26.04.2011

Тенденции мира уязвимостей

Еще один отчет мне довелось посмотреть. Он описывает тенденции в области исследований уязвимостей от компании Frost & Sullivan за 2010 год. Очень познавательное чтиво, показывающее, куда стоит направить свой взор специалистам по информационной безопасности.

Итак некоторые из выводов сделанных Frost & Sullivan:
  • число зафиксированных публично уязвимостей возросло на 62% по сравнению с 2009-м годом.
  • уязвимостей высокой степени риска было зафиксировано большинство - почти 70% - в 4 раз больше, чем уязвимостей средней степени риска.
  • наиболее уязвимой пятеркой приложений признаны Adobe (вдвое больше дыр, чем в ближайшем "конкуренте"), MS Office, RealPlayer, MS IE и Apple Safari. Adobe - это Acrobat и Reader, Shockwave Player, Air и FlashPlayer. Немного выбивается из общей картины HP OpenView NNM, который входит в десятку самых уязвимых приложений 2010-го года.
  • более половины всех уязвимостей приходится на бизнес- и мультимедиа-приложения. В СЗИ зафиксировано чуть более одного процента всех уязвимостей.
  • по операционкам лидером по числу дыр остается Windows, но MacOS наступает на пятки уже обошла даже Linux, которая находится на третьем месте по числу уязвимостей
  • наиболее часто (треть всех проблем) встречаются уязвимостей, связанные с буфферами (в т.ч. переполнение буффера, но не ограничиваясь только им). На втором месте code injection (SQL Injection на 9-м месте). Интересно, что тут возникает некоторая нестыковка с цифрами Veracode. Возможно это связано с тем, что Frost & Sullivan анализировал именно зафикисированные и опубликованные уязвимости, а Veracode просто анализировал различные приложения. Возможно была нестыковка в терминологии. F&S использовал CWE (Common Weakness Enumeration) для описания типов уязвимостей.
  • результатом использования большинства (около 50%) уязвимостей является выполнение некоего кода. На втором месте - отказ в обслуживании.
  • рост числа уязвимостей в продукции Apple связан с ростом ее популярности.

Какие выводы делает Frost & Sullivan? Во-первых, большое внимание злоумышленников будет направлено на SCADA-решения. Во-вторых, разработчикам мобильных устройств и приложений для них тоже придется уделять большее внимание вопросам борьбы с уязвимостями. В-третьих, исследования уязвимостей - это необходимая задача, от которой никуда не уйти. И, наконец, разработчики ПО должны больше внимания уделять правилам безопасного программирования.

Жаль, что Frost & Sullivan анализировал только иностранные источники информации об уязвимостях - CVE, NVD, а также сайты зарубежных компаний - iDefense, Secunia и т.д. У нас в России есть тоже достойные исследовательские лаборатории. Собственно их всего две, как я понимаю. Это Digital Security Research Group и Positive Technologies Reseacrh Team. Первая ориентируется преимущественно на приложения SAP и Oracle, а вторая - преимущественно на Web-приложения.

6 коммент.:

Алексей Волков комментирует...

> У нас в России есть тоже достойные исследовательские лаборатории. Собственно их всего две, как я понимаю.

Это публичные. А сколько подпольных ;)

malotavr комментирует...

> а вторая - преимущественно на Web-приложения.

Обижпаете, гражданин начальник ;) Мы всем занимаемся.

Просто уязвимости в веб-апликухах часто находятся тупым сканированием, вот они и идут потоком. А для поиска уязвимостей в остальном софте приходитя немножко поработать.

Алексей Волков комментирует...

to malotavr: потому-то инфы об уязвимостях в вебаппах горааааздо больше, чем в остальном софте - трудозатраты-то нужно оплачивать ;)

Алексей Лукацкий комментирует...

Я же написал "преимущественно" ;-) Просто на вашем сайте в списке последних бюллетеней в основном одни Web-приложения. Хотя есть и не только они, не спорю.

malotavr комментирует...

При чем здесь оплата трудозатрат?

Веб-приложение отличается от всего остального двумя особенностями:

1. При работе методом черного ящика отыскать в нем уязвимости гораздо проще, чем в других типах приложений
2. "Пряморукость" программистов - притча во языцех, и разработчики веб-приложений не исключение
3. Веб-приложение - это приглашение для проникновения ("Начинайте ломать здесь")

В силу п. 3 при пентесте на веб-приложения приходится обращать внимание в первую очередь. В силу п. 1 удается охватить все доступные веб-приложения заказчиков. В силу п. 2 в результате получаются туева хуча уязвимостей. Большая их часть - уникальный продукт, укоторый имеет отношение только к заказчику. Но чвасто проскакивают уязвимости в CMS - тогда приходится писать адвизори и отправлять его разработчикам CMS. Сизифов труд.

Алексей Волков комментирует...

> При чем здесь оплата трудозатрат?

take it easy, не принимайте буквально :) Я лишь имел в виду то же, что и Вы. "Для поиска уязвимостей в остальном софте" требуется несколько другая квалификация ищущего.