Znajdź zawartość

Cyberprzestępcy złamali zabezpieczenia jednej z najbardziej znanych witryn zajmujących się kwestiami bezpieczeństwa. Po wejściu na witrynę secunia.com zobaczymy całkowicie zmienioną stronę główną wraz z informację Hacked by TurkGuvenligi. Na razie brak jest jakichkolwiek danych dotyczących tego, w jaki sposób doszło do włamania, ani kim jest TurkGuvenligi.

Z danych firmy Secunia wynika, że Apple zostało światowym liderem pod względem liczby dziur w firmowym oprogramowaniu. Koncern Jobsa wyprzedził pod tym względem dotychczasowego lidera - Oracle'a. W pierwszej połowie 2010 roku w programach Apple'a znaleziono więcej dziur niż u jakiegokolwiek innego producenta, Oracle spadł na drugie miejsce, a na trzecim znalazł się Microsoft. Secunia prowadzi ranking Top-10 od 2005 roku. Firma zauważa, że przedsiębiorstwa znajdujące się na tej liście odpowiadają za 38% wszystkich znajdowanych dziur. Już pierwszy ranking pokazał, że najwięcej luk znajduje się w oprogramowaniu Apple'a, następny uplasował się Oracle, a na trzecim miejscu był Microsoft. Rok później w programach Apple'a znaleziono mniej dziur niż u dwóch wyżej wymienionych producentów producentów. Jednak już w roku 2007 Apple wyprzedził Microsoft i od tamtej pory ranking wyglądał następująco: 1. Oracle, 2. Apple, 3. Microsoft. Obecnie Apple wysunął się na prowadzenie. Na liście znajdziemy też HP, Adobe, IBM-a, VMware, Cisco, Google'a i Mozillę. Taka też była kolejność w pierwszej połowie bieżącego roku. Z raportu Secunii dowiadujemy się również, że od 5 lat praktycznie nie zmienia się odsetek luk w różnych kategoriach zagrożenia. Firma stosuje 5-stopniową skalę, od "nie krytyczna" do "skrajnie krytyczna". W latach 2005-2009 ponad 50% luk znajdowało się w kategorii "wysoce krytyczna" i "umiarkowanie krytyczna", 32% zaliczono do "mało krytycznych", a tylko 0,2% zyskało notę "skrajnie krytyczna". Najwięcej dziur daje atakującemu dostęp do systemu. Średnio za lata 2005-2009 luki takie stanowiły 33% wszystkich. Warto jednak zauważyć, że w ciągu ostatnich dwóch lat ich liczba nieco spadła. Regularnie rośnie za to liczba dziur pozwalających na przeprowadzenie ataków XSS (cross-site scripting). Wszystkie zmiany są jednak stosunkowo niewielkie i od roku 2005 wśród 29 000 programów badanych przez Secunię nie zauważono żadnego znaczącego spadku czy wzrostu liczby luk. Warto jednak zauważyć, że w latach 2007-2009 liczba dziur, na jakie narażony jest przeciętny użytkownik komputera zwiększyła się dwukrotnie, z 220 do 420. Dane z pierwszej połowy bieżącego roku sugerują, że będziemy świadkami kolejnego wzrostu, tym razem do 760 dziur. Secunia zaleca również, by zwrócić szczególną uwagę na oprogramowanie firm trzecich działających pod kontrolą systemu Windows. Okazuje się bowiem, że na przeciętnym pececie zainstalowanych jest 50 programów, w tym 26 wyprodukowanych przez Microsoft i 24 od innych producentów. W programach Microsoftu znajduje się tymczasem 3,5-krotnie mniej dziur, niż w innych programach. Prawdopodobnie w bieżącym roku stosunek dziur w programach Microsoftu do dziur w programach firm trzecich zmieni się na 1:4,4.

Secunia opublikowała raport dotyczący liczby znalezionych luk w roku 2008. Jedną zaskakujących informacji, które możemy w nim przeczytać jest fakt, iż najbardziej dziurawą przeglądarką był... Firefox. W opensource'owym browserze znaleziono 115 błędów. Na drugim miejscu uplasowało się Safari z 32 dziurami, następnie Internet Explorer (31 luk) oraz Opera (30 błędów). W dokumencie Secunii znajdziemy też informację na temat 9 dziur (6 z IE oraz 3 z Firefoksa), które zostały ogłoszone publicznie przez ich odkrywcę jeszcze zanim powiadomił on o nich producenta przeglądarki. Zestawienie liczby dni, w których stwarzały zagrożenie, nie wypada korzystnie dla przeglądarki Microsoftu. Mozilla załatała wszystkie takie luki, a średni czas ich poprawienia to 44 dni. Microsoft poprawił trzy z 6 dziur, ale na poprawki trzeba było czekać średnio 99 dni. Niezbyt korzystnie wypada też zestawienie bezpieczeństwa wtyczek i dodatków do przeglądarek. Najbardziej niebezpiecznym dodatkiem są najpopularniejsze pluginy, czyli kontrolki ActiveX znajdowane w ponad 40 różnych produktach. W ciągu 2008 roku znaleziono w nich 366 dziur. Secunia przypuszcza, że szybki wzrost liczby luk w ActiveX wiąże się z jednej strony z ich popularnością, co przyciąga cyberprzestępców, a z drugiej - z coraz częstszym używaniem automatycznych narzędzi skanujących, wyszukujących luki. Kolejne 54 dziury zostały znalezione w Javie, 30 w QuickTime'ie, a 19 we Flashu. Tylko 1 lukę zauważono w dodatkach specyficznych dla Firefoksa, a widgety Opery nie ujawniły żadnej dziury. Bardzo interesujące jest również zestawienie liczby porad, które opublikowała Secunia w latach 2003-2008. W roku 2003 Secunia wydała 55 porad dotyczących "ekstremalnie krytycznych" luk, a w roku 2008 było ich 11. Sytuacja tylko pozornie się poprawiła, gdyż w roku 2007 były zaledwie 2 porady. Szybko rośnie liczba dziur określonych jako "wysoce krytyczne". W 2003 było ich 438, a w 2008 już 1019. Podobnie rzecz się ma z dziurami "umiarkowanie krytycznymi", których liczba zwiększyła się z 893 do 2275. Wśród wszystkich dziur najwięcej, bo 1814 (w roku 2003 było ich 1020) pozwalało na uzyskanie dostępu do systemu operacyjnego. Drugie pod względem liczby były luki umożliwiające przeprowadzenie ataku DoS (1538 w 2008 i 817 w 2003), zwiększenie uprawnień (1040 obecnie i 471 w 2003) czy manipulowanie danymi (1162 wobec 111 w 2003). Znacząco spadła za to liczba dziur, w wyniku których atakujący może uzyskać dostęp do ważnych informacji. Jeszcze w 2003 Secunia informowała o 482 takich dziurach, a w 2008 o 13.