Разработчики не спешат закрывать уязвимости в приложениях

image

Теги: уязвимость, операционная система, SANS, безопасность

Несмотря на то что главной целью злоумышленников являются уязвимости в приложениях, ПО-разработчики уделяют куда больше внимания проблемам безопасности не в программах, а в операционных системах.

Несмотря на то, что главной целью злоумышленников являются уязвимости в приложениях, ПО-разработчики уделяют куда больше внимания проблемам безопасности не в программах, а в операционных системах. Об этом говорится в отчете, подготовленном аналитиками компаний SANS Institute, TippingPoint и Qualys.

В ходе исследования аналитики изучили связанные с онлайновыми атаками данные, которые были собраны в течение полугода в шести тысячах организаций, использующих систему противодействия вторжению TippingPoint. В расчет также принималась информация, полученная по результатам 100 млн сканирований среди 9 тысяч подписчиков сервиса компании Qualys, который оценивает наличие уязвимостей.

В результате выяснилось, что в течение 60 дней закрывается 80% уязвимостей в операционных системах Microsoft и только 40% "дыр" в приложениях. Исследователи отмечают, что большинство хакерских атак направлено именно на приложения, особенно клиентские, включая Adobe PDF Reader, Apple QuickTime, Adobe Flash и Microsoft Office.

Более 60% отслеженных TippingPoint атак были нацелены на  веб-приложения; злоумышленники надеялись превратить привычные ресурсы в опасные, распространяющие вредоносный код для заражения уязвимых клиентских программ.

Основными способами атаки выступали внедрение SQL-кода и межсайтовый скриптинг. К самым популярным методикам взлома исследователи отнесли полный перебор паролей, направленный на серверы FTP, SSH и Microsoft SQL.

Аналитики также отмечают, что чаще всего эксплуатировались проблемы с безопасностью в Apple QuickTime 7.6 (CVE-2009-0007), удаленное исполнение кода из-за уязвимости в Microsoft WordPad и текстовом конвертере Office (MS09-010), а также множественные уязвимости в Sun Java. Кроме того, не обошлось без так называемых атак нулевого дня, когда нападения совершаются до того, как обнаруженные уязвимости будут закрыты.


или введите имя

CAPTCHA
Страницы: 1  2  
D3m0n
17-09-2009 10:09:36
ПО-разработчики уделяют куда больше внимания проблемам безопасности не в программах, а в операционных системах.Если операционка такое г_но, что уязвимость в приложении валит не только аппликуху, но и рутает систему... Но коментс кароч.
0 |
/525
17-09-2009 10:17:41
А как же ботнеты на Linux? там ведь ломали именно приложение?
0 |
D3m0n
17-09-2009 10:24:08
Если рутовый пароль 123 или qwerty, то это не ломание. Для имбeцuлoв специально было сказано, что ломали только серваки со стандартными/простыми паролями.
0 |
qwerty
17-09-2009 10:55:52
Читаем внимательно http://www.securitylab.ru/news/385258.php Исследователь предполагает, что сама подобная атака стала возможной из-за невнимательности администраторов этих серверов, так как они либо установили слишком простой root-пароль на сервер, либо случайно "поделились" этим паролем с хакерами.Есть очень большая разница между предположениями и утверждениями. Прежде чем кого-то обвинять - копни в себе))) Пока никто не знает как появились эти ботнеты и есть ли они вообще, хотя я предполагаю, что есть и в большом количестве. Ведь большинство админов слишком уверенны в сверхзащищенности и неуязвимости Линукс. Был прецендент - с одного сервера на наш летели подозрительные пакеты. Звоню их админу, говорю ему об этом, а в ответ вместо "проверим" слышу "не может быть - у нас Линукс")))
0 |
17-09-2009 11:06:43
Был прецендентСколько миллиардов прецедентов было с виндой? Есть очень большая разница между предположениями и утверждениями. Прежде чем кого-то обвинять - копни в себе))) Пока никто не знает как появились эти ботнеты и есть ли они вообще, хотя я предполагаю, что есть и в большом количестве. Ты не видишь ничего смешного в твоих собственных словах?
0 |
qwerty
17-09-2009 11:42:18
Я просто попытался показать, что предполагать можно все, что угодно. А вот утверждать можно только имея в наличии железные и неопровержимые доказательства. Но считаю, что смешно утверждать, что есть абсолютно неуязвимые системы, и то, что находятся админы, которые вот просто взяли и передали рутовые пароли хакерам )
0 |
17-09-2009 11:48:19
смешно утверждать, что есть абсолютно неуязвимые системыЗато можно утверждать, что есть системы, которые практически доказали свою катастрофическую дырявость (винда). вот просто взяли и передали рутовые пароли хакерамТа история очень мутная. Автор сенсации просто шлепнул бездоказательное утверждение. Обсуждать на этой базе линукс бессмысленно, там надо обсуждать чистоплотность и квалификацию автора.
0 |
17-09-2009 12:08:04
Вот это мне нравится ппц как. Значит если пользователь сидит на винде под админом и его "ломают" то винда авно, а как рута в никсах сбрутили на 123, то это пользователь дурак.
0 |
17-09-2009 12:24:20
если пользователь сидит на винде под админом и его "ломают" то винда авноСовершенно верно. Так уж она была написана криво, что во многих случаях пользователь был вынужден сидеть под админской учеткой. В лучшем случае, для выполнения рутинных операций приходилось из под ограниченной учетки делать слишком много телодвижений, не доступных пониманию домохозяек, на которых винда ориентирована. а как рута в никсах сбрутили на 123, то это пользователь дуракАбсолютно точно.
0 |
D3m0n
17-09-2009 13:43:00
Всё верно. Винду ломают через уязвимости, а никсы - тупым брутом. Миллиард китайцев с компами - пример брутфорсера. ))))
0 |
Стандартный юзер
17-09-2009 19:27:35
что ломали только серваки со стандартнымипаролямиА что существуют стандартные пароли? В каких стандартах они описаны ссылочку на RFC пожалстя
0 |
---
18-09-2009 04:23:09
А что существуют стандартные пароли? В каких стандартах они описаны ссылочку на RFC пожалстяСкудного умишки не хватает к другому прицепится?
0 |
D3m0n
18-09-2009 08:15:53
Если ты любишь пендосовский сленг, то для тебя стандартные - дефолтовые. Shkolota pendosnya ___________________________________________________________________________________________
0 |
boot.net
17-09-2009 10:52:15
хахаха ботнеты то как раз на винде, а линуксы ими только слегка поруливают
0 |
28702
17-09-2009 12:01:02
К удивлению специалистов по безопасности, компания Microsoft отказалась патчить недавно выявленную уязвимость TCP/IP в Windows XP и Windows 2000. Один из ведущих менеджеров по безопасности программ Microsoft Эдриан Стоун сказал, что этот фрагмент исходников слишком стар, имеет возраст от 12 до 15 лет, и разобраться в коде на этом уровне "просто нереально" [backporting that level of code is essentially not feasible]. Данная фраза была сказана в прямом эфире ежемесячного вебкаста по безопасности (стенограмма), отвечая на вопросы слушателей. Два бага в стеке TCP/IP были обнаружены 8 сентября. Уязвимость затрагивает также Windows Vista, Windows Server 2003 и Windows Server 2008. Для трёх упомянутых систем вышел апдейт MS09-048, а вот к Windows 2000 и Windows XP патча можно не ждать. Для защиты от вредоносных TCP/IP-пакетов пользователям Windows XP рекомендовано воспользоваться функционалом встроенного файрвола.
0 |
18-09-2009 16:50:35
уже интересней. а ссылочку можно на первоисточник, плиз?
0 |
Нанобот
17-09-2009 10:25:59
любят американцы проценты везде считать...
0 |
08707
17-09-2009 17:50:52
почему бы не посчитать? если умеешь конечно ...
0 |
Нерусь
17-09-2009 11:43:23
Все закономерно: задача разработчиков впарить ПО, не предоставив при этом никаких гарантий. А раз гарантий нет, то и исправлять никто не обязан. Кроме того, процесс закрытия уязвимостей денег не принесет, а время отнимет.
0 |
KG
17-09-2009 15:31:30
К самым популярным методикам взлома исследователи отнесли полный перебор паролей, направленный на серверы FTP, SSH и Microsoft SQL. Вот мне интересно. Если на сервере стоит 7-ми значный цифрово-буквенный пароль, выбраный случайным образом, а задержка между вводами пароля 2 секунды, то время полного перебора 2*(50^7) секунд. Разделив это число на 31 536 000 ( число секунд в году ) мы получим приблизительно 49 546 лет. Ясно что это отценка сверху, однако число впечатляет. Так каму удалось сделать полный перебор паролей к SSH?
0 |
JUMPIE
18-09-2009 00:26:10
Сабж. А нафига? Это ведь денег не приносит.
0 |
Страницы: 1  2