A nagy titkolózás: rengeteg biztonsági hibát fed homály

A napvilágra kerülő biztonsági rések csak a jéghegy csúcsát jelentik. Az igazán veszélyes, javítatlan sebezhetőségekre sokáig nem derül fény.
hirdetés
Dr. Stefan Frei, az NSS Labs kutatási igazgatója egy érdekes tanulmányt készített a szoftveres sérülékenységek életciklusáról. A szakember elsősorban arra volt kíváncsi, hogy hány – nyilvánosság előtt ismeretlen – sérülékenységről tudhatnak a biztonsági cégek és a szoftverfejlesztők, és mennyi időre van ahhoz szükség, hogy a sebezhetőségek megszüntetésére sor kerüljön. Természetesen e kérdések megválaszolása korántsem egyszerű feladat, már csak azért sem, mert a biztonsági rések köré felépült legális és illegális piacok jelentős méretűre duzzadtak, miközben az információk titokban tartása sokak érdeke. Ezért a kutató úgy határozott, hogy két jelentős szereplő adataiból indul ki. Megvizsgálta a 2002 óta működő iDefense VCP (Vulnerability Contributor Program), valamint a 2005 óta létező HP TippingPoint ZDI (Zero Day Initiative) kezdeményezések keretében kezelt sérülékenységeket. (A VCP és a ZDI is fizet a kutatóknak nulladik napi sérülékenységi információk fejében, amelyeket aztán megoszt a gyártókkal.)

Frei a kutatása során alapvetően a sebezhetőségek életciklus modelljéből indult ki. Ez több lépcsőre bontható: hiba keletkezése, felfedezése, exploit elérhetővé válása, információk nyilvánosságra hozatala, javítás letölthetővé válása és végül a frissítés elvégzése. Emellett két nagy fázist is meg lehet különböztetni. Az egyikről akkor beszélünk, amikor a sérülékenységi információk még nem kerülnek nyilvánosságra. Ekkor az exploit már készen áll, vagyis kihasználható a hiba, ugyanakkor a felhasználók, rendszerüzemeltetők tehetetlenek, hiszen nincsenek tisztában a hiba létezésével, illetve a kockázatokkal. A második fázisban kerülnek napvilágra azok az adatok, amik alapján megelőző intézkedéseket lehet hozni, majd az időközben megjelenő frissítéseket fel lehet telepíteni.


Forrás: NSS Labs

A kutatási igazgató arra a következtetésre jutott, hogy a sebezhetőségek életciklusa meglehetősen hosszú időt fed le, de ami ennél is rosszabb, hogy az első fázis – tehát amikor csak kevesen tudnak egy-egy biztonsági résről – nagyon elnyúlhat. Ez pedig a kiberbűnözők malmára hajtja a vizet, hiszen így hosszabb ideig tudnak egy-egy sebezhetőséget a saját javukra fordítani. A számok azt mutatják, hogy a VCP és a ZDI programba bekerülő sérülékenységek átlagosan 153 napig maradtak rejtve a nyilvánosság előtt. Ez elsőre soknak tűnhet, azonban meg kell jegyezni, hogy ennél pesszimistább kimutatások is készültek már. A Symantec például a nulladik napi biztonsági hibák élettartamát 312 napra becsülte.


Forrás: NSS Labs

Frei azt is kifejtette, hogy 2010-2012 vonatkozásában napi szinten hány olyan sebezhetőség veszélyeztette a rendszereket, amelyekre a nyilvánosságnak nem volt rálátása. A vizsgált időszakban a VCP és ZDI keretében jelzett sebezhetőségek száma a legnagyobb gyártók (Microsoft, Apple, Oracle-Sun, Adobe) esetében 425 darabra adódott, míg az összes gyártó kapcsán 1026 darabra. Megállapíthatóvá vált, hogy napi szinten a legjelentősebb fejlesztőcégek termékein 58, míg az összes alkalmazáson 152 olyan biztonsági rés tátongott, amelyekről csak a bennfentesek tudtak.


Forrás: NSS Labs

A fenti eredmények nem reprezentatívak, és vélhetőleg csak a jéghegy csúcsát szemléltetik. A VCP és a ZDI mellett ugyanis számos hasonló kezdeményezés létezik, sőt maguk a fejlesztőcégek is egyre gyakrabban indítanak saját programokat, amelyek keretében jutalmazzák a sebezhetőségek feltáróit. Az NSS Labs adatai szerint az elmúlt években az egyes vállalatok összességében a következő értékekben díjazták a biztonsági kutatókat:

- Google - 580.000 dollár (501 darab Chrome sérülékenység)
- Mozilla - 570.00 dollár (190 darab Firefox sebezhetőség)
- Facebook - 1 millió dollár (2011 óta)
- Microsoft - 100.000 dollár (2013 júniusa óta)

Nyilván a sebezhetőségi piac értékelésekor nem lehet figyelmen kívül hagyni az illegális, feketepiaci kereskedelmet sem, azonban ennek felmérése még nehezebb feladat, amelyre az NSS Labs kutatója sem vállalkozott. Azt azonban kijelentette, hogy ha a legális piaci körülmények mellett hónapokig titokban maradhatnak veszélyes sebezhetőségek, akkor ez a jelenség a kiberbűnözés körében még markánsabban jelentkezhet. Ezért a védelem kialakítása során célszerű a többrétegű biztonsági rendszerekre helyezni a hangsúlyt, amelyek révén a nemkívánatos események - bizonyos valószínűséggel – még azelőtt kiszűrhetővé válhatnak, mielőtt a sérülékenységi információk napvilágra kerülnének. Ez egyebek mellett viselkedésalapú technológiákkal és adatszivárgás-megelőző megoldásokkal válhat kivitelezhetővé.
   
Gyorssegély
 
Antivírus: Avast |  AVG |  Malwarebytes | 
Tűzfal: Comodo |  ZoneAlarm
Mentés: Cobian Backup
Online: ESET |  Bitdefender |  Norton |  Panda
hirdetés

Prémium hírcsatorna

  1. A MantisBT egy olyan hibát rejt, amely XSS-alapú támadásokra adhat módot.

  2. A Zombrari trójai a fertőzött számítógépeken a beállított DNS-kiszolgáló címével ügyeskedik.

  3. A WordPress kapcsán két sebezhetőséget szüntettek meg a fejlesztők.

  4. Az IBM WebSphere Application Server kapcsán az IBM két sérülékenységről számolt be.

  5. A Prifou trójai a webböngészők manipulálásával éri el, hogy a felhasználó elé tudjon tárni bosszantó reklámokat.

  6. A PHP fontos biztonsági frissítésekkel gyarapodott.

  7. A Cisco PIX Firewall egy biztonsági hibát tartalmaz.

  8. A Ransomcrypt zsaroló program készítői igyekeztek a lehető legjobban leegyszerűsíteni a váltságdíj kifizetését.

  9. A Remvio trójai még csak arra sem veszi a fáradtságot, hogy a saját fájlját felmásolja a rendszerre. Ehelyett inkább adatlopásra koncentrál.

  10. A Cartcapa trójai az egyszerűsége ellenére meglehetősen nagy hatalmat tud adni a támadók kezébe.

Partnerhírek

  1. 19n

    Az ESET szakértőjének tanácsai arról, mi mindent kell tudnunk, mielőtt belevágunk a jegyvadászatba.

  2. 27n

    Az ESET szakértőinek tanácsa, hogyan védjük meg magunkat és gyermekeinket a hamis közösségi profilok jelentette veszélyektől.

  3. 1h

    Az ESET júniusi listájára egy olyan kártékony szerzemény is felkerült, amely webböngészők manipulálásával és a felhasználók ártalmas weboldalakra történő vezetésével segíti a vírusterjesztőket.

  4. 1h

    Számos fejlesztő próbálkozik a felhasználók megtévesztésével, hogy rávegyék őket a hasznosnak látszó alkalmazásaik letöltésére.

  5. 1h

    Az elmúlt év során az ESET több alkalommal detektálta és elemezte azt az SBDH névre hallgató eszközkészletet, amely célzott kiberkémkedésekben kapott szerepet.

  6. 1h

    Fogkefe? Megvan. Törölköző? Megvan. Laptop, okostelefon, táblagép? Megvan.

  7. 1h

    Felismerhetetlen adattárolók, leejtett gépek és a zsarolóvírusok is gondot okozhatnak.

  8. 2h

    A PiK-SYS Kft. évről-évre megrendezésre kerülő nyári IT biztonsági szemináriuma idén 2016.06.29-én, “Intelligencia és együttműködés az IT biztonságban” címmel kerül megtartásra.

  9. 2h

    Első helyre ugrott előre a ScriptAttachment trójai, amely fertőzött e-mailek mellékletében terjed, és javarészt zsaroló kártevőket terjeszt.

  10. 2h

    A labdarúgó Európa-bajnokságra utazó szurkolókat folyamatosan figyelmeztetik a különböző biztonsági intézkedések fontosságára és betartására, de vajon biztonságban vannak-e az itthoni szurkolók?

hirdetés
Isidor Club
 
 

Biztonságportál Prémium

Isidor Biztonsági Központ