SecurityLab: обзор уязвимостей за 2011 год

1174

Портал по информационной безопасности SecurityLab.ru опубликовал отчет, содержащий статистику компьютерных уязвимостей за 2011 год. В центре внимания исследователей оказались SCADA-системы, CMS, программы компании Adobe, почти все браузеры и семейство операционных систем Windows.

Сколько уязвимостей было устранено?

Всего за год было описано 4733 уязвимостей. К 1 января производители программного обеспечения смогли устранить только 58% уязвимостей и выпустить инструкции по устранению для еще 7%. Таким образом, больше трети уязвимостей остались открытыми для киберпреступников.

Программы Adobe взламывают все чаще

Уязвимости нулевого дня — головная боль для разработчиков. Эти бреши в системе активно эксплуатируются хакерами еще до публикации сообщения об уязвимости и выхода исправления.

Любопытно отметить рост числа таких уязвимостей в продуктах Adobe — в минувшем году их число достигло семи (по этому параметру Adobe обогнала другого гиганта — компанию Microsoft, в продуктах которой было обнаружено 5 уязвимостей нулевого дня). В числе свежих примеров — обнаруженная в конце 2011 года уязвимость с идентификатором CVE-2011-2462 в Adobe Reader, которая использовалась для взлома компании ManTech, подрядчика министерства обороны США.

Браузер Opera — самый безопасный?

Наиболее защищенным браузером (в отношении количества уязвимостей, найденных в 2011) стал Opera. Во всех распространенных приложениях этого типа, кроме Opera, было обнаружено очень большое количество уязвимостей высокой степени опасности, которые могут использоваться для компрометации системы. Кроме того, в минувшем году у ведущих браузеров было найдено 4 уязвимости критической степени опасности, которые использовались злоумышленниками для проведения успешных атак на различные компании. Три из них пришлись на Internet Explorer, и одну обнаружили в Chrome 11.x.

Windows — почти 100 уязвимостей за год

Популярность Windows логичным образом сказывается на количестве уязвимостей. По сравнению с другими операционными системами у продукта от Microsoft их было найдено больше всего. Windows держит лидерство как в общем зачете (92 уязвимости), так и в индивидуальном:у этой ОС в отчетный период была опубликована информация о 2 критических уязвимостях. С другой стороны, максимальное число уязвимостей высокой степени опасности (33) обнаружили в Mac OS, у Windows их нашли 22, а в разных версиях Linux — всего одну.

Все внимание к SCADA-системам

В серверном программном обеспечении широкое распространение получили уязвимости в SCADA-системах: в 17 уведомлениях безопасности было описано 37 уязвимостей. Интерес исследователей к программной части АСУ ТП неслучаен: именно в последние два года получили распространение вирусы, нацеленные на приложения для промышленной автоматизации.

CMS и форумы — благоприятная среда для хакеров

Наилучшие условия для несанкционированных проникновений в сегменте веб-приложений предоставляют системы управления содержимым (18%). Хакеры постоянно ищут уязвимости в CMS, и, как мы видим, находят их в большом количестве (204 уязвимости за год). Администраторам сайтов, построенных на популярных платформах, необходимо не только контролировать подозрительную активность, но и оперативно устанавливать обновления для CMS. Следует не забывать также о веб-форумах, которые удерживают второе место по количеству уязвимостей (7%).

Защищенность Apple iTunes под вопросом

Прошлогодний хит-парад наиболее уязвимых медиапроигрывателей (из числа популярных) возглавил Apple iTunes (133 уязвимости). В середине списка находится распространенный VLC Media Player (15 уязвимостей), а у Windows Media Player было обнаружено всего две уязвимости, что примерно в 70 раз меньше, чем у Apple iTunes.

77% «дыр» в системе можно использовать удаленно

Если рассмотреть все уязвимости за 2011 год, то можно заключить, что злоумышленник мог работать удаленно при эксплуатации 77% уязвимостей. Для 15% требовалась локальная сеть, а для 8% — личное присутствие или инсайдерская информация.

Каждая четвертая уязвимость позволяет скомпрометировать систему

Примерно четверть уязвимостей (24%) позволяли хакеру скомпрометировать систему, выполнив произвольный код на компьютере жертвы. Еще 21% обнаруженных «дыр» подходил для XSS-нападения, 15% могли быть использованы для отказа в обслуживании, 13% — для раскрытия важных данных, 12% — для неавторизованного изменения данных.

Уязвимости как способ остановить завод и ядерную программу

В 2011 году специалисты в полный голос заговорили о наступлении эпохи холодной кибервойны. Мишенями хакеров становятся промышленные предприятия и военные секреты. Осенью стало известно о троянском вирусе под названием Duqu. Он проникает в компьютер под управлением Windows, используя критическую уязвимость с идентификатором CVE-2011-3402. Затем вирус способен внедриться в смежную SCADA-систему предприятия с целью похищения информации об ИТ-инфраструктуре и установления контроля над промышленными объектами. Некоторые эксперты отмечали, что фрагменты основного модуля Duqu имеют большое сходство с червем Stuxnet, который в 2010 году вывел из строя несколько иранских заводов по обогащению урана.

Поддельные SSL-сертификаты — месть за Иран?

Весной и летом 2011 года тегеранские хакеры последовательно взломали серверы удостоверяющих центров Comodo и DigiNotar. Второй случай оказался особенно «урожайным». Часть украденных сертификатов безопасности принадлежали ЦРУ, Моссаду и МИ-6. Помимо международной киберразведки, похищенные «цифровые паспорта» использовались для атак типа man-in-the-middle (MitM). Хакер пропускал интернет-траффик «клиента» через собственный прокси-сервер, где браузер жертвы встречался с фальшивым сертификатом и выдавал информацию в незашифрованном виде. Под ударом оказались пользователи интернет-банкинга, почтовых онлайн-служб и других сервисов, использующих SSL-сертификаты.

Цифровые подписи и военные секреты США

Взломав серверы компании RSA Security в середине марта 2011 года, неизвестные хакеры поставили под угрозу надежность цифровых подписей RSA SecurID. Этими ключами пользовались более 40 миллионов работников для получения доступа к закрытым сетям. Атака началась с электронного письма, призывающего работников головной компании RSA открыть фальшивый файл Excel с интригующим названием «План комплектования штата 2011.xls». Зараженная таблица при открытии инициировала установку на ПК бекдора Poison Ivy, эксплуатируя уязвимость с идентификатором CVE-2011-0609 в Adobe Flash Player. Среди похищенной информации были сведения о новейших решениях для двухфакторной проверки подлинности. Позже с помощью украденных ключей злоумышленники пытались взломать серверы крупнейшего в мире предприятия ВПК – корпорации Lockheed Martin.

Что бывает из-за несоответствия стандарту PCI DSS

В мае 2011 года были пойманы румынские хакеры, взломавшие системы обработки транзакций торговых терминалов и три года перехватывавшие данные платежных карт клиентов. Основной удар пришелся по компании Subway. Проникновение в ЛВС Subway, согласно информации The Wire, осуществлялось через беспроводные сети в ресторанах, а сами терминалы не соответствовали стандартам безопасности индустрии платежных карт (PCI DSS). Кроме того, специалисты, осуществляющие удаленную техподдержку терминалов, не только не устанавливали обновления для приложения удаленного администрирования PCAnywhere, но и выбрали простейшую комбинацию логина и пароля (administrator, computer) в более чем 200 системах.

2 апреля 2012

10:20

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

Поисковик Google теперь будет предоставлять короткие превью для видеороликов: Поисковая система Google сможет показывать превью-видео2

Смартфон HomTom S8 также копирует дизайн Samsung Galaxy S8: Цена устройства составит 190 долларов3

Процессоры Intel Core восьмого поколения не будут дороже актуальных CPU: Intel не поднимет цены на CPU при выходе Coffee Lake16

AMD пока не может гарантировать наличия в магазинах видеокарт Radeon RX Vega 64 по рекомендованным ценам: AMD призналась в дефиците карт Vega 10

Смартфон Xiaomi Redmi Note 5A первым в серии получит два выделенных слота для SIM-карт и слот для карты памяти: Одна из версий Xiaomi Redmi Note 5A получит фронтальную камеру разрешением 16 Мп со светодиодной вспышкой4

Hyundai сконцентрируется на электромобилях вместо машин на топливных элементах : Hyundai увеличит объёмы выпуска электромобилей1

Samsung Pay отмечает два года, сумма платежей составила $8,77 млрд: Samsung Pay в данный момент работает в 18 странах мира7

Samsung готовится к глобальному запуску Bixby: Персональный помощник по-прежнему недоступен во многих странах мира1

Умные кроссовки Xiaomi Free Tie Leather оценены в $30: Кроссовки оснащены светодиодной подсветкой, процессором, а также модулем Bluetooth 4.09

Семейство 3D-карт Colorful iGame Vulcan X пополнили модели GTX 1080 Ti, GTX 1080, GTX 1070 и GTX 1060: Общей чертой этих 3D-карт является система охлаждения, в кожух которой встроен жидкокристаллический индикатор3

Конструкция компьютерного корпуса Thermaltake View 71 Tempered Glass Edition включает четыре панели из закаленного стекла: Цену новинки производитель не называет3

ВИКТОРИНА ASUSTOR

Процессор с какой архитектурой установлен в ASUSTOR AS6302T, благодаря которому производительно выросла на 30% по сравнению с прошлым поколением?
1318

iXBT TV

  • Обзор легкой, компактной и дешевой мясорубки Kitfort KT-2101 Carnivora

  • Обзор беззеркальной фотокамеры Fujifilm X-T20

  • Обзор кинотеатрального DLP-проектора BenQ W11000 с эмуляцией разрешения 4К

  • AMD Ryzen Threadripper 1920Х и 1950X — тестирование 12-ядерного и 16-ядерного процессоров

  • Обзор мини-ПК ECS Liva Z на базе процессора Apollo Lake

  • Самый лучший процессор, неудачи Microsoft, гибкие наушники Samsung

  • Обзор цветного МФУ Xerox VersaLink C405 для малых и средних офисов

  • Обзор умного чайника Redmond SkyKettle RK-G200S с подсветкой и нагревом воды до нужной температуры

  • Конфигурируем мини-ПК: изучаем влияние памяти и накопителя на быстродействие системы

  • 3D-карты AMD Radeon RX Vega, цены, спецификации, смартфон Meizu Pro 7

  • Обзор лазерного цветного МФУ Canon imageRunner Advance C3520i, младшего в новой линейке

  • Обзор робота-пылесоса iBoto Aqua V710 с функцией влажной уборки

1212

Календарь

апрель
Пн
Вт
Ср
Чт
Пт
Сб
Вс

Рекомендуем почитать