SANS Top... 18

.. / Bezpieczeństwo / Bezpieczeństwo komputera osobistego / Błędy aplikacji: Dziury w programach
.. / Bezpieczeństwo: Bezpieczeństwo komputera osobistego

SANS Institute opublikował kolejne wydanie swojej cyklicznej listy Top 20 - czyli zestawienie najważniejszych luk i zagrożeń informatycznych. W tym roku największą niespodzianką jest fakt, że lista zawiera jedynie... 18 pozycji.

W najnowszym wydaniu listy SANS znajdziemy kilka znaczących innowacji. Jej autorzy zrezygnowali na przykład z kategoryzowania pozycji według platform czy systemów operacyjnych. Zamiast tego wprowadzono "podział funkcjonalny" zagrożeń - mamy więc np. zagrożenia "klienckie", serwerowe, a także związane z zasadami zachowania bezpieczeństwa i przekraczaniem uprawnień przez personel, "nadużywaniem" aplikacji, urządzeniami sieciowymi oraz lukami typu "zero day". Lista jest swoistym spisem niepokojących tendencji dotyczących określonych segmentów oprogramowania.

Oto pełne zestawienie zagrożeń:

1. Luki typu "client-side"

@ Przeglądarki internetowe
@ Oprogramowanie biurowe
@ Programy pocztowe
@ Odtwarzacze multimedialne

2. Luki typu "server-side"

@ Aplikacje webowe
@ Usługi Windows
@ Usługi Unix oraz Mac OS
@ Oprogramowanie do backupu
@ Oprogramowanie antywirusowe
@ Zarządzanie serwerami
@ Oprogramowanie bazodanowe

3. Zagrożenia związane z zasadami bezpieczeństwa i personelem

@ Przekraczanie praw użytkownika
@ Phishing
@ Słabe zabezpieczanie danych w pamięci komputerów przenośnych oraz na wymiennych nośnikach

4. Zagrożenia związane z "nadużywaniem" aplikacji

@ Komunikatory internetowe
@ Aplikacje typu P2P

5. Urządzenia sieciowe

@ Serwery i telefony VoIP

6. Ataki typu Zero Day

Zdaniem twórców listy, szczególną uwagę należy zwrócić na zagrożenia typu "client side". W ciągu minionych miesięcy twórcy oprogramowania serwerowego zdołali skutecznie zabezpieczyć swoje produkty. Skutkiem tego jest zwiększone zainteresowanie przestępców komputerami zwykłych użytkowników. "Obserwujemy ostatnio znaczne zwiększenie liczby nowo wykrywanych luk w oprogramowaniu przeznaczonym dla zwykłych użytkowników - edytorach tekstu, przeglądarkach, odtwarzaczach i programach pocztowych. Najwyższy czas, by administratorzy przestali skupiać się jedynie na zabezpieczaniu serwerów i zaczęli zwracać uwagę na bezpieczeństwo komputerów użytkowników pocztowych" - mówi Amol Sarwate z firmy Qualys Inc., współautor listy.

Poważne zagrożenie stanowią również luki związane z aplikacjami webowymi - w ostatnim czasie wykrywa się ich coraz więcej. Dowodem może być choćby fakt, że pomiędzy listopadem 2005 a grudniem 2007 błędy takie stanowiły ponad 50% wszystkich zarejestrowanych przez SANS luk w oprogramowaniu. Zwykle są to błędy typu SQL injection, cross-site scripting oraz cross-site request forgery. Specjaliści z SANS twierdzą, że przeciwko serwerom dużej firmy hostingowej każdego dnia może być kierowanych nawet kilka milionów takich ataków.

Na liście znalazły się również zagrożenia związane z urządzeniami mobilnymi, technologią VoIP oraz lukami typy "zero day" - aczkolwiek jej twórcy zastrzegają, że nie stanowią one tak dużego problemu jak zagadnienia omówione powyżej. Co nie znaczy, że można je lekceważyć - ponieważ wraz z popularyzowaniem tych technologii i urządzeń zagrożenie będzie rosnąć (tak będzie np. z VoIP).

Pełną listę wraz z komentarzami twórców znaleźć można na stronie SANS Instutite.

Więcej o bezpieczeństwie:
www.securitystandard.pl