SecurityLab: обзор уязвимостей за 2011 год

ПредыдущаяСледующая
1174

Портал по информационной безопасности SecurityLab.ru опубликовал отчет, содержащий статистику компьютерных уязвимостей за 2011 год. В центре внимания исследователей оказались SCADA-системы, CMS, программы компании Adobe, почти все браузеры и семейство операционных систем Windows.

Сколько уязвимостей было устранено?

Всего за год было описано 4733 уязвимостей. К 1 января производители программного обеспечения смогли устранить только 58% уязвимостей и выпустить инструкции по устранению для еще 7%. Таким образом, больше трети уязвимостей остались открытыми для киберпреступников.

Программы Adobe взламывают все чаще

Уязвимости нулевого дня — головная боль для разработчиков. Эти бреши в системе активно эксплуатируются хакерами еще до публикации сообщения об уязвимости и выхода исправления.

Любопытно отметить рост числа таких уязвимостей в продуктах Adobe — в минувшем году их число достигло семи (по этому параметру Adobe обогнала другого гиганта — компанию Microsoft, в продуктах которой было обнаружено 5 уязвимостей нулевого дня). В числе свежих примеров — обнаруженная в конце 2011 года уязвимость с идентификатором CVE-2011-2462 в Adobe Reader, которая использовалась для взлома компании ManTech, подрядчика министерства обороны США.

Браузер Opera — самый безопасный?

Наиболее защищенным браузером (в отношении количества уязвимостей, найденных в 2011) стал Opera. Во всех распространенных приложениях этого типа, кроме Opera, было обнаружено очень большое количество уязвимостей высокой степени опасности, которые могут использоваться для компрометации системы. Кроме того, в минувшем году у ведущих браузеров было найдено 4 уязвимости критической степени опасности, которые использовались злоумышленниками для проведения успешных атак на различные компании. Три из них пришлись на Internet Explorer, и одну обнаружили в Chrome 11.x.

Windows — почти 100 уязвимостей за год

Популярность Windows логичным образом сказывается на количестве уязвимостей. По сравнению с другими операционными системами у продукта от Microsoft их было найдено больше всего. Windows держит лидерство как в общем зачете (92 уязвимости), так и в индивидуальном:у этой ОС в отчетный период была опубликована информация о 2 критических уязвимостях. С другой стороны, максимальное число уязвимостей высокой степени опасности (33) обнаружили в Mac OS, у Windows их нашли 22, а в разных версиях Linux — всего одну.

Все внимание к SCADA-системам

В серверном программном обеспечении широкое распространение получили уязвимости в SCADA-системах: в 17 уведомлениях безопасности было описано 37 уязвимостей. Интерес исследователей к программной части АСУ ТП неслучаен: именно в последние два года получили распространение вирусы, нацеленные на приложения для промышленной автоматизации.

CMS и форумы — благоприятная среда для хакеров

Наилучшие условия для несанкционированных проникновений в сегменте веб-приложений предоставляют системы управления содержимым (18%). Хакеры постоянно ищут уязвимости в CMS, и, как мы видим, находят их в большом количестве (204 уязвимости за год). Администраторам сайтов, построенных на популярных платформах, необходимо не только контролировать подозрительную активность, но и оперативно устанавливать обновления для CMS. Следует не забывать также о веб-форумах, которые удерживают второе место по количеству уязвимостей (7%).

Защищенность Apple iTunes под вопросом

Прошлогодний хит-парад наиболее уязвимых медиапроигрывателей (из числа популярных) возглавил Apple iTunes (133 уязвимости). В середине списка находится распространенный VLC Media Player (15 уязвимостей), а у Windows Media Player было обнаружено всего две уязвимости, что примерно в 70 раз меньше, чем у Apple iTunes.

77% «дыр» в системе можно использовать удаленно

Если рассмотреть все уязвимости за 2011 год, то можно заключить, что злоумышленник мог работать удаленно при эксплуатации 77% уязвимостей. Для 15% требовалась локальная сеть, а для 8% — личное присутствие или инсайдерская информация.

Каждая четвертая уязвимость позволяет скомпрометировать систему

Примерно четверть уязвимостей (24%) позволяли хакеру скомпрометировать систему, выполнив произвольный код на компьютере жертвы. Еще 21% обнаруженных «дыр» подходил для XSS-нападения, 15% могли быть использованы для отказа в обслуживании, 13% — для раскрытия важных данных, 12% — для неавторизованного изменения данных.

Уязвимости как способ остановить завод и ядерную программу

В 2011 году специалисты в полный голос заговорили о наступлении эпохи холодной кибервойны. Мишенями хакеров становятся промышленные предприятия и военные секреты. Осенью стало известно о троянском вирусе под названием Duqu. Он проникает в компьютер под управлением Windows, используя критическую уязвимость с идентификатором CVE-2011-3402. Затем вирус способен внедриться в смежную SCADA-систему предприятия с целью похищения информации об ИТ-инфраструктуре и установления контроля над промышленными объектами. Некоторые эксперты отмечали, что фрагменты основного модуля Duqu имеют большое сходство с червем Stuxnet, который в 2010 году вывел из строя несколько иранских заводов по обогащению урана.

Поддельные SSL-сертификаты — месть за Иран?

Весной и летом 2011 года тегеранские хакеры последовательно взломали серверы удостоверяющих центров Comodo и DigiNotar. Второй случай оказался особенно «урожайным». Часть украденных сертификатов безопасности принадлежали ЦРУ, Моссаду и МИ-6. Помимо международной киберразведки, похищенные «цифровые паспорта» использовались для атак типа man-in-the-middle (MitM). Хакер пропускал интернет-траффик «клиента» через собственный прокси-сервер, где браузер жертвы встречался с фальшивым сертификатом и выдавал информацию в незашифрованном виде. Под ударом оказались пользователи интернет-банкинга, почтовых онлайн-служб и других сервисов, использующих SSL-сертификаты.

Цифровые подписи и военные секреты США

Взломав серверы компании RSA Security в середине марта 2011 года, неизвестные хакеры поставили под угрозу надежность цифровых подписей RSA SecurID. Этими ключами пользовались более 40 миллионов работников для получения доступа к закрытым сетям. Атака началась с электронного письма, призывающего работников головной компании RSA открыть фальшивый файл Excel с интригующим названием «План комплектования штата 2011.xls». Зараженная таблица при открытии инициировала установку на ПК бекдора Poison Ivy, эксплуатируя уязвимость с идентификатором CVE-2011-0609 в Adobe Flash Player. Среди похищенной информации были сведения о новейших решениях для двухфакторной проверки подлинности. Позже с помощью украденных ключей злоумышленники пытались взломать серверы крупнейшего в мире предприятия ВПК – корпорации Lockheed Martin.

Что бывает из-за несоответствия стандарту PCI DSS

В мае 2011 года были пойманы румынские хакеры, взломавшие системы обработки транзакций торговых терминалов и три года перехватывавшие данные платежных карт клиентов. Основной удар пришелся по компании Subway. Проникновение в ЛВС Subway, согласно информации The Wire, осуществлялось через беспроводные сети в ресторанах, а сами терминалы не соответствовали стандартам безопасности индустрии платежных карт (PCI DSS). Кроме того, специалисты, осуществляющие удаленную техподдержку терминалов, не только не устанавливали обновления для приложения удаленного администрирования PCAnywhere, но и выбрали простейшую комбинацию логина и пароля (administrator, computer) в более чем 200 системах.

2 апреля 2012 Г.

10:20

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

По подсчетам Sigmaintell, в минувшем квартале было выпущено 530 млн панелей для смартфонов: Samsung Display, основной производитель панелей для смартфонов, опережает отрасль1

Смартфону Galaxy S9 приписывают камеру с трехслойным датчиком, способную снимать со скоростью более 1000 к/с: По оценке KB Securities, такой датчик увеличивает стоимость камеры до 60-90 долларов51

Вопросы в тематическом форуме GOODRAM и конкурс GOODRAM: Участвуя в конкурсе, можно выиграть SSD GOODRAM CX300 объемом 120 ГБ9

Разработка Solar-Tectic может сменить технологию LTPS в дисплеях OLED: Новая технология получила название LT1CS

Смартфон Little Pepper S11 пытается копировать iPhone X, но у него это не получается: Смартфон Little Pepper S11 на первый взгляд можно спутать с iPhone X, но только на первый и очень затуманенный27

Разрешение изображений, пересылаемых Facebook Messenger, увеличено до 4096 х 4096 пикселей: Разработчики заверили, что увеличение разрешения не скажется на скорости пересылки6

Блок питания в корпусах FSP CMT110 и CMT120 располагается внизу: Модель FSP CMT110 отличается от CMT120 прозрачной боковой панелью8

Анонс Samsung Galaxy S9 и S9+ теперь ожидается на CES 2018: Consumer Electronics Show 2018 пройдет в Лас-Вегасе с 9 по 12 января 2018 года21

Uber хочет запатентовать средства, предотвращающие укачивание в самоуправляемых автомобилях: Правильное освещение, потоки воздуха и вибрирующие сиденья могут препятствовать укачиванию23

Аналитики Digitimes Research полагают, что в 2018 году поставки смартфонов превысят 1,5 млрд штук: Этот показатель соответствует росту рынка на 4,8%6

I-O Data DVRP-W 8 AI 2 — привод DVD для смартфонов и планшетов: I-O Data DVRP-W 8 AI 2 поддерживает Wi-Fi 802.11ac10

Серия твердотельных накопителей Colorful Plus включает модели объемом до 640 ГБ: В твердотельных накопителях Colorful Plus используются контроллеры SMI SM2258XT и флэш-память 3D TLC NAND

Функциональность камеры смартфона Razer Phone будет существенно улучшена: Камера Razer Phone получит специальный портретный режим с размытием фона, возможность записи видеороликов с частотой 60 к/с и прочие улучшения

Ассортимент блоков питания SilverStone пополнила модель Essential SST-ET450-B: Мощность блока питания SilverStone Essential SST-ET450-B равна 450 Вт

Apple подготовилась к «Черной Пятнице», сократив время ожидания iPhone X до 1-2 недель: Apple смогла существенно нарастить поставки iPhone X109

Опубликованы фотографии «полноэкранного» смартфона Meizu m1712, оснащенного боковым дактилоскопическим датчиком: Смартфон Meizu m1712 работает под управлением Android 7.0 Nougat9

В базе данных TENAA засветился смартфон Huawei в безрамочном исполнении и с четырьмя камерами: Версии новинки обозначаются HWI-AL00 и HWI-TL0

3D-карта EVGA GeForce GTX 1080 Ti K|NGP|N Hydro Copper оснащена водоблоком и разогнана производителем: Цена новинки, доступной только в фирменном онлайновом магазине, примерно равна $12501

Смартфон Samsung Galaxy A5 (2018), который может выйти под названием Galaxy A8 (2018), засветился на качественных изображениях : Компания Olixar слила в Сеть изображения смартфона Samsung Galaxy A5 (2018)10

Представлен смартфон Xiaomi Mi Mix 2 Starck Edition : Цена Xiaomi Mi Mix 2 Starck Edition составляет 710 долларов2

Слухи: смартфон Xiaomi Mi 7 сохранит цену предшественника и переберется на платформу Snapdragon 845: Выпуск Xiaomi Mi 7 ожидается на стыке первого и второго кварталов 2018 года8

Мег Уитмэн покинет пост генерального директора Hewlett Packard Enterprise: В феврале 2018 года функции гендиректора HPE возьмет на себя Антонио Нери1

Смартфон OnePlus 6T может не увидеть свет: Если до конца 2018 у OnePlus не появится причин выпустить OnePlus 6T, то компания не будет делать этого3

Свежий видеоролик демонстрирует текущее состояние штаб-квартиры Apple Park: К концу года большая часть работ должна быть завершена10

Названа дата анонса «полноэкранных» смартфонов Gionee F6 и F205: Смартфоны Gionee F6 и F205 получили экраны с соотношением сторон 18:9 и узкими рамками

По данным Puls, 9 из 10 пользователей не планируют менять свои смартфоны до конца года: Многие могут просто поменять аккумуляторы в своих смартфонах вместо того, чтобы покупать новые устройства9

OnePlus 5T и ранее выпущенные смартфоны компании не получат поддержку Google Project Treble: OnePlus 3 и OnePlus 3T, а также OnePlus 5 и OnePlus 5T будут обновлены до Android 8.1

Seoul Semiconductor SunLike — первый осветительный светодиод, получивший сертификат безопасности RG 1: В светодиоде SunLike мощностью 25 Вт используется технология TRI-R, разработанная Toshiba Materials9

По прогнозу Digitimes Research, поставки планшетов в 2018 году составят 128 миллионов штук: На модели с экранами размером не менее 9 дюймов придется более 60% поставок4

997
1318

iXBT TV

  • Обзор проекционного документ-сканера Doko BS16

  • Обзор материнской платы Z370 Aorus Gaming 7 под процессоры Coffee Lake

  • Обзор аккумуляторной дрели-шуруповерта Bosch GSR 12V-15 FC Professional

  • Заводские экзоскелеты, обновление Firefox, слишком умные наушники

  • Репортаж с конференции Supercomputing 2017 (SC17), день 3: стенд группы компаний РСК

  • Репортаж с конференции Supercomputing 2017 (SC17), день 2: стенд Intel

  • Репортаж с конференции Supercomputing 2017 (SC17), день 1: рейтинг Top500

  • Обзор кинотеатрального DLP-проектора LG PF1000U со встроенным ТВ-тюнером

  • Камера Panasonic G9, унитазный робот, игровой смартфон, кепка для водителей

  • Обзор портативной беспроводной колонки Sven PS-460

  • Обзор напольного пылесоса Tefal Silence Force 4A TW6477 с одноразовыми мешками для сбора мусора

  • Обзор сверхширокоугольного зум-объектива Canon EF 16-35mm f/2.8L III USM

1212

Календарь

апрель
Пн
Вт
Ср
Чт
Пт
Сб
Вс

Рекомендуем почитать