TOP 20: internetowe dziury 2004

Już od czterech lat instytut SANS wspólnie z centrum National Infrastructure Protection Center, publikuje coroczne zestawienie najgroźniejszych, internetowych luk bezpieczeństwa. To właśnie dziury w programach oraz określonych usługach przyczyniają się w największym stopniu do rozprzestrzeniania się w Sieci niebezpiecznych robaków oraz wirusów. Dużą niespodzianką tegorocznej edycji raportu, jest w opinii ekspertów, coraz większe zagrożenie niebezpiecznymi lukami w aplikacjach do bezpośredniej wymiany plików oraz komunikatorach internetowych.

Najniebezpieczniejsze wirusy oraz robaki internetowe ostatnich lat, w większości przypadków, zawdzięczają swój 'spektakularny sukces' przeróżnym lukom w systemach operacyjnych oraz usługach. To właśnie odpowiednie wykorzystanie istniejących dziur pozwoliło na szybkie rozprzestrzenianie się tak groźnych insektów, jak Blaster, Slammer, Code Red, czy też Nimda.

Celem corocznych raportów instytutu SANS (skrót od SysAdmin, Audit, Network, Security) oraz National Infrastructure Protection Center (funkcjonujące pod egidą FBI) jest uświadomienie zarówno zwykłych użytkowników, jak również administratorów sieci o istnieniu groźnych luk w systemach operacyjnych oraz usługach. Nikogo nie trzeba chyba uświadamiać, iż ich odpowiednie wykorzystanie przez potencjalnych napastników może spowodować powstanie kolejnej fali epidemii wirusowych w Internecie. Jak twierdzi szef instytutu SANS, Allan Paller: "Gdyby zlecać analitykom systemu w każdej firmie bezustanne poszukiwanie i testowanie tysięcy dziur, firmy takie przestałyby sprawnie funkcjonować. Zadanie to przejmuje zatem na siebie SANS TOP 20. Stanowi pewną formę początkowej diagnozy, a także pozwala na uzyskanie informacji na temat sposobów ewentualnego 'wyleczenia'".

SANS TOP 20 podzielony jest na dwie sekcje: 10 najczęściej wykorzystywanych luk w systemach Windows i 10 najczęściej wykorzystywanych luk w systemach Unix oraz Linux. Nad raportem pracowali specjaliści do spraw bezpieczeństwa ze Stanów Zjednoczonych, Wielkiej Brytanii oraz Singapuru. Co ciekawe, dokument ten nie ogranicza się jedynie do wskazania najczęściej wykorzystywanych luk, lecz po raz pierwszy zawiera również pakiet wskazówek umożliwiających naprawienie lub zabezpieczenie się przed potencjalnym zagrożeniem.

Dziury, dziury, dziury...

Najczęstsze luki w systemach Windows

1. Serwery i usługi WWW

2. Usługa stacji roboczej

3. Usługi zdalnego dostępu w Windows

4. Serwer Microsoft SQL

5. Uwierzytelnianie w Windows

6. Przeglądarki WWW

7. Aplikacje do P2P

8. LSASS

9. Klient poczty elektronicznej

10. Komunikatory internetowe

Na czele listy najczęściej wykorzystywanych luk w systemach Windows, znalazły się w tym roku serwery oraz usługi WWW, podczas gdy na prowadzeniu w sekcji Uniksa oraz Linuksa znajduje się serwer nazw BIND. Kolejne miejsca w sekcji systemów Windows zajmują miedzy innymi: usługi zdalnego dostępu w systemie Windows, serwer Microsoft SQL oraz uwierzytelnianie w systemie Windows. Kwestia uwierzytelniania pojawiła się również na liście uniksowo-linuksowej na miejscu czwartym. Zamykają ją natomiast dziury w bazach danych oraz w jądrze.

Gorącym punktem listy Windows jest szóste miejsce, które zajmują przeglądarki internetowe. Jak twierdzi Ross Patel, który kierował pracami nad przygotowaniem raportu: "Przeglądarki internetowe dla systemów Windows stanowiły w ostatnim czasie jedno z największych źródeł problemów dla typowych użytkowników, a zarazem były przedmiotem burzliwej debaty pomiędzy specjalistami. W obliczu ilości wykrytych w ostatnim czasie dziur w przeglądarce Internet Explorer, rozważaliśmy rekomendowanie produktów konkurencji, podobnie jak uczynili to niektórzy eksperci". Ostatecznie zdecydowano się jednak na nie zamieszczanie powyższej rekomendacji. Zdaniem Patela, należało uszanować wybór użytkownika, który zdecyduje się na konkretną aplikację i zapewnić mu możliwość jej skutecznego załatania.

Najczęstsze luki w systemach Unix

1. Serwer nazw BIND

2. Serwer WWW

3. Systemy kontroli wersji

4. Uwierzytelnianie

5. Serwer pocztowy (MTA)

6. Simple Network Management Protocol (SNMP)

7. Open Secure Sockets Layers (SSL)

8. Błędy w konfiguracji NIS/NFS

9. Bazy danych

10. Jądro

Coraz wyraźniej zaznacza się obecność luk w programach do bezpośredniej wymiany plików (P2P) oraz komunikatorach internetowych. Te właśnie programy zajęły siódmą pozycję w zestawieniu najczęściej wykorzystywanych luk w systemach Windows. Tutaj po raz kolejny Ross Patel argumentuje: "Do tej pory jedynie niewielki odsetek ekspertów interesował się tego typu aplikacjami. Są one z natury bardzo proste oraz intuicyjne i nie przywiązuje się aż tak dużej wagi do kwestii ich bezpieczeństwa".

Mniej konkretnych produktów, więcej o funkcjonalności

To, co rzuca się w oczy w samej formule raportu, to odejście od wskazywania konkretnych produktów (np. Internet Explorer) na rzecz informacji o pewnej grupie funkcjonalności w ogóle (np. przeglądarki internetowe)" - mówi Przemysław Jaroszewski, z CERT Polska, który wraz z Piotrem Kijewskim (CERT Polska) oraz Jessem Garcia (LAEFF-INTA), przyczynił się do powstania polskiej wersji raportu.

"Z nowości, w aktualnej edycji uwzględniona została m.in. poważna luka w LSASS, która zaowocowała powstaniem Sassera oraz po raz pierwszy komunikatory wiadomości błyskawicznych IM. W przypadku tych ostatnich szkoda jedynie, że w wyborze aplikacji kierowano się najwyraźniej rynkiem amerykańskim. W przypadku systemow Unix można zauważyć większy nacisk na warstwę aplikacji - na liście pojawiły się po raz pierwszy luki związane z bazami danych. Ataki takie stały się bardzo powszechne. Warto zauważyć, że pozycja dotycząca Sendmaila została rozszerzona i odnosi się teraz do wielu różnych MTA, co wiąże się z ich rosnącą popularnością" - tłumaczy przedstawiciel CERT Polska.

Więcej informacji:

SANS Institute

CERT Polska


Zobacz również