния контрол на организацията. По принцип неконтролируемите работни места имат ограничен достъп до конфиденциална информация, но въпреки това са изложени на сериозен риск от заразяване с вредоносен софтуер. Още повече, че комплексната стратегия за сигурност е длъжна да включва превантивни мерки за защита на корпоративната мрежа и в случай, че някое от тези устройства се окаже заразено.

Появилата се през 2006 г. идея за конструиране на програма в автоматичен режим с някаква периодичност изглеждаше нежизнеспособна, но такава „фабрика“ и досега функционира и нейният механизъм поражда нови варианти на вредоносен кода подобен на Warezov. През 2007 г. се появи последовател на Warezov - червеят Storm Worm, който се създава по подобен начин. Но избухналите епидемии от Zhelatin и Warezov показват тенденция към затихване, а значи те могат да бъдат успешно неутрализирани.

Друга значима промяна е нарастване на интереса към т.нар. exploit програми (програми, използващи уязвимости в системата). Техният дял в пощенския трафик се увеличава, а при масово използване те представляват сериозна опасност. Ръстът на броя нови интернет услуги постепенно понижава интереса към пощенския трафик като средство за разпространение на вредоносен код, но това не означава, че електронната поща е престанала да бъде източник на опасности.

През 2007 г. броят на новите вредоносни програми, открити за един месец, е нараснал със 114,28% по отношение на показателите през 2006 г. и доближава 18 348 (8562,5 средно за месец през 2006 г.). Общо са били засечени 220 172 такива програми. Новите троянски програми са със 119,73% повече в сравнение с 2006 г. Относително простото създаване на TrojWare (в сравнение с червеи и вируси) и техните възможности в областта на кражбата на данни, организацията на ботнети и разпращане на спам остават основните стимули за експанзия на троянците в интернет - техният дял в общото количество вредоносни програми се е увеличило с 2,28% и представлява близо 91,73%. През първото полугодие на 2007 г. червеите и вирусите (VirWare) са станали по-малко (– 2,26%), и за цялата година техният дял във вредоносните програми се е намалил с 0,47%, достигайки 5,64%.

Какво ни очаква

В доклада Top 10 Threat Predictions for 2008 на изследователското поделение на компанията McAfee се отбелязват 10 основни тенденции за развитие на заплахите към информационната безопасност в близко бъдеще.

Обемът на рекламния софтуер (adware) ще се намалява. Съдебните преследвания срещу основните играчи на пазара на програмна реклама ще доведе до свиване на този сектор с 30%. Успехът на вредоносните програми, подобни на Storm Wоrm, ще предизвика активизиране на бот мрежите.

Цел на фишинга ще станат неголеми сайтове. Големите компании вече се научиха бързо да реагират и ефективно да се противопоставят на фишинг атаките. Затова киберпрестъпниците насочват усилия към цели от по-малък мащаб с надеждата да извлекат полза от навиците на потребителите да ползват една и съща парола. Ако очакванията им се оправдаят, с откраднатата информация могат да влязат дори в добре защитени сайтове.

Заплахата от епидемии, разпространяващи се чрез програми за обмен на съобщения, става все по-реална. През 2007 г. броят на критичните уязвимости в тези системи е нараснало над два пъти. Ако тенденцията се запази, можем да очакваме епидемии, които ще се разпространяват със скорост няколко милиона компютри в секунда.

Набира сила и паразитният вредоносен софтуер. Все повече стават програмите, използващи „маркерчета“, оставени от други видове вредоносен софтуер. Рязко ще нарасне броят на атаките към онлайн банки и казина. През 2007 г. количеството на троянци, задигащи пароли, се увеличи с повече от един порядък.

Новите средства за борба са свързани с виртуализацията. Производителите на системи за сигурност ще се опират на набиращите популярност технологии за виртуализация за по-ефективна борба с комплексните заплахи, както и с руткит. Очаква се, че през 2008 г. в Windows Vista ще бъдат открити поне 20 уязвимости. С нарастване на броя на инсталациите на новата ОС вниманието на хакерското общество постепенно ще се пренасочи към нея.

Атаките към VoIP системи ще нараснат с 50%. Популярност ще придобият мошенически схеми, ориентирани към VoIP телефонията.

Интерактивността на Web 2.0 е отлична среда за вредоносен код. Наред с разпространението на блог- и видеоспам киберпрестъпниците все по-активно ще използват социалните мрежи, събирайки информация от потребителите за изграждане на по-правдоподобни мошенически схеми.

В прогнозата на „Лаборатория Касперски“ са откроени 5 характерни тенденции:

Malware 2.0. С модулната компонентна система, използвана в червея Bagle преди 4 г., започна еволюцията на схемите за функциониране на вредоносния софтуер - от единични програми към сложни и взаимодействащи помежду си проекти. По аналогия с известния термин Web 2.0 новото поколение вредоносни програми може да се класифицира като Malware 2.0. Моделът за функциониране на вредоносните програми, формирал се в края на 2006 г. в червя Warezov, ще стане не само стандарт за огромен брой вредоносни проекти, но и ще бъде допълнително развит. Неговите основни черти са:

  • липса на единен център за управление на мрежата от заразени компютри;
  • методите за активно противодействие на опитите за външно проникване и прихващане на управлението;
  • масовост в съчетание с краткотрайно разпращане на вредоносен код;
  • грамотно прилагане на средствата за социален инженеринг;
  • използване на различни способи за разпространение и постепенен отказ от най-видните от тях (електронната поща);
  • различни модули за осъществяване на различните функции (в противовес на принципа „всичко-в-едно“).

Днес подобни методи се употребяват от вредоносните програми Bagle, Zhelatin и Warezov, които са насочени не толкова към кражбата на информация, а към разпращане на спам. Все пак някои семейства „банкови“ и „игрови“ троянци вече демонстрират отделни черти от тази схема на функциониране.

Руткит и „буткит“. Техниките за скриване на присъствието в системата (руткит) ще се ползват не само в троянските програми, а и във файловите вируси. По този начин сякаш се връщаме към времената на MS-DOS и резидентните стелт вируси. Това е логично развитие на методите за противодействие на антивирусните програми. Вредоносните програми днес се стремят да се „вживеят“ в системата, дори да бъдат намерени в бъдеще.

Още един опасен способ за скриване на тяхното присъствие в компютъра ще стане чрез активното прилагане на технологията за заразяване на зареждащия сектор от диска – т.нар. „буткит“. Това е поредното съживяване на стара технология, позволяваща на вредоносната програма да получи управление преди зареждането на основната част от операционната система (и съответно на антивирусните програми). Появила се като концепция през 2005 г., през 2007 г. този прийом бе реализиран в Backdoor.Win32.Sinowal и успя да зарази няколко хиляди компютъра в целия свят само през последните две седмици на 2007 г. Способът представлява повишена опасност за потребителите и през 2008 г. може да стане един от главните проблеми на информационната сигурност.

Файловите вируси. Те се връщат. Както и досега първенството при авторите им се държи от китайските злосторници. Те ще са насочени към любителите на онлайн игри. Не е изключено заразяване с файлове да бъде взето на въоръжение от авторите на Zhelatin или Warezov – това ще има даде още един важен способ за разпространение.

Вероятно ще има бум на инциденти със заразени дистрибуции на игри и програми, поместени на популярни сайтове и в мрежи за файлов обмен. Вирусите ще се постараят да заразят именно тези файлове, които потребителят предоставя на другите. В много случаи такъв способ на разпространение може да се окаже даже по-ефективен, от пращането на вредоносен файл по електронната поща.

Атаки към социални мрежи. Фишингът ще претърпи значителни изменения в посока атакуване на социалните мрежи. Данните за абонатите на услуги като Facebook, MySpaces, Livejournal, Blogger и аналогични ще станат все по-търсени от зложелателите. Това ще стане важна алтернативна методика за разпространение на вредоносни програми на пробити сайтове. През 2008 г. множество троянски програми ще се разпространяват именно чрез отчетените записи на потребителите на социални мрежи, техните блогове и профили.

Още един, свързан със социалните мрежи, проблем ще останат атаките XSS\PHP\SQL. За разлика от фишинга, при който се ползват изключително мошенически методи и средства за социален инженеринг, тези атаки се базират на грешки и уязвимости в самите услуги Web 2.0 и могат да засегнат дори доста грамотни потребители. Целта, както винаги, са частните данни и създаване на някои бази/списъци за провеждане на последващи атаки с помощта на „традиционни“ способи.

n Заплахи за мобилните устройства. По отношение на мобилните устройства, на първо място клетъчните телефони, то заплахите ще се разпределят между примитивните троянски програми, аналогични на представителите от семейството Skuller за Symbian и „първият троянец“ за iPhone, и различните уязвимости в операционните системи и приложения за смартфони. Възникването на глобални епидемии от мобилни червеи засега е малко вероятно, макар че съществуват технически предпоставки за това.

Наблюдаващата се консолидация на пазара на операционни системи за смартфони между Symbian и Windows Mobile през 2007 г. бе нарушена от появата на iPhone и анонсирането на новата мобилна платформа Android на Google. Вероятно именно популярността на iPhone ще привлече към него повишено (в сравнение с другите мобилни устройства) внимание на зложелателите, особено ако средствата за разработка на приложения за него (SDK) станат общодостъпни, както обяви в края на 2007 г. Apple.

Вътрешният враг

Немалка, дори вече огромна заплаха за корпоративните информационни системи представляват вътрешните нападатели – работници на компанията, имащи достъп до конфиденциална корпоративна информация и използващи я за користни цели. Много експерти по информационна сигурност смятат, че вредите, нанесени от вътрешни хора, са по-значими от тези, причинени от вредоносен софтуер. През 2007 г. компанията InfoWatch е регистрирала над 500 вътрешни инциденти, най-големите от които са показани в Таблица 1. За цялата година заради инсайдери са загубени 162 млн. записа, като стойността на всеки се оценява от американския институт Ponemon на $197, а с отчитане на косвените загуби - на $231. Сумарната загуба от тези обявени „информационни утечки“ е $58 млрд., което е с 30% повече от 2006 г., а средно един подобен инцидент „струва“ $6,3 млн.


Таблица 1

ДатаСтранаКомпанияБрой пострадалиРазмер на загубите
януариСАЩTJX Companyоколо 100 млн.$1,6 млрд.
майЮжна КореяKIA Motorsкомпаниятаняколко млрд. $
юниШотландияБанка на Шотландия62 000$100 млн.
юлиСАЩBoeingкомпанията$15 млрд.
августСАЩНац. лаборатория в Лос АламосстранаЗаплаха за нац.сигурност
септемвриСАЩTD Ameritrade6,3 млн.$1,4 млрд.
септемвриСАЩGAP Inc.800 000$185 млн.
октомвриСАЩAdministaff Inc.159 000$37 млн.
ноемвриВеликобританияПравителствената дирекция по мита и налози (HMRC)25 млн.$3 млрд.
ноемвриЮжна КореяDoosan Heavy Industries and Constructionsкомпанията$1,8 млрд., $2,2 млрд. пропусната печалба

 

В много от развитите страни има законодателство, според което компанията е длъжна да информира своите клиенти, ако конфиденциална информация, касаеща техните персонални данни, е загубена или открадната и именно благодарение на това повечето инциденти станаха известни.

InfoWatch проведе изследване, оценяващо опасността от различни видове вътрешни заплахи, а също основните канали за изтичане на информация (вж. Фигура 3). Характерно е, че значителна част от изтичанията става не по вина на зложелатели, а заради невнимание на служителите и други непреднамерени действия. Главните технически средства за борба с подобни факти трябва да станат средствата за автентификация и администриране на достъпа до данните. Още повече, че броят на инцидентите продължава да расте, а техническите средства за защита не са напълно ефективни. Основните канали за изтичане на вътрешна информация са представени на Фигура 4.

 

Фиг. 3: Основни канали за изтичане на информация

 

 

 

Фиг. 4: Основни канали за изтичане на вътрешна информация


Постепенно средствата за защита от вътрешни изтичания се интегрират в системите за защита на информацията, макар че гoляма част от тях както и досега съществуват във вид на отделни устройства или програми. Очаква се разработчиците на търсещи системи да предприемат мерки за предотвратяване на използването на програми, предназначени за търсене на конфиденциална информация и персонални данни.

Равносметка от първото тримесечие

През април информационният портал SecurityLab.ru публикува тримесечния доклад за уязвимости, вируси и уведомявания. За първите 3 месеца на 2008 г. са регистрирани 877 уязвимости, 248 изпълними кодове exploits (вредоносни програми, използващи уязвимости в друг софтуер), 180 описания на различни вируси и 618 уведомявания за безопасност от различни производители.

В общата статистика (вж. Фигура 5), Web приложенията са най-силно засегнати от уязвимости (40,7%), следвани от сървърните приложения (29,2%), клиентските приложения (21,55%), и накрая най-малко уязвимости са открити в операционните системи (8,53%). От тях 688 уязвимости (78,45%) могат да се експлоатират отдалечено, 104 (11,86%) - в пределите на корпоративната мрежа и 85 (9,69%) само локално.

 

Фиг. 5: Тип на засегнатите приложения

 

По степен на опасност (вж. Фигура 6) уязвимостите се разделят на 4 групи: пет уязвимости (0,57%) се отнасят към най-високата, критична степен на опасност, 176 (20,07%) - към висока, 341 представляват средна степен на опасност (38,88%), а 355 (40,48%) - ниска.

 

Фиг. 6: Уязвимостите според степен на опасност

 

SecurityLab.ru отделя 10 основни типа уязвимости, чието разпределение е представено на Фигура 7. В тройката на най-разпространените за първото тримесечие влязоха компрометиране на системите (отдалечено изпълнение на произволен код) -22,01%, междусайтов скрипт (възможност за вмъкване на HTML код в уязвима страница) - 16,57% и неоторизирана промяна на данни - 12,24%.

 

Фиг. 7: 10 основни типа уязвимости

 

Най-опасни както и досега са уязвимости в клиентски приложения, сред които са най-вече компоненти ActiveX и мултимедийни програми. През първата четвърт на 2008 г. най-опасните уязвимости са били:

  • изпълнение на произволен кода в Microsoft Internet Information Services (независимо от наличието на кръпки от производителя са били компрометирани над 10 хил. сайта, включително сайта на компанията Trend Micro);
  • изпълнение на произволен код в Microsoft Excel;
  • препълване на буфера в компонента Yahoo! Music Jukebox ActiveX;
  • препълване на буфера в Apple QuickTime;
  • уязвимост във форматния ред на ICQ.

 





© Ай Си Ти Медиа ЕООД 1997-2019 съгласно Общи условия за ползване

X