Вирусные эпидемии конца 90-х гг.порой наносили весьма серьезный ущерб пользователям, но самим вирусописателям обычно никаких, за исключением известности, дивидендов не приносили. Причиной их появления были, как правило, амбиции конкретных людей, и подобная деятельность чаще всего попадала в категорию «хулиганство». Поэтому большин-ство вирусов не скрывало свое присутствие.
ЭВОЛЮЦИЯ УГРОЗ
С началом XXI века ситуация кардинально поменялась. На смену «динозаврам» 90-х пришли хитрые и изощренные «млекопитающие»: целью компьютерной преступности стало похищение чужой информации, нарушение работоспособности информационных систем конкурентов, массовая рассылка рекламы и др. Даже, на первый взгляд, безвредный почтовый спам рекламного характера все равно съедает часть производительности систем, и, что самое главное, отнимает невосполнимое время у пользователей.
Несколько лет назад в широкий оборот вошло понятие «вредоносное программное обеспечение» (ВПО) или «вредоносный программный код» (ВПК). Этим термином объединяются вирусы, черви, троянские программы, средства для сетевых атак, фишинга, фарминга, рассылки спама и других нежелательных для пользователей компьютеров действий. Операционные системы или приложения могут пострадать от такого кода, если у них есть возможность запустить программу, которая не является частью самой системы или приложения. Этому условию соответствуют все популярные настольные операционные системы, многие офисные приложения и другие программные комплексы.
Вредоносное ПО стало свободно продаваться на различных сайтах, и теперь для осуществления хакерских действий вовсе не обязательно быть «гуру», а достаточно заплатить небольшую сумму (одна из самых распространенных программ для таких целей, Mpack, продается в Internet за 700 долларов). Учитывая разнообразный характер угроз, со-временные системы защиты приобрели многоуровневый и комплексный характер. Они приходят на смену отдельным антивирусам и другому специализированному ПО для обеспечения информационной безопасности. На рынке программных систем защиты информации работают как давно известные компании, разрабатывавшие средства борьбы с самыми первыми вирусами (например, западные McAfee и Symantec, российские «Лаборатория Касперского» и «Доктор Вэб»), так и новые, начавшие свою деятельность позднее. Вот уже несколько лет активные попытки по выходу на рынок средств защиты информации предпринимает компания Microsoft.
Несмотря на технологические успехи, самым слабым звеном систем защиты остается человек, поэтому многие современные способы нежелательных проникновений строятся в расчете на ошибки или невнимательность пользователей. Так, посетив какой-нибудь сайт, даже хорошо известный, или случайно щелкнув по ссылке в пришедшем электронном письме, можно загрузить на свой компьютер вредоносную программу, которая будет отслеживать все действия пользователя ПК и отсылать «отчет» о них злоумышленнику. Если зараженный компьютер используется, например, для доступа к банковским счетам или расчетам в Internet, то финансовые средства его владельца подвергаются реальному риску. Прошлым летом в Италии с помощью программы Mpack были взломаны тысячи корпоративных сайтов, в результате вредоносный код попал на компьютеры значительной части их посетителей.
КЛАССИФИКАЦИЯ ВРЕДОНОСНОГО ПО
К вредоносному ПО, как уже упоминалось выше, относятся сетевые черви, файловые вирусы, троянские программы, хакерские утилиты и прочие программы, наносящие заведомый вред оккупированному ими компьютеру, а также другим компьютерам и их владельцам.
Сетевые черви распространяют свои копии по локальным и глобальным сетям с помощью электронной почты, систем мгновенного обмена сообщениями (ICQ и др), файлообменных и чатовых сетей и других способов. В последнее время все активнее задействуются мобильные устройства, подключенные к компьютерным сетям. Некоторые черви обладают свойствами других разновидностей ВПК, например, содержат троянские функции.
Файловые вирусы, как правило, не используют сетевые сервисы для проникновения на другие компьютеры. Классические их представители уже почти не встречаются, поскольку для достижения своих целей киберпреступники применяют более простые и эффективные средства распространения троянского кода. Кроме того, во многих странах приняты законы, которые грозят вирусописателям серьезными наказаниями, вплоть до немалых сроков тюремного заключения.
Наиболее распространены сегодня троянские программы, совершающие различные несанкционированные действия: они разрушают или модифицируют данные, используют ресурсы компьютера в злонамеренных целях. К числу самых опасных троянских программам относится шпионское программное обеспечение (Spyware): оно собирает информацию обо всех действиях пользователя и незаметно для него передает тем, кто организовал этот процесс.
Хакерские утилиты позволяют автоматизировать создание вирусов, червей и троянских программ, скрывают код зараженных файлов и вредоносных программ (руткиты), а также отключают или блокируют действие антивирусных средств и других инструментов, предназначенных для защиты информации. Хакерский арсенал пополняется с высокой скоростью, многие инструменты продаются посредством Internet-ресурсов.
ИТОГИ 2007
В феврале «Лаборатория Касперского» представила ежегодный обзор вредоносных программ, где содержатся сведения о крупнейших инцидентах, произошедших в 2007 г., экспертная оценка тенденций в сфере создания и распространения вредоносных программ и прогнозы относительно дальнейшего развития ситуации.
Предыдущий год войдет в историю как год «смерти» некоммерческих вредоносных программ. В конце февраля 2008 г. на сайте легендарной хакерской группы 29A появилось сообщение об официальном прекращении существования «старой школы» вирусописательства. Люди, создавшие Cap (первый макровирус, вызвавший глобальную эпидемию), Stream (первый вирус для дополнительных потоков NTFS), Donut (первый вирус для платформы .NET), Rugrat (первый вирус для платформы Win64), мобильное ВПО Cabir, Duts и многое другое, отступили под натиском всеобщей коммерциализации вирусописательства. Никто уже не разрабатывает вредоносные программы для самовыражения, самоутверждения или исследований — гораздо выгоднее генерировать и продавать сотни примитивных троянских программ.
Можно констатировать, что в 2007 г. не получила заметного распространения ни одна вредоносная программа, которая не имела бы под собой финансовой подоплеки. Годом ранее такие «хулиганские» вирусы еще появлялись, например, червь Nyxem.E — ничего, кроме самораспространения и удаления файлов, он не делал. Почти все эпидемии в 2007 г. носили кратковременный характер и затрагивали не весь мировой Internet, а только отдельные регионы и страны. Такой принцип их организации уже стал типовым.
СОВЕРШЕНСТВОВАНИЕ ЗЛОВРЕДСТВА
Несомненно, в ряду новых вредоносных программ выделяется «Штормовой червь», или Storm Worm (Zhelatin по классификации «Лаборатории Касперского»), впервые появившийся в январе 2007 г. В течение года он продемонстрировал чрезвычайно широкий спектр разнообразного поведения, методов взаимодействия между своими компонентами, путей распространения и используемых приемов социальной инженерии. В нем оказались реализованы практически все достижения «вирусописательской мысли» последних лет, многие из которых пребывали ранее исключительно в виде концептуальных идей. Тут и руткит-технологии, и замусоривание кода, и ботнеты, защищающие себя от анализа и исследования, и взаимодействие между зараженными компьютерами через одноранговые сети — без наличия единого управляющего центра. Для распространения червь использовал все существующие возможности — как традиционные (электронная почта, системы мгновенного обмена сообщениями), так и сервисы Web 2.0 (социальные сети — блоги, форумы, RSS). Кроме того, злоумышленники, учитывая растущий интерес пользователей к видеосервисам, распространяли Zhelatin под видом видеофайлов.
Основная направленность общего функционала Storm Worm — создание сетей для последующей организации спам-рассылок и проведения атак с целью вызвать «отказ в обслуживании» (DoS). Последние стали одной из ключевых тем информационной безопасности всего 2007 г. После периода активного применения в 2002-3 гг. атаки DoS не пользовались особым вниманием у киберпреступников. В прошлом году они вернулись, причем, скорее, как средство политической и конкурентной борьбы. История об атаке на эстонские сайты в мае 2007 г. широко освещалась средствами массовой информации, и, по мнению многих экспертов, это первый случай кибервойны. Очевидно, что за целым рядом атак DoS в 2007 г. стоят бизнес-конкуренты жертв. Если четыре года назад подобные атаки были орудием в руках хакеров-вымогателей или хулиганов, то теперь они стали таким же товаром, как спам-рассылки или заказные вредоносные программы. Реклама услуг атак DoS стала обычным явлением, а цены на них сопоставимы со стоимостью организации спам-рассылок.
ХАКЕРСКИЕ ПРОГРАММЫ НА ЗАКАЗ И С ПОДДЕРЖКОЙ
Киберпреступный бизнес в 2007 г. явил миру несколько новых видов криминальной деятельности. Ак-тивное развитие получило создание вредоносных программ по заказу и предоставление технической поддержки покупателям. Самый, наверное, яркий пример — история троянской программы-шпиона Pinch. В течение нескольких лет было создано более 4000 ее вариантов, большинство из которых именно по заказу других злоумышленников. Эта история, судя по всему, закончилась в декабре 2007 г., когда руководитель российской Федеральной Службы Безопасности объявил об установлении личностей авторов Pinch.
Еще одним примером стал китайский вирус-червь Fujack. Созданный с целью кражи данных пользователей онлайн-игр, он продавался всем желающим и разошелся по миру в виде нескольких сотен вариантов. Автору удалось заработать около 12 тыс. долларов — именно такая сумма была озвучена китайской полицией, арестовавшей в итоге и его самого, и нескольких клиентов. Fujack оказался одним из ярких представителей доминирующего по численности в 2007 г. семейства троянских программ — «игровых» троянцев, тогда как в 2006 г. превалировали всевозможные банкеры (banker) — троянские программы, ориентированные на кражу данных банковских счетов.
Прямой конкуренции между двумя семействами троянских программ пока нет — их целевые аудитории не пересекаются. Это подтверждает и тот факт, что до сих пор не выявлены игровые троянцы, «умеющие воровать» банковские счета. Теоретически в создании такого «гибрида» нет ничего сложного, но, вероятно, данный функционал не является необходимым и интересным для вирусописателей.
ТОП-10
Десятка самых распространенных вредоносных семейств в почтовом трафике 2007 г. показана на Рисунке 1. Несмотря на то, что по количеству различных модификаций нет равных семейству Storm Worm, по общему числу сообщений он не попадает даже в первую десятку! Возглавляет рейтинг «ветеран» — почтовый червь Email-Worm.Win32.Netsky (33,04%). Второе место по распространенности занимают рассылки поддельных банковских писем, классифицируемых как Trojan-Spy.HTML.Bankfraud (10,22%). Из двух нашумевших почтовых червей (Zhelatin и Warezov) в списке присутствует только Warezov, причем лишь на пятом месте (4,94%).
На Рисунке 2 отражено процентное соотношение вредоносных файлов по регионам, где зарегистрированы серверы, с которых отправлялась зараженная почта. В пятерку лидеров вошли США, Германия, Швеция, Испания и Малайзия. Отметим, что зараженные письма могут и не выходить за пределы страны, поэтому на основе приведенных данных нельзя сказать определенно, где находится наиболее опасный источник вредоносного почтового трафика.
Интересную точку зрения на географическое распределение источников угроз высказал в своем докладе на конференции Security@Interop Владимир Мамыкин, директор по информационной безопасности «Майкрософт Рус». Он отметил, что в последние годы значительно сократилось количество информационных угроз, исходящих с территории России. Такое положение, по его мнению, связано с тем, что ИТ-специалисты, в част-ности, программисты, чрезвычайно востребованы в нашей стране и предпочитают легальную работу попыткам незаконного обогащения. В то же время в Юго-Восточной Азии (Китае, Индии и других государствах) безработица в отрасли ИТ довольно велика, и потому в ближайшее время наибольшее количество угроз будет исходить из этих регионов.
НЕКОТОРЫЕ ТЕНДЕНЦИИ
Параллельно с изменением картины угроз растет популярность коллективных приложений Web, таких как блоги и социальные сети, которые несут предприятиям новый комплекс проблем. С Web 2.0 пришла новая волна коллективного контента, часть которого потенциально опасна для компьютеров. Фактически приложения в стиле Web 2.0 открывают еще один путь для проникновения вредоносного кода в корпоративную сеть.
В современном мире многие предприятия ведут свою деятельность в онлайне, и каждый сотрудник и клиент, имеющий доступ в Internet, может выполнять различные операции из дома. Это означает, что предприятие не только несет ответ-ственность за защиту компьютеров сотрудников, заказчиков и партнеров при работе в сети, но и должно гарантировать безопасность их взаимодействия. По существу предприятия вынуждены взять на себя ответственность за подключаемые к собственным сетям устройства, даже не принадлежащие и не подконтрольные им.
Мало кто сомневается, что безопасность должна быть краеугольным камнем общей стратегии любой компании, если она хочет гарантировать конфиденциальность, целостность и доступность своей информации. Особое внимание следует уделять так называемым неконтролируемым конечным рабочим местам — по-сторонним устройствам, которые выходят за рамки административного контроля организации. Дело в том, что неконтролируемые рабочие места хотя и имеют, как правило, ограниченный доступ к конфиденциальной информации, тем не менее подвержены высокому риску заражения вредоносным ПО. Более того, комплексная стратегия безопасности должна включать превентивные меры для защиты корпоративной сети на тот случай, если какое-нибудь из этих устройств окажется зараженным.
Поначалу казалось, что появившаяся в 2006 г. идея конструирования программ в автоматическом режиме с некоторой периодичностью нежизнеспособна, но такая «фабрика» по-прежнему функционирует, и ее механизм порождает новые варианты вредоносного кода наподобие Warezov. В 2007 г. у Warezov появился последователь — червь Storm Worm, который создавался похожим способом. Однако в целом вспышки эпидемий Zhelatin и Warezov имеют тенденцию к затуханию, а значит, их удается успешно нейтрализовать.
Другим значимым изменением является рост интереса к эксплоитам (программам, использующим уязвимости в системе). Их доля
в почтовой рассылке увеличивается, при массовом применении они представляют серьезную опасность. Рост числа новых сервисов Internet постепенно снижает интерес к почтовому трафику как средству распространения ВПН, но это не означает, что электронная почта перестала быть источником опасности.
В 2007 г. число новых вредоносных программ, обнаруживаемых в среднем за месяц, выросло на 114,28% по отношению к показателям 2006 г. и составило 18 347,67 (8 562,5 в 2006 г.). Всего было выявлено 220 172 такие программы. Новых троянских программ оказалось на 119,73% больше, чем в 2006 г. Относительная простота создания TrojWare (по сравнению с червями и вирусами) и их возможности в области кражи данных, организации ботнетов и спам-рассылок по-прежнему остаются основными стимулами экспансии троянцев в Internet — их доля в общем числе вредоносных программ увеличилась на 2,28% и составила 91,73%. В первом полугодии 2007 г. червей и вирусов (VirWare) становилось все меньше (– 2,26%), и по итогам года доля вредоносных программ данного класса сократилась на 0,47%, составив 5,64%.
ЧТО НАС ОЖИДАЕТ
В отчете Top 10 Threat Predictions for 2008 исследовательское подразделение компании McAfee отмечает десять основных тенденций развития угроз информационной безопасности в ближайшем будущем.
-
Объемы рекламного ПО (adware) будут уменьшаться. Судебные преследования против основных игроков рынка программной рекламы приведут к сокращению этого сектора на 30%.
-
Успех вредоносных программ наподобие Storm Wоrm вызовет активизацию бот-сетей.
-
Целью фишинга станут небольшие сайты. Крупные компании уже научились быстро реагировать и эффективно противостоять фишинг-атакам. Поэтому киберпреступники направят свои усилия на цели меньшего масштаба в надежде извлечь выгоду из привычки пользователей применять везде один и тот же пароль. Если ожидания оправдаются, с украденной информацией можно будет входить даже на хорошо защищенные сайты.
-
Угроза эпидемий, распространяющихся через программы обмена сообщениями, становится все более реальной. В 2007 г. количество критических уязвимостей в этих системах возросло более чем вдвое. Если тенденция сохранится, то следует ожидать эпидемии, скорость распространения которой составит несколько миллионов компьютеров в секунду.
-
Паразитическое вредоносное ПО набирает силу. Все больше становится программ, использующих закладки, оставленные другими видами вредоносного ПО.
-
Число атак на онлайновые банки и казино резко возрастет. В течение 2007 г. количество троянов, похищающих пароли, увеличилось более чем на порядок.
-
Новым средством борьбы станет виртуализация. Производители систем безопасности будут опираться на набирающие популярность технологии виртуализации для эффективной борьбы с комплексными угрозами, такими как руткиты.
-
Ожидается, что за 2008 г. в Windows Vista будет обнаружено не менее 20 уязвимостей. С ростом числа установок новой ОС внимание хакерского сообщества станет постепенно переключаться на нее.
-
Атаки на системы VoIP вырастут на 50%. Популярность приобретут мошеннические схемы, ориентированные на VoIP-телефонию.
-
Интерактивность Web 2.0 — отличная среда для вредоносного кода. Наряду с распространением блог- и видеоспама киберпреступники будут все активнее использовать социальные сети, собирая информацию о пользователях для построения более правдоподобных мошеннических схем.
В прогнозе «Лаборатории Касперского», в свою очередь, выделяется пять наиболее характерных тенденций.
Malware 2.0. С модульной системы компонент, использованной в черве Bagle четыре года назад, началась эволюция схемы функционирования вредоносного программного обеспечения — от единичных программ к сложным и взаимодей-ствующим между собой проектам. По аналогии с известным термином Web 2.0 новое поколение вредоносных программ можно классифицировать как Malware 2.0. Модель функционирования вредоносных программ, сформировавшаяся в конце 2006 г. в виде червя Warezov, станет не только стандартом де-факто для огромного числа вредоносных проектов, но и получит свое дальнейшее развитие.
Ее основными чертами являются:
-
отсутствие единого центра управления сетью зараженных компьютеров;
-
методы активного противодействия попыткам стороннего исследования и перехвата управления;
-
массовость в сочетании с кратковременностью рассылок вредоносного кода;
-
грамотное применение средств социальной инженерии;
-
использование разных способов распространения и постепенный отказ от наиболее заметных из них (электронная почта);
-
различные модули для осуществления разных функций (в противовес принципу «все-в-одном»).
В настоящий момент подобные методы применяются во вредоносных программах Bagle, Zhelatin и Warezov, которые нацелены не столько на кражу информации, сколько на осуществление спам-рассылок. Однако некоторые семейства «банковских» и «игровых» троянцев уже демонстрируют отдельные черты такой схемы функционирования.
Руткиты и «буткиты». Техники сокрытия своего присутствия в системе (руткиты) станут применяться не только в троянских программах, но и в файловых вирусах. Таким образом, мы как бы возвращаемся к временам существования MS-DOS и резидентных стелс-вирусов. Это является логичным развитием методов противодействия антивирусным программам. Вредоносные программы теперь стремятся «выжить» в системе, даже будучи обнаруженными.
Еще одним опасным способом сокрытия их присутствия в компьютере будет активное применение технологии заражения загрузочного сектора диска — так называемые «буткиты». Это очередная реинкарнация старой технологии, позволяющая вредоносной программе получить управление еще до загрузки основной части операционной системы (и антивирусных программ). Появившись в виде концепта в 2005 г., в 2007 г. этот прием был реализован в ВПК Backdoor.Win32.Sinowal и вызвал несколько тысяч заражений по всему миру в течение двух последних недель 2007 г. Способ представляет повышенную опасность для пользователей и в 2008 г. может стать одной из главных проблем информационной безопасности.
Файловые вирусы. Файловые вирусы возвращаются. По-прежнему первенство в их создании останется за китайскими злоумышленниками, и нацелены они будут на любителей онлайн-игр. Не исключено, что заражение файлов возьмут на вооружение авторы Zhelatin или Warezov — ведь это даст им еще один важный способ распространения.
Вероятен всплеск инцидентов с зараженными дистрибутивами игр и программ, размещенных на популярных сайтах и в файлообменных сетях. Вирусы постараются инфицировать именно те файлы, которые пользователь предоставляет другим. Во многих случаях такой способ распространения может оказаться даже более эффективным, чем рассылка вредоносного файла по электронной почте.
Атаки на социальные сети. Фишинг претерпит значительные изменения в сторону нацеленности на социальные сети. Учетные данные абонентов таких сервисов, как Facebook, MySpaces, Livejournal, Blogger и аналогичных им, найдут повышенный спрос у злоумышленников. Это станет важной альтернативой методике размещения вредоносных программ на взломанных сайтах. В 2008 г. множество троянских программ будут распространяться именно через учетные записи пользователей социальных сетей, их блоги и профили.
Еще одной, связанной с социальными сетями, проблемой останутся атаки XSSPHPSQL. В отличие от фишинга, где применяются исключительно мошеннические методы и средства социальной инженерии, данные атаки базируются на ошибках и уязвимостях самих сервисов Web 2.0 и могут затронуть даже весьма грамотных пользователей. Целью, как всегда, будут частные данные и создание некоторых баз/списков для проведения последующих атак при помощи «традиционных» способов.
Угрозы для мобильных устройств. Что касается мобильных устройств, в первую очередь сотовых телефонов, то угрозы будут распределяться между примитивными троянскими программами, аналогичными представителям семейства Skuller для Symbian и «первому троянцу» для iPhone, и различными уязвимостями в операционных системах и приложениях для смартфонов. Возникновение некой глобальной эпидемии мобильного червя пока маловероятно, хотя технические предпосылки уже существуют.
Наблюдавшаяся консолидация рынка операционных систем для смартфонов между Symbian и Windows Mobile в 2007 г. была нарушена появлением iPhone и анонсированием новой мобильной платформы Android от Google. Вероятнее всего, именно новизна и популярность iPhone привлекут к нему повышенное (по сравнению с другими мобильными устройствами) внимание злоумышленников, особенно если средства разработки приложений для него (SDK) станут общедоступными, как это анонсировала компания Apple в конце 2007 г.
ИНСАЙДЕРЫ
Не меньшую, а порой даже большую угрозу для корпоративных информационных систем представляют инсайдеры — работники компаний, имеющие доступ к конфиденциальной корпоративной информации и использующие ее в неблаговидных целях. Многие эксперты по информационной безопасности считают, что ущерб, наносимый инсайдерами, не менее значителен, чем приносимый вредоносным ПО. За 2007 г. компания InfoWatch зарегистрировала более 500 инсайдерских инцидентов, крупнейшие из которых приведены в Таблице 1. В течение года стали достоянием инсайдеров и были утеряны 162 млн записей, причем стоимость одной оценивается американ-ским институтом Ponemon в 197 долларов, а с учетом косвенных потерь —в 231 доллар. Суммарный мировой ущерб от этих обнародованных утечек составил 58 млрд долларов, что на 30% больше, чем в 2006 г., а в среднем один подобный инцидент обходится в 6,3 млн долларов.
Во многих развитых западных странах существует законодательство, согласно которому компания должна информировать своих клиентов, если конфиденциальная информация, касающаяся их персональных данных, утеряна или украдена, и именно благодаря этому большин-ство инцидентов становятся известными. В нашей стране такого закона пока нет, и компании предпочитают не обнародовать подобные факты, опасаясь за свою репутацию. К тому же украденные персональные данные, по мнению InfoWatch, все еще не приносят в России существенных доходов, а закон об их защите так и не заработал.
InfoWatch провела исследование в России, в котором оценивалась опасность различных видов инсайдер-ских угроз, а также основные каналы утечки информации (см. Рисунок 3). Характерно, что значительная часть утечек происходит не по вине злоумышленников, а из-за невнимательности сотрудников и других непреднамеренных действий. Главными техническими средствами борьбы с подобными фактами должны быть средства аутентификации и администрирования доступа к данным. Тем не менее, число инцидентов продолжает расти, а технические средства защиты не слишком эффективны. Основные каналы утечки инсайдерской информации представлены на Рисунке 4.
Постепенно средства защиты от утечек/инсайдеров начинают инте-грироваться в системы защиты информации, хотя бoльшая их часть по-преж-нему существует в виде отдельных устройств или программ. Ожидается, что разработчики поисковых систем предпримут меры для предотвращения использования таких программ, предназначенных для поиска конфиденциальной информации и персональных данных
ИТОГИ ПЕРВОГО КВАРТАЛА
В апреле информационный портал SecurityLab.ru опубликовал квартальный отчет по уязвимостям, эксплоитам, вирусам и уведомлениям. Всего в первом квартале 2008 г. зарегистрировано 877 уязвимостей, 248 эксплоитов (вредоносная программа, которая использует уязвимости в другом ПО), 180 описаний различных вирусов и 618 уведомлений безопасности от различных производителей.
Согласно общей статистике (см. Рисунок 5), наиболее подвержены уязвимостям приложения Web (40,7%), далее следуют серверные приложения (29,2%), немного отстают от них клиентские приложения (21,55%), и, наконец, меньше всего уязвимостей было обнаружено в операционных системах (8,53%). Из них 688 уязвимостей (78,45%) можно эксплуатировать удаленно, 104 (11,86%) —в пределах корпоративной сети и 85 (9,69%) только локально.
По степени опасности (см. Рисунок 6) уязвимости разделяются на четыре группы: пять уязвимостей (0,57%) относятся к самой высокой, критической, степени опасности, 176 (20,07%) —к высокой, 341 представляет среднюю степень опасности (38,88%) и 355 (40,48%) — низкую.
SecurityLab.ru выделяет десять основных типов уязвимостей, распределение по которым представлено на Рисунке 7. В тройку самых распространенных в первом квартале вошли компрометация системы (удаленное выполнение произвольного кода) —22,01%, межсайтовый скриптинг (возможность вставки кода HTML в уязвимую страницу) — 16,57% и неавторизованное изменение данных — 12,24%.
Самыми опасными по-прежнему являются уязвимости в клиентских приложениях, среди которых лидируют компоненты ActiveX и мультимедийные приложения. В первом квартале 2008 г. наиболее опасными уязвимостями оказались:
-
выполнение произвольного кода в Microsoft Internet Information Services (несмотря на наличие исправления от производителя, было скомпрометировано более 10 тыс. сайтов, в том числе и сайт компании Trend Micro);
-
выполнение произвольного кода в Microsoft Excel;
-
переполнение буфера в компоненте Yahoo! Music Jukebox ActiveX;
-
переполнение буфера в Apple QuickTime;
-
уязвимость форматной строки в ICQ.
Ростислав Сергеев — зам. главного редактора «Журнала сетевых решений/LAN». С ним можно связаться по адресу: rsergeev@lanmag.ru .