A nagy titkolózás: rengeteg biztonsági hibát fed homály

A napvilágra kerülő biztonsági rések csak a jéghegy csúcsát jelentik. Az igazán veszélyes, javítatlan sebezhetőségekre sokáig nem derül fény.
hirdetés
Dr. Stefan Frei, az NSS Labs kutatási igazgatója egy érdekes tanulmányt készített a szoftveres sérülékenységek életciklusáról. A szakember elsősorban arra volt kíváncsi, hogy hány – nyilvánosság előtt ismeretlen – sérülékenységről tudhatnak a biztonsági cégek és a szoftverfejlesztők, és mennyi időre van ahhoz szükség, hogy a sebezhetőségek megszüntetésére sor kerüljön. Természetesen e kérdések megválaszolása korántsem egyszerű feladat, már csak azért sem, mert a biztonsági rések köré felépült legális és illegális piacok jelentős méretűre duzzadtak, miközben az információk titokban tartása sokak érdeke. Ezért a kutató úgy határozott, hogy két jelentős szereplő adataiból indul ki. Megvizsgálta a 2002 óta működő iDefense VCP (Vulnerability Contributor Program), valamint a 2005 óta létező HP TippingPoint ZDI (Zero Day Initiative) kezdeményezések keretében kezelt sérülékenységeket. (A VCP és a ZDI is fizet a kutatóknak nulladik napi sérülékenységi információk fejében, amelyeket aztán megoszt a gyártókkal.)

Frei a kutatása során alapvetően a sebezhetőségek életciklus modelljéből indult ki. Ez több lépcsőre bontható: hiba keletkezése, felfedezése, exploit elérhetővé válása, információk nyilvánosságra hozatala, javítás letölthetővé válása és végül a frissítés elvégzése. Emellett két nagy fázist is meg lehet különböztetni. Az egyikről akkor beszélünk, amikor a sérülékenységi információk még nem kerülnek nyilvánosságra. Ekkor az exploit már készen áll, vagyis kihasználható a hiba, ugyanakkor a felhasználók, rendszerüzemeltetők tehetetlenek, hiszen nincsenek tisztában a hiba létezésével, illetve a kockázatokkal. A második fázisban kerülnek napvilágra azok az adatok, amik alapján megelőző intézkedéseket lehet hozni, majd az időközben megjelenő frissítéseket fel lehet telepíteni.


Forrás: NSS Labs

A kutatási igazgató arra a következtetésre jutott, hogy a sebezhetőségek életciklusa meglehetősen hosszú időt fed le, de ami ennél is rosszabb, hogy az első fázis – tehát amikor csak kevesen tudnak egy-egy biztonsági résről – nagyon elnyúlhat. Ez pedig a kiberbűnözők malmára hajtja a vizet, hiszen így hosszabb ideig tudnak egy-egy sebezhetőséget a saját javukra fordítani. A számok azt mutatják, hogy a VCP és a ZDI programba bekerülő sérülékenységek átlagosan 153 napig maradtak rejtve a nyilvánosság előtt. Ez elsőre soknak tűnhet, azonban meg kell jegyezni, hogy ennél pesszimistább kimutatások is készültek már. A Symantec például a nulladik napi biztonsági hibák élettartamát 312 napra becsülte.


Forrás: NSS Labs

Frei azt is kifejtette, hogy 2010-2012 vonatkozásában napi szinten hány olyan sebezhetőség veszélyeztette a rendszereket, amelyekre a nyilvánosságnak nem volt rálátása. A vizsgált időszakban a VCP és ZDI keretében jelzett sebezhetőségek száma a legnagyobb gyártók (Microsoft, Apple, Oracle-Sun, Adobe) esetében 425 darabra adódott, míg az összes gyártó kapcsán 1026 darabra. Megállapíthatóvá vált, hogy napi szinten a legjelentősebb fejlesztőcégek termékein 58, míg az összes alkalmazáson 152 olyan biztonsági rés tátongott, amelyekről csak a bennfentesek tudtak.


Forrás: NSS Labs

A fenti eredmények nem reprezentatívak, és vélhetőleg csak a jéghegy csúcsát szemléltetik. A VCP és a ZDI mellett ugyanis számos hasonló kezdeményezés létezik, sőt maguk a fejlesztőcégek is egyre gyakrabban indítanak saját programokat, amelyek keretében jutalmazzák a sebezhetőségek feltáróit. Az NSS Labs adatai szerint az elmúlt években az egyes vállalatok összességében a következő értékekben díjazták a biztonsági kutatókat:

- Google - 580.000 dollár (501 darab Chrome sérülékenység)
- Mozilla - 570.00 dollár (190 darab Firefox sebezhetőség)
- Facebook - 1 millió dollár (2011 óta)
- Microsoft - 100.000 dollár (2013 júniusa óta)

Nyilván a sebezhetőségi piac értékelésekor nem lehet figyelmen kívül hagyni az illegális, feketepiaci kereskedelmet sem, azonban ennek felmérése még nehezebb feladat, amelyre az NSS Labs kutatója sem vállalkozott. Azt azonban kijelentette, hogy ha a legális piaci körülmények mellett hónapokig titokban maradhatnak veszélyes sebezhetőségek, akkor ez a jelenség a kiberbűnözés körében még markánsabban jelentkezhet. Ezért a védelem kialakítása során célszerű a többrétegű biztonsági rendszerekre helyezni a hangsúlyt, amelyek révén a nemkívánatos események - bizonyos valószínűséggel – még azelőtt kiszűrhetővé válhatnak, mielőtt a sérülékenységi információk napvilágra kerülnének. Ez egyebek mellett viselkedésalapú technológiákkal és adatszivárgás-megelőző megoldásokkal válhat kivitelezhetővé.
   
Gyorssegély
 
Antivírus: Avast |  AVG |  Malwarebytes | 
Tűzfal: Comodo |  ZoneAlarm
Mentés: Cobian Backup
Online: ESET |  Bitdefender |  Norton |  Panda
hirdetés

Prémium hírcsatorna

  1. A phpMyAdmin frissítésével számos veszélyes sebezhetőségnek lehet búcsút inteni.

  2. Az IBM WebSphere Portal adatmanipulációkra és jogosulatlan hozzáférésre lehetőséget adó hibát tartalmaz.

  3. A Munidub trójai egy meglehetősen óvatos kártékony program, amely előkészíti a terepet egyéb, jóval károsabb szerzemények számára.

  4. A WordPress legújabb kiadása számos biztonsági hibát javít.

  5. A Pidgin fontos hibajavításokkal gyarapodott.

  6. A Cisco 8800 Series IP Phones készülékek kapcsán két sebezhetőségre derült fény.

  7. A Shimrat trójai hátsó kapu kiépítésével segíti a támadókat a rendszerek jogosulatlan elérésében.

  8. A Racryptor trójai egy vérbeli orosz zsaroló program, amely helyreállíthatatlan károkat képes előidézni.

  9. A Cryptolocker zsaroló program legújabb variánsa akár 750 dollárt is követelhet az általa tönkretett állományok helyreállításáért.

  10. A Bayads reklámprogram a webböngészőben és azon kívül is képes bosszantó hirdetéseket megjeleníteni.

Partnerhírek

  1. 4n

    A PiK-SYS Kft. évről-évre megrendezésre kerülő nyári IT biztonsági szemináriuma idén 2016.06.29-én, “Intelligencia és együttműködés az IT biztonságban” címmel kerül megtartásra.

  2. 8n

    Első helyre ugrott előre a ScriptAttachment trójai, amely fertőzött e-mailek mellékletében terjed, és javarészt zsaroló kártevőket terjeszt.

  3. 17n

    A labdarúgó Európa-bajnokságra utazó szurkolókat folyamatosan figyelmeztetik a különböző biztonsági intézkedések fontosságára és betartására, de vajon biztonságban vannak-e az itthoni szurkolók?

  4. 23n

    Június közepén kerül megrendezésre az Open Academy, amely közösségi keretek között kínál ingyenes továbbképzési lehetőséget több száz informatikus szakember számára.

  5. 24n

    A zsarolóvírusok újabb hulláma érte el Európát, a szomszédos országok most nagyobb veszélyben vannak.

  6. 1h

    Az ESET kutatói felfedeztek egy olyan kártékony kódot, amely legalább 2008 óta elkerülte az internetbiztonsági szakemberek figyelmét.

  7. 1h

    Az ESET kiadta a legfrissebb vírustoplistáját, amelyen érdekes változások történtek.

  8. 1h

    Az ESET szakértői a zsarolóvírusok működési mechanizmusa és a megelőzési folyamatok lehetőségei mellett megvizsgálták az újfajta kiberbűnözési trend több aspektusát is.

  9. 1h

    A KÜRT fejlesztői műhelyében született technológiák és termékek lehetővé tették, hogy a hazai piac egyik legsikeresebb információbiztonsági cége olyan nemzetközi piacokra is kiléphessen, mint például az USA vagy Kína

  10. 2h

    2016 márciusában nemcsak visszatért, de át is vette a vezetést a Nemucod trójai, a zsarolóvírusok legfőbb terjesztője.

hirdetés
Isidor Club
 
 

Biztonságportál Prémium

Isidor Biztonsági Központ