A nagy titkolózás: rengeteg biztonsági hibát fed homály

A napvilágra kerülő biztonsági rések csak a jéghegy csúcsát jelentik. Az igazán veszélyes, javítatlan sebezhetőségekre sokáig nem derül fény.
hirdetés
Dr. Stefan Frei, az NSS Labs kutatási igazgatója egy érdekes tanulmányt készített a szoftveres sérülékenységek életciklusáról. A szakember elsősorban arra volt kíváncsi, hogy hány – nyilvánosság előtt ismeretlen – sérülékenységről tudhatnak a biztonsági cégek és a szoftverfejlesztők, és mennyi időre van ahhoz szükség, hogy a sebezhetőségek megszüntetésére sor kerüljön. Természetesen e kérdések megválaszolása korántsem egyszerű feladat, már csak azért sem, mert a biztonsági rések köré felépült legális és illegális piacok jelentős méretűre duzzadtak, miközben az információk titokban tartása sokak érdeke. Ezért a kutató úgy határozott, hogy két jelentős szereplő adataiból indul ki. Megvizsgálta a 2002 óta működő iDefense VCP (Vulnerability Contributor Program), valamint a 2005 óta létező HP TippingPoint ZDI (Zero Day Initiative) kezdeményezések keretében kezelt sérülékenységeket. (A VCP és a ZDI is fizet a kutatóknak nulladik napi sérülékenységi információk fejében, amelyeket aztán megoszt a gyártókkal.)

Frei a kutatása során alapvetően a sebezhetőségek életciklus modelljéből indult ki. Ez több lépcsőre bontható: hiba keletkezése, felfedezése, exploit elérhetővé válása, információk nyilvánosságra hozatala, javítás letölthetővé válása és végül a frissítés elvégzése. Emellett két nagy fázist is meg lehet különböztetni. Az egyikről akkor beszélünk, amikor a sérülékenységi információk még nem kerülnek nyilvánosságra. Ekkor az exploit már készen áll, vagyis kihasználható a hiba, ugyanakkor a felhasználók, rendszerüzemeltetők tehetetlenek, hiszen nincsenek tisztában a hiba létezésével, illetve a kockázatokkal. A második fázisban kerülnek napvilágra azok az adatok, amik alapján megelőző intézkedéseket lehet hozni, majd az időközben megjelenő frissítéseket fel lehet telepíteni.


Forrás: NSS Labs

A kutatási igazgató arra a következtetésre jutott, hogy a sebezhetőségek életciklusa meglehetősen hosszú időt fed le, de ami ennél is rosszabb, hogy az első fázis – tehát amikor csak kevesen tudnak egy-egy biztonsági résről – nagyon elnyúlhat. Ez pedig a kiberbűnözők malmára hajtja a vizet, hiszen így hosszabb ideig tudnak egy-egy sebezhetőséget a saját javukra fordítani. A számok azt mutatják, hogy a VCP és a ZDI programba bekerülő sérülékenységek átlagosan 153 napig maradtak rejtve a nyilvánosság előtt. Ez elsőre soknak tűnhet, azonban meg kell jegyezni, hogy ennél pesszimistább kimutatások is készültek már. A Symantec például a nulladik napi biztonsági hibák élettartamát 312 napra becsülte.


Forrás: NSS Labs

Frei azt is kifejtette, hogy 2010-2012 vonatkozásában napi szinten hány olyan sebezhetőség veszélyeztette a rendszereket, amelyekre a nyilvánosságnak nem volt rálátása. A vizsgált időszakban a VCP és ZDI keretében jelzett sebezhetőségek száma a legnagyobb gyártók (Microsoft, Apple, Oracle-Sun, Adobe) esetében 425 darabra adódott, míg az összes gyártó kapcsán 1026 darabra. Megállapíthatóvá vált, hogy napi szinten a legjelentősebb fejlesztőcégek termékein 58, míg az összes alkalmazáson 152 olyan biztonsági rés tátongott, amelyekről csak a bennfentesek tudtak.


Forrás: NSS Labs

A fenti eredmények nem reprezentatívak, és vélhetőleg csak a jéghegy csúcsát szemléltetik. A VCP és a ZDI mellett ugyanis számos hasonló kezdeményezés létezik, sőt maguk a fejlesztőcégek is egyre gyakrabban indítanak saját programokat, amelyek keretében jutalmazzák a sebezhetőségek feltáróit. Az NSS Labs adatai szerint az elmúlt években az egyes vállalatok összességében a következő értékekben díjazták a biztonsági kutatókat:

- Google - 580.000 dollár (501 darab Chrome sérülékenység)
- Mozilla - 570.00 dollár (190 darab Firefox sebezhetőség)
- Facebook - 1 millió dollár (2011 óta)
- Microsoft - 100.000 dollár (2013 júniusa óta)

Nyilván a sebezhetőségi piac értékelésekor nem lehet figyelmen kívül hagyni az illegális, feketepiaci kereskedelmet sem, azonban ennek felmérése még nehezebb feladat, amelyre az NSS Labs kutatója sem vállalkozott. Azt azonban kijelentette, hogy ha a legális piaci körülmények mellett hónapokig titokban maradhatnak veszélyes sebezhetőségek, akkor ez a jelenség a kiberbűnözés körében még markánsabban jelentkezhet. Ezért a védelem kialakítása során célszerű a többrétegű biztonsági rendszerekre helyezni a hangsúlyt, amelyek révén a nemkívánatos események - bizonyos valószínűséggel – még azelőtt kiszűrhetővé válhatnak, mielőtt a sérülékenységi információk napvilágra kerülnének. Ez egyebek mellett viselkedésalapú technológiákkal és adatszivárgás-megelőző megoldásokkal válhat kivitelezhetővé.
   
Címlapról

Agyafúrt trükkel támadható az iPhone

Az ártalmatlan, teljesen legális Apple iOS kompatibilis alkalmazások némi trükközéssel káros szoftverek futtatását segíthetik elő a támadók számára. Nehéz észrevenni, ha mindez bekövetkezik.
Biztonságportál Prémium belépés
Gyorssegély
 
Antivírus: Avast |  AVG |  Malwarebytes | 
Tűzfal: Comodo |  ZoneAlarm
Mentés: Cobian Backup
Online: ESET |  Bitdefender |  Norton |  Panda
hirdetés

Prémium hírcsatorna

  1. A Cisco WebEx Meeting Center egy közepes veszélyességű hiba miatt válhat kiszolgáltatottá.

  2. A phpMyAdmin fejlesztői több sebezhetőséget szüntettek meg.

  3. A Cisco IOS XE/XR esetében egy szolgáltatásmegtagadásra lehetőséget adó hibára derült fény.

  4. A Google jelentős biztonsági frissítést adott ki a Chrome böngészőjéhez.

  5. A TYPO3 esetében egy veszélyes sebezhetőséget kell megszüntetni.

  6. A Bucbi nevű zsaroló program öt bitcoint követel azért, hogy a tönkretett fájlok helyreállíthatóvá váljanak.

  7. A Cryptolocker zsaroló program anonim módon próbálja behajtani a követeléseit a felhasználóktól.

  8. A Tronariv trójai elektronikus levelek mellékletében terjed, és a fertőzés után számos nemkívánatos művelet végrehajtására válik alkalmassá.

  9. A Wortrik trójai FTP- és levelezőszervereket is ostromol a fertőzött számítógépekről.

  10. A Duuzer trójai adatlopásból és hátsó kapu kiépítéséből is kiveszi a részét, ezért többféle kockázatot is felvet.

Partnerhírek

  1. 6n

    Az ESET kutatói felfedeztek egy olyan kártékony kódot, amely legalább 2008 óta elkerülte az internetbiztonsági szakemberek figyelmét.

  2. 17n

    Az ESET kiadta a legfrissebb vírustoplistáját, amelyen érdekes változások történtek.

  3. 26n

    Az ESET szakértői a zsarolóvírusok működési mechanizmusa és a megelőzési folyamatok lehetőségei mellett megvizsgálták az újfajta kiberbűnözési trend több aspektusát is.

  4. 1h

    A KÜRT fejlesztői műhelyében született technológiák és termékek lehetővé tették, hogy a hazai piac egyik legsikeresebb információbiztonsági cége olyan nemzetközi piacokra is kiléphessen, mint például az USA vagy Kína

  5. 1h

    2016 márciusában nemcsak visszatért, de át is vette a vezetést a Nemucod trójai, a zsarolóvírusok legfőbb terjesztője.

  6. 1h

    A folyamatosan növekvő és egyre kifinomultabb támadások miatt, valamint a biztonságtudatos gondolkodás erősítése érdekében az ESET és a KÜRT biztonságtechnológiai cég közös szakmai útmutatással nyújt segítséget.

  7. 1h

    Megjelent a Balabit tevékenység felügyeleti megoldásának legfrissebb verziója, mely mostantól a Microsoft nyilvános felhő környezetében is képes a felhasználói aktivitások valós idejű monitorozására.

  8. 1h

    Az ESET biztonságtechnológiai cég kutatói a Linuxos rendszereket támadó Kaiten nevű kártevő új, továbbfejlesztett változatát fedezték fel.

  9. 2h

    2016 februárjában is a Bundpil féreg okozta a legtöbb fertőzést, és immár több mint fél éve vezeti a vírusok toplistáját.

  10. 2h

    Általános vélekedés és jótanács volt a biztonsági szakemberektől, hogy az igazán fontos adatainkat tartalmazó számítógépeket, vagy azok hálózatát ne csatlakoztassuk az internethez, így megvédhetjük őket a rosszindulatú adatlopó kártevőktől.

hirdetés
Isidor Club
 
 

Biztonságportál Prémium

Isidor Biztonsági Központ