Опасная особенность прикладного ПО
Прошло время, когда своевременной установкой обновлений Windows можно было обезопасить себя от внешних атак. По мнению экспертов из института SANS теперь наибольшую угрозу безопасности представляют не "пропатченные" вовремя программы.
Автор: Игорь Терехов
| Раздел: Статьи |
Дата: 23 сентября 2009 года
В настоящее время, подавляющее число компаний и корпораций совершенно не способно противостоять новым формам хакерских атак на свои сети и компьютеры. И не потому, что ответственные за безопасность сотрудники игнорируют свежие обновления Windows, а потому, что они игнорируют обновления, например, Adobe Acrobat Reader.
К таким выводам можно придти после изучения свежего отчёта американского института компьютерной безопасности SANS (SysAdmin, Audit, Networking, and Security). Вы можете помнить его по известному заявлению, что ничем не защищенный компьютер на базе Windows может продержаться в Интернете в девственном состоянии не более 10-ти минут. Это значит, что он успевает подцепить заразу раньше, чем скачаются необходимые критические обновления.
В этом году SANS впервые провел совместный анализ двух наборов данных: один касался характеристик наиболее типовых атак на корпоративные компьютеры, другой представлял собой коллекцию типовых незакрытых уязвимостей. Наборы данных были предоставлены компаниями TippingPoint и Qualys. Первая отвечала за атаки, и её данные основывались на анализе нападений на 6 тысяч различных организаций в течение первых 6 месяцев этого года. Вторая компания предоставила информацию об уязвимостях, используя данные мониторинга 9-ти миллионов компьютеров.
Анализ собранной информации показал, что интерес хакеров к брешам в защите систем семейства Microsoft Windows значительно сократился. За отчетный полугодовой период был зафиксирован только один случай массового распространения вредоносного кода - им стал червь Conficker. У такой позитивной ситуации есть разумное объяснение: с одной стороны софтверный гигант наконец-то научился оперативно “латать дыры” и снабдил пользователей удобной системой получения апдейтов, а с другой - повысилось и общее внимание к защите Windows внутри компаний. В итоге на атаки самой популярной операционной системы теперь приходится не более 30% от общего числа атак.
Однако радоваться пока рано. Одновременно с падением интереса к Windows у злоумышленников растет интерес к стороннему программному обеспечению, которое обычно устанавливается "по умолчанию" на все корпоративные компьютеры. Речь идёт в первую очередь о Microsoft Office, Adobe Acrobat/Acrobat Reader, Adobe Flash Player, различных Java-приложений и Apple QuickTime. По статистике на долю этих программ сейчас приходится 10% вполне успешных атак (рост с нуля за три года) и это значение будет стремительно расти дальше, поскольку согласно подсчетам Qualys более 90% офисных компьютеров никогда не получали обновления для этого стандартного офисного ПО.
Но было бы несправедливо упрекнуть в таком пренебрежительном отношении к безопасности только ответственных за нее сотрудников компаний. Сами разработчики прикладного ПО зачастую реагируют на найденные уязвимости с большой задержкой. Или не реагируют вовсе. Приведём пример.
У компании TippingPoint существует особый проект, который называется Zero Day. Этим термином принято обозначать уязвимости, которые были обнаружены независимыми экспертами (или хакерами, как повезет) раньше самих разработчиков (по аналогии с этим существуют zero-day атаки, совершаемые до того, как разработчик выпустит патч). Суть проекта заключается в сборе информации о "дырах" в программах и выплате вознаграждения нашедшему их эксперту. При этом информация об уязвимости сразу же перенаправляется разработчику, а эксперт подписывает соглашение о неразглашении полученной информации. Обещанный выше пример состоит в том, что в базе TippingPoint существуют записи, датированные 2007 годом. Минуло три года, но разработчики "дырявых" программ так и не приняли никаких мер для ликвидации найденных экспертами уязвимостей.
Кстати, упомянутые выше программы из стандартного офисного набора лидируют в номинации "Максимальное количество zero-day уязвимостей, найденных за последние 6 месяцев по версии TippingPoint.
В отчете SANS компания TippingPoint также замечает, что за последние несколько лет выросло и число экспертов, посылающих отчёты о найденных "дырах". Это означает общий рост количества подготовленных пользователей, однако наивно предполагать, что все они добропорядочны и готовы сливать информацию исключительно в TippingPoint или разработчикам, а не куда-нибудь на сторону.
Говоря о проблеме безопасности устаревшего или плохо обновляемого ПО, нельзя не вспомнить свежий инцидент, произошедший на прошлой неделе с Microsoft. Компания в лице Адриана Стоуна (Adrian Stone) заявила, что не будет выпускать заплатку для стека TCP/IP к Windows XP и Windows 2000, поскольку это не представляется возможным и разумным для систем, код которых был написан почти 15 лет назад. Заплатки получат только Vista и Server 2008.
Такое заявление не могло пройти незамеченным, так как это второй случай за всю историю Microsoft, когда она отказалась выпускать апдейт для официально поддерживаемых ОС. Взволнованных пользователей Windows XP, впрочем, успокоили, сказав, что частично от использования эксплоита может спасти встроенный в систему файрвол (и в скобках заметили, если он не используется, то это уже проблемы не Microsoft), да и самое страшное, что может произойти с компьютером в случае атаки - это его зависание. Что касается пользователей Windows 2000, то их никак не успокаивали, а попросили просто смириться.
Разборки с Microsoft всё ещё продолжаются, однако этот пример только подчеркивает выводы SANS о необходимости регулярного обновления любых используемых программ. И пускай не для всех "дыр" будут оперативно написаны заплатки, по крайней мере, с формулировкой "написать не представляется возможным" столкнуться уже не придётся.