SANS Institute opublikował kolejne wydanie swojej cyklicznej listy Top 20 - czyli zestawienie najważniejszych luk i zagrożeń informatycznych. W tym roku największą niespodzianką jest fakt, że lista zawiera jedynie... 18 pozycji.
W najnowszym wydaniu listy SANS znajdziemy kilka znaczących innowacji. Jej autorzy zrezygnowali na przykład z kategoryzowania pozycji według platform czy systemów operacyjnych. Zamiast tego wprowadzono "podział funkcjonalny" zagrożeń - mamy więc np. zagrożenia "klienckie", serwerowe, a także związane z zasadami zachowania bezpieczeństwa i przekraczaniem uprawnień przez personel, "nadużywaniem" aplikacji, urządzeniami sieciowymi oraz lukami typu "zero day". Lista jest swoistym spisem niepokojących tendencji dotyczących określonych segmentów oprogramowania.
Oto pełne zestawienie zagrożeń:
1. Luki typu "client-side"
@ Przeglądarki internetowe
@ Oprogramowanie biurowe
@ Programy pocztowe
@ Odtwarzacze multimedialne
2. Luki typu "server-side"
@ Aplikacje webowe
@ Usługi Windows
@ Usługi Unix oraz Mac OS
@ Oprogramowanie do backupu
@ Oprogramowanie antywirusowe
@ Zarządzanie serwerami
@ Oprogramowanie bazodanowe
3. Zagrożenia związane z zasadami bezpieczeństwa i personelem
@ Przekraczanie praw użytkownika
@ Phishing
@ Słabe zabezpieczanie danych w pamięci komputerów przenośnych oraz na wymiennych nośnikach
4. Zagrożenia związane z "nadużywaniem" aplikacji
@ Komunikatory internetowe
@ Aplikacje typu P2P
5. Urządzenia sieciowe
@ Serwery i telefony VoIP
6. Ataki typu Zero Day
Zdaniem twórców listy, szczególną uwagę należy zwrócić na zagrożenia typu "client side". W ciągu minionych miesięcy twórcy
oprogramowania serwerowego zdołali skutecznie zabezpieczyć swoje produkty. Skutkiem tego jest zwiększone zainteresowanie przestępców komputerami zwykłych użytkowników.
"Obserwujemy ostatnio znaczne zwiększenie liczby nowo wykrywanych luk w oprogramowaniu przeznaczonym dla zwykłych użytkowników - edytorach tekstu, przeglądarkach, odtwarzaczach i programach pocztowych. Najwyższy czas, by administratorzy przestali skupiać się jedynie na zabezpieczaniu serwerów i zaczęli zwracać uwagę na bezpieczeństwo komputerów użytkowników pocztowych" - mówi Amol Sarwate z firmy Qualys Inc., współautor listy.
Poważne zagrożenie stanowią również luki związane z aplikacjami webowymi - w ostatnim czasie wykrywa się ich coraz więcej. Dowodem może być choćby fakt, że pomiędzy listopadem 2005 a grudniem 2007 błędy takie stanowiły ponad 50% wszystkich zarejestrowanych przez SANS luk w oprogramowaniu. Zwykle są to błędy typu SQL injection, cross-site scripting oraz cross-site request forgery. Specjaliści z SANS twierdzą, że przeciwko serwerom dużej firmy hostingowej każdego dnia może być kierowanych nawet kilka milionów takich ataków.
Na liście znalazły się również zagrożenia związane z urządzeniami mobilnymi, technologią VoIP oraz lukami typy "zero day" - aczkolwiek jej twórcy zastrzegają, że nie stanowią one tak dużego problemu jak zagadnienia omówione powyżej. Co nie znaczy, że można je lekceważyć - ponieważ wraz z popularyzowaniem tych technologii i urządzeń zagrożenie będzie rosnąć (tak będzie np. z VoIP).
Pełną listę wraz z komentarzami twórców znaleźć można na
stronie SANS Instutite.
Więcej o bezpieczeństwie:
http://www.securitystandard.pl
