Video: WAKA WAKA Tutorial (Listopad 2024)
Produkty třetích stran se trefí
Nikdo se nepřekvapí, když zjistí, že celkový počet známých zranitelností rok od roku roste, nebo že se většina nejvíce spoléhá na útok na vzdálenou síť, aby pronikla zranitelnými sítěmi. Významné nedostatky v operačních systémech a programech společnosti Microsoft se však stávají menší a menší částí celkového počtu. Společnost Secunia uvádí, že 86 procent aktivních zranitelností v roce 2012 ovlivnilo produkty třetích stran, jako jsou Java, Flash a Adobe Reader. V roce 2007 tvořily zranitelnosti třetích stran méně než 60 procent z celkového počtu.
Na druhé straně se nebezpečné okno mezi objevením chyby zabezpečení a vytvořením opravy zmenšuje. Secunia hlásí dostupnost záplaty ve stejný den pro 80 procent těchto hrozeb v roce 2012, což je o něco více než 60 procent v roce 2007. To ponechá 20 procent, které nemají záplatu ve stejný den nebo dokonce do 30 dnů, ale udržení veškerý aktualizovaný software zajistí, že dostanete všechny ty opravy ve stejný den.
Nejistota SCADA
Revizní zprávy za rok 2013 o zranitelnostech v systémech SCADA (Supervize Control and Acquisition). Tyto systémy řídí továrny, elektrárny, jaderné reaktory a další vysoce významná průmyslová zařízení. Nechvalně proslulý červ Stuxnet zničil odstředivky pro obohacování uranu v Íránu převzetím jejich SCADA ovladačů.
Podle Secunie „Software SCADA je dnes ve fázi, kdy byl běžný software před 10 lety… Mnoho zranitelných míst zůstává v softwaru SCADA déle než jeden měsíc.“ Časový plán reprezentativních zranitelností SCADA ukazuje, že několik ve vysoce rizikové kategorii zůstalo nezasláno po dobu více než 90 dnů.
Teoreticky by systémy SCADA měly být méně zranitelné, protože nejsou připojeny k internetu. V praxi tomu tak není vždy a útočníci by mohli ohrozit i připojení k místní síti. Celková „vzduchová mezera“ bez připojení k síti nechránila odstředivky Stuxnet. Obětí napadených USB disků se stali oběťmi, které nevědomky vložili technici. Je zřejmé, že prodejci softwaru SCADA musí udělat nějakou práci, pokud jde o udržování bezpečnosti a vytlačování oprav.
Hackeři jdou na zlato
Nulová zranitelnost je chyba, která byla právě objevena, což je chyba, pro kterou neexistuje žádná oprava. Zpráva společnosti Secunia obsahuje informativní graf, který uvádí počet nultých dnů zjištěných každý rok v top 25 nejoblíbenějších programech a v top 50, 100, 200 a 400. Celkový počet se meziročně liší, přičemž vrchol dosahuje v roce 2011 15 nultých dnů.
Zajímavější je, že během daného roku se čísla s rostoucím počtem potenciálně ohrožených programů téměř nezmění. Téměř všechny nulové dny ovlivňují nejoblíbenější programy. To vlastně dává hodně smysl. Objevení vady programu, kterou nikdo jiný nikdy nenašel, vyžaduje hodně výzkumu a tvrdou práci. Hackeři mají smysl soustředit se pouze na nejrozšířenější programy. Zneužití, které přebírá úplnou kontrolu nad systémem oběti, nestojí za to, pokud má zranitelný program nainstalován pouze jeden systém z milionu.
Více se učit
Narazil jsem na nejvyšší místa, ale ze zprávy o zranitelnosti Secunie je toho mnohem víc. Celkovou zprávu si můžete stáhnout z webu společnosti Secunia. Pokud se celá zpráva zdá být ohromující, nebojte se. Vědci Secunie také připravili infographic, který zasáhne všechna místa.
