Video: Ethical Hacking Full Course - Learn Ethical Hacking in 10 Hours | Ethical Hacking Tutorial | Edureka (Oktober 2024)
Produkter fra tredjepart tag et hit
Ingen vil blive overrasket over at få at vide, at det samlede antal kendte sårbarheder vokser år for år, eller at de fleste er afhængige af et netværksangreb for at trænge igennem sårbare netværk. Imidlertid bliver betydelige mangler i Microsoft Operativsystemer og programmer en mindre og mindre del af det samlede beløb. Secunia rapporterer, at 86 procent af de aktive sårbarheder i 2012 påvirkede tredjepartsprodukter som Java, Flash og Adobe Reader. I 2007 udgjorde tredjepartssårbarheder mindre end 60 procent af det samlede beløb.
På plussiden bliver det farlige vindue mellem opdagelse af en sårbarhed og oprettelse af en patch mindre. Secunia rapporterer tilgængelighed samme dag for patch for 80 procent af disse trusler i 2012, op fra lidt over 60 procent i 2007. Det betyder, at 20 procent, der ikke har en patch samme dag, eller endda inden for 30 dage, men holder al din software opdateret sikrer, at du får alle disse samme dag-programrettelser.
SCADA Usikkerhed
Rapporten fra 2013 rapporter om sårbarheder i SCADA-systemer (Supervisory Control And Data Acquisition). Disse systemer kontrollerer fabrikker, kraftværker, atomreaktorer og andre meget betydningsfulde industrielle installationer. Den berygtede Stuxnet-orm ødelagde uranberigelsescentrifuger i Iran ved at overtage deres SCADA-controllere.
Ifølge Secunia er "SCADA-software i dag på det stadium, mainstream-softwaren var for 10 år siden… Mange sårbarheder forbliver upåagtet i mere end en måned i SCADA-software." Et tid-til-program-kort over repræsentative SCADA-sårbarheder afslører, at flere i kategorien høj risiko forblev upåfyldt i over 90 dage.
I teorien skal SCADA-systemer være mindre sårbare, fordi de ikke er tilsluttet internettet. I praksis er det ikke altid tilfældet, og selv en lokal netværksforbindelse kan blive kompromitteret af angribere. Et samlet "luftspalte" uden nogen som helst netværksforbindelse beskyttede ikke Stuxnet-centrifugerne. De blev offer for inficerede USB-drev, der ubevidst blev indsat af teknikere. Det er klart, at SCADA-softwareleverandører har noget arbejde at gøre, for så vidt angår at bevare sikkerhed og skubbe patches ud.
Hackere går efter guldet
En nul-dages sårbarhed er en, der netop er blevet opdaget, en sårbarhed, som der ikke findes nogen patch for. Secunias rapport indeholder et informativt diagram, der rapporterer antallet af nul-dage, der findes hvert år i de 25 mest populære programmer, og i top 50, 100, 200 og 400. Det samlede antal adskiller sig år for år og toppede i 2011 med 15 nul-dage.
Hvad der er mere interessant, er, at inden for et givet år ændrer antallet næppe sig, når puljen af potentielt kompromitterede programmer vokser. Næsten alle nul-dage påvirker de mest populære programmer. Det giver faktisk meget mening. At opdage en programfejl, som ingen andre nogensinde har fundet, kræver megen research og hårdt arbejde. Det giver kun mening for hackere at koncentrere sig om de mest udbredte programmer. En udnyttelse, der tager total kontrol over offerets system, er ikke meget værd, hvis kun et system i en million har det sårbare program installeret.
Mere at lære
Jeg har ramt de høje punkter, men der er meget mere at lære af Secunias sårbarhedsrapport. Du kan downloade hele rapporten fra Secunias websted. Hvis den fulde rapport virker lidt overvældende, skal du ikke bekymre dig. Secunias forskere har også forberedt en infographic, der rammer alle de høje pletter.
