Video: Secunia CSI 7.0: Installing the Secunia SC2012 Plugin (September 2024)
Produkter från tredje part ta en hit
Ingen kommer att bli förvånad över att få veta att det totala antalet kända sårbarheter växer år efter år, eller att de flesta förlitar sig på en fjärranslutning för att komma in i sårbara nätverk. Men betydande brister i Microsoft operativsystem och program blir en mindre och mindre del av det totala. Secunia rapporterar att 86 procent av de aktiva sårbarheterna 2012 påverkade tredjepartsprodukter som Java, Flash och Adobe Reader. År 2007 utgör sårbarheter från tredje part mindre än 60 procent av det totala.
På plussidan blir det farliga fönstret mellan upptäckten av en sårbarhet och skapandet av en lapp mindre. Secunia rapporterar tillgänglighet samma dag för 80 procent av dessa hot 2012, från drygt 60 procent 2007. Det gör att 20 procent som inte har en patch samma dag, eller ens inom 30 dagar, men håller all din programvara uppdaterad kommer att se till att du får alla samma dag-korrigeringar.
SCADA osäkerhet
Granskningsrapporten 2013 om sårbarheter i SCADA-system (Supervisory Control And Data Acquisition). Dessa system styr fabriker, kraftverk, kärnreaktorer och andra mycket betydande industriinstallationer. Den ökända Stuxnet-masken förstörde urananrikningscentrifuger i Iran genom att ta över sina SCADA-kontroller.
Enligt Secunia, "SCADA-programvara idag är på det stadium som mainstream-programvaran var för tio år sedan… Många sårbarheter förblir oöverträffade längre än en månad i SCADA-programvara." Ett tid-till-patch-diagram över representativa SCADA-sårbarheter visar att flera i kategorin med hög risk förblir oöverträffade i över 90 dagar.
I teorin bör SCADA-system vara mindre sårbara eftersom de inte är anslutna till Internet. I praktiken är det inte alltid så, och till och med en lokal nätverksanslutning kan komma att äventyras av angripare. Ett totalt "luftgap", utan någon nätverksanslutning alls, skyddade inte Stuxnet-centrifugerna. De blev offer för infekterade USB-enheter som omedvetet införts av tekniker. Det är uppenbart att SCADA-programvaruleverantörer har lite arbete att göra så långt det är att upprätthålla säkerhet och skjuta ut patchar.
Hackare går för guldet
En nolldagars sårbarhet är en som just har upptäckts, en sårbarhet för vilken det inte finns någon korrigering. Secunias rapport innehåller ett informativt diagram som rapporterar antalet nolldagar som hittas varje år i de 25 mest populära programmen och i topp 50, 100, 200 och 400. De totala siffrorna skiljer sig från år till år och toppade 2011 med 15 nolldagar.
Det som är mer intressant är att inom ett givet år förändras antalet knappast när poolen med potentiellt komprometterade program växer. Nästan alla nolldagar påverkar de mest populära programmen. Det är faktiskt mycket meningsfullt. Att upptäcka en programfel som ingen annan någonsin har hittat kräver mycket forskning och hårt arbete. Det är bara vettigt för hackare att koncentrera sig på de mest distribuerade programmen. Ett utnyttjande som tar total kontroll över offrets system är inte värt mycket om bara ett system i en miljon har det sårbara programmet installerat.
Mer att lära sig
Jag har träffat höga punkter, men det finns mycket mer att lära av Secunias sårbarhetsrapport. Du kan ladda ner hela rapporten från Secunias webbplats. Om hela rapporten verkar lite överväldigande, oroa dig inte. Secunias forskare har också förberett en infographic som träffar alla höga platser.