28.07.2011

В безопасности ли вы, поставив все последние обновления?

Не все люди понимают, что между появлением уязвимости в программном продукте и выходом обновления этого программного продукта есть промежуток времени. На это хакеры и рассчитывают.

Не все люди понимают, что между появлением уязвимости в программном продукте и выходом обновления этого программного продукта есть промежуток времени. На это хакеры и рассчитывают.

Следуя лучшим практикам, компании устанавливают у себя системы, которые контролируют появление новых обновлений программных продуктов и сразу же их ставят. Это сильно повышает безопасность, но не на 100%. Почему?

Это элементарно, Ватсон. Обновление появляется лишь после того, как программисты компании разработчика напишут и оттестируют это обновление. А до этого они должны получить команду заняться именно этой уязвимостью. А до этого сама компания должна узнать про уязвимость.

Как идет процесс? Он развивается во времени по шагам

  1. Кто-то нашел уязвимость
  2. Кто-то опубликовал уязвимость
  3. Производитель программного продукта узнал об уязвимости
  4. Производитель программного продукта выпустил обновление
  5. Пользователь узнал об обновлении
  6. Пользователь поставил обновление

Сколько времени проходит от 1 до 2? Последний взлом Google (операция Aurora) показал, что есть злоумышленники, которые находят уязвимости и сразу же их используют. Для атаки на Google была использована неизвестная (на момент атаки) уязвимость в Internet Explorer. А поскольку неизвестна была уязвимость, то не было и обновления (патча) для него.

Сколько времени проходит от 2 к 3? Как правило, если уязвимость найдена исследовательскими лабораториями или опубликована в форумах, то она появляется в базе данных уязвимостей (примером такой базы является CVE), и производители софта их используют и думаю что делать. Но не всегда у них есть время и ресурсы, чтобы заняться проблемой. Поэтому ответ на следующий вопрос вам не понравится.

Сколько времени проходит от пункта 3 до 4? По статистике 50% уязвимостей так и не доходят до пункта 4. То есть, на них просто нет обновлений. Простите, не хотел вас огорчать.

Сколько времени проходит от 4 до 5? На эту тему я хотел поговорить в этой статье. Не все компании имеют софт, который автоматически контролирует ВСЕ программные обновления ВСЕХ используемых продуктов. Поэтому даже если выходит обновление, то не все об этом знают и не все его ставят. Если вспомнить вирус Conficker, то время этого шага по установке патчей составляло 3 месяца и более. Обновление, выпущенное 23 октября 2008 года (http://www.microsoft.com/rus/technet/security/bulletin/MS08-067.mspx), никем не было замечено, поэтому неудивительно, что Conficker заразил миллионы компьютеров в январе 2009 года. (Справедливости ради надо сказать, что этот сетевой червь использовал несколько путей распространения – не только через уязвимую службу Server).

Сколько времени проходит между 5 и 6? Это зависит от многих параметров: наличия автоматизированных программ по установке обновлений; наличия политик, требующих сначала протестировать обновления, а потом ставить на работающие серверы; наличия политик, связанных с тем, что любое обновление должно быть сертифицировано соответствующей организацией, что еще больше затягивает этот процесс.

Считается, что автоматизация этого процесса: проверки наличия уязвимостей – скачивания - установки – это самое лучшее решение. И это так. Но почему я сказал, что вы все равно не 100% защищены от уязвимостей? Проще всего посмотреть на примере.

Сегодня 8 июля 2011 года. Заходим на zero day tracker и видим кучу новых уязвимостей. Например, в Internet Explorer 9 сегодня есть уязвимость (почему никто не удивился!?), что описано здесь http://www.eeye.com/Resources/Security-Center/Research/Zero-Day-Tracker/2011/20110402



Понимая, что есть уязвимость, мы можем спросить нашу программу обновлений – ставь обновление. Допустим, мы пользуемся бесплатной Secunia PSI. Что она пишет про IE9 сегодня? Запускаем и смотрим. Сделаю это у себя на компьютере.

Да-да. Secunia PSI радостно меня оповещает, что у меня последние обновления для Internet Explorer 9 и надо жить спокойно. Но это ведь не так! Если бы мы с вами не зашли на zero day tracker, то мы бы никогда и не узнали, что у всех есть уязвимость, потому что моя и ваша программа обновлений нас успокоила. Я не обвиняю конкретный продукт или компанию. Так работают почти все системы обновлений! Они лишь заботятся о наличии у вас последних обновлений, но совершенно не в курсе про последние уязвимости.

Вывод: если вы установили все последние обновления, то это не значит, что вы устранили все известные на сегодняшний день уязвимости.
Что же делать? Здесь на помощь приходят системы предотвращения атак (IPS). Производители таких систем гораздо раньше вендоров узнают об уязвимостях и пишут защиту от атак на эти уязвимости. Хакеры пытаются атаковать – у них не получается, как-будто обновление стоит. Такая защита называется «виртуальный патч». Обновления (на жаргоне - патча) реально нет, но атаковать уязвимость невозможно.

В корне сдвинуть с мертвой точки ситуацию, что производители слишком поздно узнают об уязвимостях помог проект Zero Day Initiative компании HP TippingPoint. Компания стала платить исследователям за найденные уязвимости, в результате HP знает про уязвимости гораздо раньше производителя программного обеспечения и ставит защиту «виртуальный патч». В 2010 году, например, проект ZDI нашел и помог защититься от 310 уязвимостей, неизвестных ранее. Это рекорд. Достигнут он тем, что на сегодняшний день в этом проекте участвуют 1500 человек. Таким образом, пользуясь ZDI, HP TippingPoint IPS решает проблемы с отсутствием патчей во всей сети и дает время вам на их установку. Так что вывод грустный: у кого нет IPS – того скоро взломают.

BDV

или введите имя

CAPTCHA
Страницы: 1  2  
28-07-2011 09:10:30
Окончание статьи шикарное А как же Провентия от АйБиЭм?
0 |
28-07-2011 09:15:13
И еще - тот пример, с вупеновской багой, он же к ZDI не относится... Защитит ли HP TP от тех зеродеев, что толкнули iDefense, Vupen или Immunity? Перефразируя вопрос - делятся ли другие скупщики с HP технической инфой о багах? Думаю не особо - конкуренция же..., а значит от того бага, что в скриншоте, даже HP TP не спасет.
0 |
28-07-2011 20:36:55
Автор не знает о последних изменениях в теме о которой пишет. И краски сгущает сверх меры. Очень часто уязвимость найденая исследователем сначала сообщается разработчику ПО. Часто ему дается до 180 дней чтобы исправить уязвимость. После того как выпущен патч уязвимость раскрывается публично. В общем рекомендую внимательно почитать о политике ответственного раскрытия http://en.wikipedia.org/wiki/Responsible_disclosure В программе по ответственному раскрытию уязвимостей участвует не только Vupen, но и довольно много других исследователей. Так что шансы того что уязвимость сначала появится на форуме а потом попадет к производителю ничтожны. Если посмотртеть на статистику которую мы собираем с 600 млн. компьютеров выяснится что топ 10 вирусных эпидемий не связаны с уязвимостями, тоже самое с троянами и ботнетами. Подробнее про это можно почитать в SIR http://www.microsoft.com/security/sir/default.aspx В статье приводится пример Conficker. Если почитать историю то выяснится что он появился почти через 3 месяца после выхода патча. Это означает что злоумышленники дизасемблировали заплатку и написали эксплоит. По нашей статистике 90% клиентов обновилось через Windows Update в течении первой недели с момента выхода патча. Выходит что заражены были те кто не удосужился за три месяца заглянуть на свой WSUS сервер. Из этого делаю вывод что угроза сильно раздута в угоду рекламируемому продукту. Системы сигнатурного анализа трафика уже давно не новость и не сенсация. Например Forefront TMG делает все тоже самое что и рекламируемый в статье продукт. Но в большинстве случаев эти продукты не нужны ибо случаев когда используется свежая неизвестная уязвимость ничтожно мало.
0 |
29-07-2011 00:03:51
Андрей, Шансы ничтожны, но всяко бывает (почему-то вспоминаю Тевиса Орманди)... К тому же "вирутал патч" эфективин при "вайлд" 0дее - когда Китайцы уже эксплуатируют, а патча ждать ещё долго На самом деле суть статьи можно охарактеризовать примерно так: 1) Ресерчер находит багу 2) Толкает её ЗДИ 3) ЗДИ контачит с вендером и выпускает патч 4) Вендор выпускает патч Так вот, если кто-то другой, найдет эту же багу, то клиенты HP TP защищены от этой проблемы с шага 3 до шага 4 и даже после шага 4 - те кто не успел поставить апдейт. И ещё - сейчас ситуация, когда разные люди находят ОДНУ и ту же багу - становится все чаще и чаще. К примеру, мы знаем, что злые парни фаззят PDF - N эксплойтов в год. Ресерчеры, которые копают под тот же Адобе и толкают результат ZDI/iDefense/и т.д. (допустим X уязвимостей в год) - снижают доступное кол-во уязвимостей для плохих парней... если бы не было ZDI, iDefense и прочих баунти программ от вендоров, то в год у нас было бы не N диких зеродеев, а N+X-T, где T<X. Очевидно, что такие программы как у ZDI и iDefense снижают вред по интернету (на уровне 0-дей угроз, естественно, что число N не большое, и большинство эпидемий все же на уровне 1-дэй угроз), а виртуальные патчи прикрывают небольшую вероятность эксплуатации таких 0-дей багов. Так что автор все же прав - если ты пропатчен, то далеко не факт, что ваш IE9 с недопесочницей не взломают уже существующим эксплойтом... (но вероятность этого низка, так как надо ещё наткнуться на 0дей).
0 |
07194
03-08-2011 18:29:49
Баги в IPS не посчитали из-за которых возможно выполнение кода и отказ в обслуживании защищаемого ресурса
0 |
вопрошатель
09-08-2011 22:14:04
когда последний раз находили баг в IPS?
0 |
вопрошатель
09-08-2011 22:15:50
когда последний раз находили баг в IPS?
0 |
xfg.virrus
29-07-2011 02:40:32
Лавры КЭПа не дают покоя ТС? Блин ну иногда же появляется серьезная аналитика с рекомендациями...
0 |
Страницы: 1  2