В 2012 году Secunia зафиксировала 9776 уязвимостей в 2503 программных продуктах от 421 вендора. 18,3% этих брешей были оценены экспертами как очень критичные (highly critical), 0,5% - как в высшей степени критичные (extremely critical).

Общее количество уязвимостей на выборке из 50 наиболее популярных программ (29 от Microsoft, включая ОС, 21 от других авторов) составило 1137 - вдвое больше, чем 5 лет назад. 78,8% из них были признаны highly critical, 5,3% - extremely critical. При этом 86% брешей, обнаруженных в рамках Тор 50 программ, пришлись на сторонние приложения для Windows - против 78% в 2011 году и 57% в 2007-м.

Эти 1137 уязвимостей были найдены в 18 программах от 8 вендоров, в том числе в Windows 7 и в семи других продуктах Microsoft. Чемпионами по количеству брешей оказались Google Chrome, Mozilla Firefox и Apple iTunes: по каждому из этих продуктов за год набралось свыше 200 публикаций. Adobe Flash Player и Java в этом рейтинге следуют за лидерами с большим отрывом.

Число уязвимостей, обнаруженных в популярных веб-браузерах (Chrome, Firefox, IE, Opera, Safari), составило 739 против 629 в 2011 году. Тем не менее, как отмечают эксперты, латаются эти бреши очень быстро, т.е. производители данных продуктов ответственно относятся к проблеме безопасности.

В целом выпуск патчей постепенно ускоряется, и это весьма устойчивая тенденция. По данным Secunia, в минувшем году 84% уязвимостей закрывались разработчиком в день их публикации, тогда как в 2011 году этот показатель составил 72%, а в 2010-м - лишь 50%.

Полный текст отчета Secunia можно посмотреть на сайте компании (требуется регистрация).

По данным компании Digital Security, питерского специалиста по аудиту информационной безопасности, все мобильные клиенты российских банков для iOS и Android содержат хотя бы одну уязвимость, позволяющую перехватывать данные при обмене клиента с сервером или напрямую эксплуатировать уязвимости мобильного устройства и самого приложения.

Эксперты в течение года тестировали бесплатные платежные iOS- и Android-приложения сорока российских банков, использующие сетевые средства доступа к счету, и пришли к выводу, что разработчики такого софта не уделяют достаточно внимания вопросам безопасности. Cтатический анализ кода клиентской части приложений, проведенный по методу черного ящика, показал, что 35% мобильных банков для iOS и 15% мобильных банков для Android содержат уязвимости, связанные с некорректной работой SSL, т.е. позволяют перехватывать платежные данные по методу «человек посередине». 22% приложений для iOS и 20% для Android потенциально уязвимы к SQL-инъекциям, что создает риск кражи информации о платежах с помощью нескольких несложных запросов. 70% приложений для iOS и 20% приложений для Android содержат XSS-уязвимости; 45% iOS-приложений уязвимы к XXE-атакам (XML eXternal Entity, уязвимость к XML-инъекциям). Последние особо опасны для разлоченных устройств (подвергнутых столь популярному в России jailbreak’у). Наконец, около 22% Android-клиентов неправильно используют механизмы межпроцессного взаимодействия, позволяя сторонним приложениям обращаться к критичным банковским данным.

Согласно результатам исследования, проведенного специалистом по информационной безопасности Positive Technologies, две трети российских сайтов содержат  критические уязвимости, а 10% заражены.

Данные, взятые за основу исследования, собирались на протяжении 2-х лет (2010-11 гг.). В контрольную выборку вошли 123 портала ключевых представителей государственного (25% сайтов) и финансового сектора (25 и 17% сайтов соответственно), а также телекоммуникационной (26%), ИТ- (13%), промышленной и других отраслей. Оценка защищенности производилась по состоянию веб-приложений, доступных через Сеть. Обнаруженные уязвимости классифицировались по WASC TC (Web Application Security Consortium Threat Classification) версии 2.0. Критичность уязвимости оценивалась согласно системе CVSS (Common Vulnerability Scoring System) версии 2: различались высокий, средний и низкий уровни риска.

В совокупности эксперты обнаружили 1817 уязвимостей разной степени риска. 64% сайтов содержали опасные бреши, 98% ― уязвимости средней тяжести. Лидером по количеству слабозащищенных сайтов оказались телекоммуникационные сервисы: на 88% из них были обнаружены критические уязвимости. Немногим ниже этот показатель в сфере информационных технологий и госсекторе (75 и 65% соответственно). На промышленных предприятиях ситуация лучше (50%), однако Positive Technologies обнаружила здесь ряд ресурсов с очень высокой концентрацией критических уязвимостей, что создает благодатную почву для кибератак, чреватых катастрофическими последствиями. Наиболее благополучным оказался финансовый сектор (43%), а в системах ДБО критичные бреши практически истреблены. Однако в этой сфере присутствуют специфические уязвимости ― CSRF (Cross-Site Request Forgery, найдена в 6% систем ДБО), XSS (Cross-Site Scripting, 18%), которые не представляют большой опасности, но способны облегчить задачу фишерам и банковским грабителям.

По оценке Positive Technologies, наиболее распространенной уязвимостью в веб-приложениях является CSRF, которая обнаружена на 61% ресурсов. Немногим более половины сайтов содержат бреши типа Information Leakage и Brute Force. В TOP 10 вошли также 3 критические уязвимости: SQL Injection (47%), OS Commanding (28%) и Path Traversal (28%). На долю XSS пришлось 40% изученных ресурсов. Исследователи отметили сокращение числа сайтов с высокой и низкой степенью риска в 2011 г. При этом уязвимости типа SQL Injection стали встречаться реже, а доля CSRF возросла.

Самым популярным языком программирования в Рунете является РНР (63% протестированных ресурсов). При этом 81% сайтов, использующих этот язык, содержат критические уязвимости, обусловленные ошибками в программной реализации. В прикладном ПО, написанном на РНР, наиболее часто встречаются такие бреши, как CSRF (73% сайтов), SQL Injection (61%), XSS (43%).

Как оказалось, 92% сайтов, содержащих вредоносный код, написаны на РНР и работают под управлением Apache. Половина зараженных сайтов используют бесплатные CMS (системы управления содержимым). На таких ресурсах чаще прочих присутствуют уязвимости OS Commanding (92% заражений), CSRF (75%), SQL Injection (58%), Improper Filesystem Permissions (50%) и Cross-Site Scripting (42%).

Компания IBM опубликовала отчет о тенденциях и рисках информационной безопасности по состоянию на конец 2011 года, отметив успехи в киберобороне и ответные ходы противника.

Эксперты с удовлетворением отметили улучшение качества и безопасности программного кода, ускорение сроков выпуска патчей, а также значительное снижение спамовых потоков. В минувшем году они зафиксировали вдвое меньше нелегитимных посланий, чем в предыдущем, объясняя это, в первую очередь, ликвидацией нескольких крупных ботнетов, использовавшихся для проведения спам-рассылок.

По оценке компании, объемы выпуска эксплойтов к новым уязвимостям сократились на 30% по сравнению со среднегодовыми показателями последних лет. Не исключено, что это следствие массового внедрения в легальное ПО архитектурных и процедурных усовершенствований, позволяющих ограничить негативные последствия эксплойта. Например, системные менеджеры памяти научились обнаруживать нарушение целостности информации и приостанавливать выполнение программы. Многие браузеры и приложения для просмотра документов теперь снабжены «песочницей», предотвращающей удаленное выполнение кода.

Согласно статистике IBM, за год было обнародовано немногим более 7 тыс. уязвимостей ― значительно меньше, чем в 2010 году. 41% из них составили бреши в веб-приложениях, тогда как прежде этот показатель был выше ― около 50%. Количество уязвимостей, провоцирующих SQL-инъекции, сократилось на 46%, хотя они по-прежнему пользуются популярностью у злоумышленников. XSS-уязвимости встречаются в полтора раза реже, чем 4 года назад, но все еще присутствуют в 40% приложений. Число новых уязвимостей, оставшихся к концу года незакрытыми, снизилось с 43 до 36%. 58% брешей, обнаруженных в прошлом году, были пропатчены в день публикации.

Неудачи на проторенных тропах заставляют злоумышленников искать альтернативные лазейки. К концу года IBM зафиксировала более чем 2-кратное увеличение количества кибератак, использующих уязвимости Shell Command Injection. В случае их успешной эксплуатации злоумышленник получает возможность выполнять команды непосредственно на сервере. Во втором полугодии наблюдался также рост активности, связанной с поиском слабых паролей, открывающих доступ к SSH-серверам.

В тот же период появилось много поддельных email-сообщений, распространяемых от имени социальных веб-сервисов и служб доставки почтовых отправлений. Все они под тем или иным предлогом пытались убедить получателя активировать ссылку. Авторы этих рассылок стремились заманить пользователей в интернет-аптеку, на рекламный сайт, владельцы которого оплачивают «партнерам»-спамерам каждый такой визит (click fraud), или засеять зловреда.

Бурное развитие рынка мобильных устройств открыло злоумышленникам новые возможности, и они не собираются их упускать. По данным IBM, в минувшем году число публикуемых эксплойтов для мобильных платформ выросло на 19% ― в основном, за счет тех зловредов, которые обеспечивают злоумышленнику root-привилегии. Наличие незакрытых уязвимостей на многих смартфонах создает благоприятные условия для массового проведения кибератак в этой среде.

По данным Secunia, 78% уязвимостей, обнаруженных в популярном ПО в минувшем году, касались приложений, созданных сторонними разработчиками для платформы Windows. На долю ОС приходилось 12% новых брешей, прочих продуктов Microsoft ― 10%.

В целом эксперты отметили снижение числа уязвимостей по сравнению с предыдущим годом, однако эта тенденция не коснулась Топ 50 программ, используемых конечным пользователем. За год в них было найдено свыше 800 уязвимостей, больше половины из них Secunia определила как очень опасные (highly/extremely critical). Напомним, что рейтинг популярности программных продуктов Secunia формирует на основе данных по пользовательской базе Windows. Согласно статистике компании, в настоящее время на типовом ПК, работающем под Windows, присутствуют 28 программ Microsoft (включая ОС) и 22 продукта других производителей. Однако прирост уязвимостей по списку Топ 50, который ежегодно фиксируют эксперты, происходит, в основном, за счет сторонних приложений. По оценке Secunia, за последние 5 лет их доля в общем объеме брешей увеличилась более чем в полтора раза.

С латанием дыр дела идут намного успешнее. Год назад эксперты отмечали, что выпуск патча в день публикации осуществляется для половины уязвимостей; минувшим летом этот показатель подрос до 65%, а сейчас составляет 72%. Таким образом, шансы удержать оборону растут, надо лишь умело их использовать.

По мнению Secunia, главной проблемой большинства организаций является отсутствие адекватной стратегии установки патчей. Практика показывает, что софт, который считается критичным для бизнес-процессов и латается в первую очередь, далеко не всегда привлекает внимание злоумышленников. Их главной мишенью является оконечное оборудование, на котором хранится уйма слабо защищенной информации, представляющей большую ценность для сетевого криминала. И замена популярных продуктов экзотикой здесь вряд ли поможет: сопоставление доли рынка и наличия экплойтов, проведенное Secunia, показало, что риску подвержены все программы.

Эксперты также предостерегают от статичного подхода к расстановке приоритетов. Если портфолио организации включает 600 программных продуктов, больше половины из них каждый год меняют статус в отношении рисков. Посему необходимо не только провести инвентаризацию по установленной базе, но и тщательно контролировать изменение обстановки, оперативно внося коррективы.

По данным Imperva, в июне-ноябре интенсивность попыток эксплойта уязвимостей в веб-приложениях, осуществляемых с помощью ботнетов, в среднем составляла 130-385 тыс. в месяц. На пике этот показатель взмывал почти до 38 тыс. в час (10 запросов в секунду).

К 30 объектам, отобранным для мониторинга полгода назад, эксперты добавили еще десяток популярных программ и расширили классификацию вредоносного трафика до 7 категорий. Как показывает статистика, хакеры отдают предпочтение «техничным» методикам, основанным на эксплойте типовых уязвимостей, которые, к сожалению, нетрудно отыскать. Наибольшее распространение получили такие техники, как RFI (Remote File Inclusion), SQL-инъекции, LFI (Local File Inclusion), XSS и DT (Directory Traversal). На долю двух последних пришлось больше половины вредоносного трафика, зафиксированного в отчетный период.

В новом отчете Imperva рассматривает также 2 новых разновидности кибератак, которые она называет business logic attacks, BLA ― атаки, использующие логику бизнес-приложения. Данная техника не нарушает функционала атакуемой программы и использует легальные входные значения, поэтому такой абьюз трудно обнаружить. Путем несложных манипуляций атакующий может выудить из приложения приватную информацию, изменить объем совместно используемых ресурсов, исказить данные, находящиеся в общем доступе, и т.п. ― зачастую в обход защитных механизмов.

Эксперты различают две вида BLA: коммент-спам и извлечение email-адресов. Оба легко поддаются автоматизации, а их результаты приносят хакерам материальную выгоду. Внедрение рекламных ссылок в поля комментариев является одним из способов накрутки рейтинга спамерских сайтов в поисковых системах. Согласно статистике Imperva, эти атаки особенно популярны в Восточной Европе. Возможность извлекать из веб-приложений почтовые адреса и прочую личную информацию помогает спамерам формировать списки для грядущих рассылок. Сбором адресов увлекаются африканские хакеры. В минувшем полугодии вклад BLA в зловредный трафик составил 14%.

Microsoft завершает серию патчей этого года обширным выпуском «заплат» на разные случаи. Техническим специалистам был обещан выпуск 14 бюллетелей, и 13 из них вышли именно в декабре. Один из них связан со скандальными событиями и закрывает соответствующий код, и хотя немногие отмечены как «критические», являются ли они менее важными?

Было множество догадок относительно того, что за группировка стоит за Stuxnet и Duqu, и наши исследовали опубликовали на Securelist как минимум полдюжины описаний, посвященных одной только аналитике Duqu. MS11-087 закрывает путь проникновения самого Duqu. Эта уязвимость режима ядра была публично идентифицирована и подтверждена в начале ноября, однако с успехом могла использоваться втихую при проведении атак во всем мире уже более года

Veracode опубликовала результаты анализа 9,9 тыс. новых программ, представленных к тестированию в течение последних полутора лет. 80% из них показали неприемлемый уровень надежности при первичной проверке.

В предыдущий период этот показатель был значительно лучше ― 58%. Эксперты объясняют ухудшение результатов введением более жестких критериев оценки безопасности ПО на своем «облачном» сервисе. В частности, новая политика диктует недопустимость ошибок, провоцирующих XSS и SQL-инъекции. Согласно новой статистике, такие дефекты все еще широко распространены: XSS-уязвимости были обнаружены в 68% веб-приложений, изъяны, позволяющие применить технику SQL-инъекций, ― в 32%. В целом ситуация с этими категориями ошибок улучшается, однако борьба с ними не теряет своей актуальности: по данным Veracode, 20% современных кибератак осуществляются посредством SQL-инъекций.

Продукты, представленные правительственными разработчиками, показали худшие результаты. 40% из них содержали ошибки, чреватые SQL-инъекциями, тогда как в финансовом секторе этот показатель составил лишь 29%, а у профессиональных разработчиков софта ― 30%. К счастью, авторы приложений научились быстро устранять выявленные дефекты. Veracode отмечает, что 80% приложений, проваливших первичные тесты, уже через неделю показывали приемлемые результаты.

Отчет Veracode впервые содержит заключение по продуктам, разработанным для платформы Android. Оказалось, что около трети таких приложений могут отдавать на сторону конфиденциальную информацию. Правда, в некоторых случаях эксперты не смогли точно определить, обусловлено это заложенным функционалом или вызвано программной ошибкой. В 42% Android-приложений криптографический ключ был жестко прописан в коде, тогда как в Java-программах для других мобильных платформ этот показатель составил лишь 17%.Такое упущение позволяет злоумышленникам легко завладеть шифроключом и одним ударом поражать все устройства, на которых установлено соответствующее приложение.

С полной версией отчета Veracode можно ознакомиться на сайте компании (для просмотра требуется регистрация).

По данным Microsoft, количество новых уязвимостей в ПО за полгода уменьшилось на 5,5%. Вклад продуктов компании в эти публикации сократился с 8,2 до 6,9%, веб-приложений ― с 80,3 до 71,5%.

На долю ошибок, обнаруженных в операционных системах и браузерах, в минувшем полугодии пришлось 12,7 и 15,7% публикаций соответственно. Во втором квартале число эксплойтов, ориентированных на уязвимости ОС, резко возросло ― в основном, за счет освоения злоумышленниками лазейки CVE-2010-2568, открытой червем Stuxnet. С начала года наблюдается также значительный рост кибератак, использующих бреши в ОС Android. Большинство таких инцидентов связаны с семейством Unix/Lotoor (в классификации ЛК Exploit.Linux.Lotoor) При отработке эксплойта Lotoor на машину пользователя устанавливается троянец AndroidOS/DroidDream (Backdoor.AndroidOS.Rooter).

Наибольшей популярностью у злоумышленников пользуются уязвимости в Java Runtime Environment (JRE), Java Virtual Machine (JVM) и Java SE в Java Development Kit (JDK). На их долю приходилось от трети до половины эксплойтов, регистрируемых с середины прошлого года. Число проникновений через Adobe Flash во втором квартале выросло более чем в 40 раз ― из-за двух уязвимостей 0-day, обнаруженных в апреле и июне (CVE-2011-0611 и CVE-2011-2110).

Основным источником зловредных загрузок является Сеть. В отчетный период около 0,25% URL, индексированных поисковой системой Bing, были привязаны к страницам, осуществляющим drive-by загрузки. Большое количество страниц с эксплойтами обнаружено на территории Кореи (2,77% местных URL), Китая (0,8%) и Румынии (0,66%).

Среди локальных заражений, зафиксированных Microsoft с января по июнь, наиболее часто встречаются программы, демонстрирующие рекламу (adware). Количество червей и троянских даунлоудеров/дропперов уменьшилось на 10,9 и 9,3% соответственно. По мнению экспертов, этому в значительной мере способствовал выпуск обновления, позволившего заблокировать функцию автозапуска под Windows XP и Vista. Список зловредов, обнаруженных Microsoft на компьютерах пользователей, возглавляет Conficker/Kido (17% заражений), популяция которого постепенно уменьшается и за 2-й квартал сократилась на 2 пункта. Второе место пока занимают autorun-зловреды (11%), третье ― Rimecud/Palevo (7%). Sality, который отсутствовал в прошлогоднем списке лидеров по локальным заражениям, поднялся на 10-ю позицию (3%).

Согласно статистике IBM, с января по июнь доля критических уязвимостей в общем объеме найденных брешей увеличилась в 3 раза. Вклад веб-приложений в новые публикации, напротив, сократился с 49% до 37%. По наблюдениям экспертов, это первый положительный сдвиг за последние 5 лет.

Число опасных и критических уязвимостей, обнаруженных в веб-браузерах, тоже пошло на убыль. Если тенденция сохранится, к концу года их наберется от силы 130, что будет самым низким показателем за последние 4 года. Исследователи отметили также, что поставщики ПО стали уделять больше внимания латанию дыр в своих продуктах. Если в прошлом году незакрытыми остались 44% уязвимостей, преданных огласке, то в текущем ― рекордные 37%. Для 58% новых брешей патч был выпущен в день публикации.

Тем не менее, почивать на лаврах пока рано. С начала года в Сети идет активная охота за ценной информацией, почти каждый день интернет-сообщество узнает о новых изощренных адресных атаках, дерзких взломах и катастрофических утечках. Оживились и «хактивисты», учиняющие акты вандализма на чужих сайтах в знак протеста. Согласно статистике IBM, приоритетным объектом хакерских атак в первом полугодии являются базы данных, а основными методами взлома ― подбор паролей и SQL-инъекции. Исследователи протестировали около 700 популярных веб-сайтов, включая сетевые ресурсы организаций из списка Fortune 500, и обнаружили, что 40% из них уязвимы к XSS-атакам.

Расширение использования мобильного доступа к корпоративным сетям, большой выбор и доступность сторонних приложений, а также отсутствие надлежащих политик в отношении безопасности рабочих смартфонов и планшетных ПК создают благоприятную почву для проведения кибератак в новом пространстве. Последние пару лет IBM наблюдает устойчивый рост числа уязвимостей, выявляемых на мобильных платформах. По прогнозам экспертов, в этом году их окажется вдвое больше, чем в предыдущем.