Статья

Сколько дыр в современном ПО? Обзор актуальных сетевых угроз

Интернет Безопасность Интернет-ПО Администратору
мобильная версия

Большая часть пользователей глобальной Сети понятия не имеют о том, какие угрозы могут скрывать в себе программы, которыми они пользуются годами. Статистика компьютерных уязвимостей за 2011 год, собранная исследовательским центром Positive Research, показывает, что SCADA-системы, CMS, офисные программы, приложения мультимедиа, почти все браузеры и операционные системы становились объектами для незаконного проникновения. Причина угроз – безобидные на первый взгляд и непонятные простому пользователю уязвимости.

Использование таких уязвимостей в состоянии привести не только к нарушениям работы сети и ПО, финансовым и экономическим потерям, но и к снижению выпуска товаров в воспроизводящем секторе, а так же к глобальным физическим катастрофам мирового масштаба. И чем больше удельный вес участия компьютеров в управлении производственными процессами, тем выше степень угрозы атаки хакеров на конкретные предприятия.

Чаще всего причинами "холодной" кибервойны становится отраслевая конкурентная среда, объекты оборонного или военного назначения, интеллектуальная собственность, финансы. В этот список можно внести практически все объекты, косвенно либо напрямую зависимые от электронно-вычислительных машин.

Прямая и явная угроза

В качестве примера можно привести реальную физическую угрозу населению, которая могла произойти в результате создания троянского вируса Duqu. Данный вирус в состоянии проникнуть в компьютер под управлением Windows, используя критическую уязвимость CVE-2011-3402. Впоследствии вирус способен внедриться в смежную SCADA-систему предприятия с целью похищения информации об ИТ-инфраструктуре и установления контроля над промышленными объектами. Некоторые эксперты отмечали, что фрагменты основного модуля Duqu имеют большое сходство с "червём" Stuxnet, который в 2010 г. вывел из строя несколько иранских заводов по обогащению урана.


С помощью украденных в RSA Security ключей была произведена попытка взлома серверов крупнейшего в мире предприятия военно-промышленного комплекса - корпорации Lockheed Martin

Еще один серьезный инцидент произошел в США. В середине марта 2011 года неизвестными хакерами были взломаны серверы компании RSA Security, что поставило под угрозу надежность цифровых подписей RSA SecurID. Данные цифровые ключи использовали более 40 миллионов работников для получения доступа к закрытым сетям. Атака началась с рядовой рассылки электронного письма с вложенным Excel файлом "План комплектования штата 2011.xls" При открытии зараженная таблица устанавливала на компьютер бекдор (чёрный ход) Poison Ivy, эксплуатируя уязвимость CVE-2011-0609 в Adobe Flash Player. Среди похищенной информации были сведения о новейших решениях для двухфакторной проверки подлинности. С помощью украденных ключей была произведена попытка взлома серверов крупнейшего в мире предприятия военно-промышленного комплекса - корпорации Lockheed Martin.

Весной и летом 2011 г. иранские хакеры, используя поддельные SSL-сертификаты, последовательно взломали серверы удостоверяющих центров Comodo и DigiNotar. В список украденных сертификатов попали сертификаты безопасности ЦРУ, "Моссада" и MI-6. Помимо международной киберразведки, похищенные "цифровые паспорта" использовались для атак man-in-the-middle (MitM). Хакер пропускал интернет-траффик "клиента" через собственный прокси-сервер, где браузер жертвы встречался с фальшивым сертификатом и выдавал информацию в расшифрованном виде. Под ударом оказались пользователи интернет-банкинга, почтовых онлайн-служб и других сервисов, использующих SSL-сертификаты.

В мае 2011 года были пойманы румынские хакеры, которые воспользовались несоответствием системы обработки транзакций торговых терминалов стандарта PCI DSS, что позволило им в течение трех лет перехватывать данные платёжных карт клиентов. Больше всех пострадали клиенты компании Subway. Проникновение в ЛВС Subway, согласно информации The Wire, осуществлялось через беспроводные сети в ресторанах, при этом сами терминалы не соответствовали стандартам безопасности индустрии платёжных карт (PCI DSS). В результате проведенного расследования было обнаружено, что специалисты, осуществляющие удаленную техподдержку терминалов, не устанавливали обновления для приложения удалённого администрирования PCAnywhere и выбрали простейшую комбинацию логина и пароля (administrator, computer) в более чем 200 системах.

Почти половина уязвимостей не закрывается

Статистика за 2011 год описывает 4733 уязвимости. При этом на 1 января 2012 года производителями программного обеспечения было устранено только 58% из них, и еще 7% были обеспечены инструкциями по устранению. Фактически каждая третья уязвимость осталась доступной для возможной кибератаки при полной информированности разработчиков данных продуктов. В сложившейся ситуации производители подвергают риску не только репутацию собственного бизнеса и абстрактных корпораций, о деятельности которых мы имеем поверхностное представление, но и конкретных пользователей ПО, и в некоторых случаях все общество.

Если рассматривать степень доступности злоумышленника через обнаруженные в 2011 году уязвимости, то в 77% хакер мог иметь удаленный доступ к ПО, и лишь для 15% из них требовалась локальная сеть, а для 8% - личное присутствие или инсайдерская информация.

Практически любое массовое программное обеспечение имеет ряд уязвимостей, которыми могут воспользоваться злоумышленники. В список рассмотренных категорий среди клиентского ПО входят операционные системы, браузеры, офисные и мультимедийные приложения, ActiveX компоненты. Серверное ПО включает SCADA-системы, DNS-серверы, Web-серверы и серверы приложений.

Самый "дырявый" браузер – Chrome

Пример - атаки на DNS-серверы. Все современные браузеры кэшируют результаты DNS-запроса после того, как получили страницу сайта. Кэширование необходимо для предотвращения отправки запросов к сторонним серверам осуществляемой с помощью подмены IP-адреса. Такой механизм называется DNS Pinning. Для взлома DNS сервера производятся атаки типа Anti DNS pinning, специализацией которых являются веб-серверы, отвечающие на HTTP-запросы с произвольным значением заголовка Host.