Согласно результатам последнего исследования Secunia, своевременная установка патчей является ключевой мерой обеспечения корпоративной безопасности. При ограниченных ресурсах снизить корпоративные риски на 80% можно, поддерживая в актуальном состоянии 12 наиболее критичных для работы программ или 37 самых популярных в пределах конкретного портфолио.

В условиях роста числа интернет-угроз, которые к тому же постоянно эволюционируют, и усложнения нормативных требований к деловым операциям достичь баланса между приемлемым уровнем безопасности ИТ-инфраструктуры и соответствием отраслевым стандартам весьма непросто. По мнению экспертов, эффективной мерой уменьшения коммерческих рисков, способной решить эту проблему с минимальными затратами, является правильный выбор подхода к защите конечного оборудования. Его неистребимая уязвимость доставляет много хлопот корпоративным сисадминам и неизменно играет на руку злоумышленникам, атакующим корпоративные сети.

Некоммерческая организация Mitre в содружестве с исследовательским институтом SANS опубликовала новый список наиболее распространенных программных ошибок, которые чреваты большими неприятностями.

К сожалению, в ведущей пятерке по частотности и степени риска вновь нет ничего неожиданного, разве что лидеры немного поменялись местами. Рейтинг-2011 наиболее опасных ошибок возглавляют те из них, которые позволяют злоумышленникам подменять SQL-запросы (SQL-инъекции). Второе место занимают дефекты, позволяющие злоумышленнику при запуске приложения манипулировать входными данными внешней команды (инъекции при выполнении команды ОС). Ступенью ниже оказались проблемы, связанные с переполнением буфера, ненадежность структуры веб-страницы (XSS) на сей раз заняла 4-ю позицию. Пятерку лидеров замыкает отсутствие аутентификации при выполнении критических действий.

Как и в прошлом году, рейтинг Mitre представляет собой выборку из базы типовых ошибок, CWE (Common Weakness Enumeration), которую исправно пополняет комьюнити. Отбор осуществляли специалисты из 20 европейских и американских компаний. Они оценивали каждый дефект программного кода по широте его распространения, частоте эксплуатации уязвимости, простоте обнаружения, серьезности последствий. В помощь аудиторам Mitre запустила общедоступный механизм оценки и ранжирования ошибок ― Common Weakness Scoring System (CWSS). Как и ранее, при составлении итогового рейтинга учитывались также результаты анализа кибератак и уязвимостей, представленные в списке Top 20 от SANS.

Список Top 25 ориентирован, в первую очередь, на программистов и веб-дизайнеров. Каждая запись содержит краткую информацию о характере и тяжести ошибки, общую и субъективные оценки сопряженных с ней рисков, а также способы предотвращения либо смягчения последствий.

За последние полтора года независимый эксперт Veracode проверила свыше 4,8 тыс. веб-приложений на соответствие требованиям компьютерной безопасности. 58% этих программных продуктов не смогли продемонстрировать приемлемое качество [PDF 249 Кб].

В 80% внутренних и коммерческих разработок были обнаружены критические ошибки из списка OWASP Top 10. Практически такие же результаты были получены испытателями полгода назад. Согласно статистике компании, наиболее распространенными уязвимостями по-прежнему являются те, которые позволяют атакующему применить технику XSS или SQL-инъекции. Число последних, правда, хотя и медленно, но все-таки сокращается ― по 2,4% за квартал.

Следует отметить, что при оценке надежности кода Veracode учитывает не только серьезность программных ошибок, но и коммерческие риски, ассоциируемые со сферой использования программного продукта. Эксперты отмечают, что некоторые отрасли, например, финансовый сектор, софтверные компании, стали предъявлять более высокие требования к качеству ПО сторонних производителей. Эта тенденция положительно отразилась и на результатах независимых исследований: доля third-party продуктов, представленных Veracode для проверки и оказавшихся годными, увеличилась с 19 до 25%.

Удивительно то, что у профессиональных разработок показатели по безопасности оказались хуже среднестатистических. Из изделий софтверной индустрии, протестированных Veracode, 66% оказались провальными. При этом худшие результаты показали приложения категории «техподдержка и работа с клиентами» (82%) и «средства и сервисы обеспечения безопасности» (72%).

Утешает лишь тот факт, признаются эксперты, что при повторном тестировании сносные результаты показывают свыше 80% веб-приложений. Чтобы привести продукт в соответствие с нормами безопасности, разработчикам нужно не больше месяца, а производители защитного ПО управляются в среднем за 3 дня.

«Последний выходной день прошел отлично: было тепло и светило солнце, поэтому мы весь день гуляли с друзьями, радуясь наступающей весне. Вдобавок, придя домой, я обнаружил в почтовом ящике письмо от интернет-магазина, где я регулярно покупаю одежду и обувь. В нем меня поздравили и сообщили, что я могу получить бесплатную дисконтную карту. Отличное завершение дня!»

Наверное, приблизительно такое сообщение я бы хотел опубликовать в блог. Однако в конце марта в России холодно и ветрено, а за «бесплатными дисконтными картами» зачастую скрываются угрозы безопасности.

Согласно статистике Secunia, в минувшем году количество уязвимостей в 50 программных продуктах, которые широко используют владельцы ПК под ОС Windows, увеличилось [PDF 848 Кб] более чем на 70%. Свыше двух третей из них — бреши в приложениях сторонних разработчиков.

В зависимости от установленной ОС (XP, Vista или Windows 7) число уязвимостей, обнаруженных за год, составило, по данным Secunia, 709-729. На долю самой ОС пришлось 13%, прочих программ Microsoft — 18%. По свидетельству экспертов, на типовом ПК под Windows обычно присутствуют 26 продуктов MS, включая саму ОС, и 24 инструмента от 13 других вендоров. В ТOP 50 программ, снискавших популярность у пользователей Windows, Secunia включила те, уровень распространения которых составляет не менее 24%. Восемь из них, в том числе Internet Explorer, .NET Framework, Sun/Oracle Java, Adobe Reader и Adobe Flash, установлены на 80% машин.

По данным Secunia, для половины уязвимостей, объявившихся в прошлом году, патч уже существовал на момент публикации. Многие из остальных разработчики закрывали в течение последующего месяца. Как показали результаты сканирования, проведенного с помощью Secunia PSI в 4-м квартале, подавляющее большинство «заплаток» от MS были установлены вовремя. Непропатченными оказались менее 2% программ этого вендора, функционирующих на типовом ПК. Что касается сторонних приложений, доля уязвимых на такой машине составила 7-12%. Похоже, многие пользователи все еще недооценивают важность своевременного латания дыр и не осознают, что современные злоумышленники предпочитают открывать ларчик Windows через бреши в ПО третьей стороны.

Компания Secunia объявила о выходе финальной версии универсального апдейтера PSI 2.0, предназначенного для индивидуального использования.

Новый бесплатный продукт ориентирован, в первую очередь, на среднестатистического неискушенного пользователя, которого заботит проблема поддержания всех компонентов системы в актуальном состоянии. Secunia PSI 2.0 автоматически отслеживает незакрытые уязвимости в типовых приложениях и плагинах, установленных под ОС Windows, — таких, как Adobe Flash Player, Adobe Reader, Sun Java, Skype, Firefox. По выбору пользователя необходимые «заплатки» будут загружаться с сайта вендора и устанавливаться также без ручного вмешательства.

Инструмент успешно прошел этап бета-тестирования, в котором приняли участие более 90 тыс. добровольцев. За это время PSI 2.0 установил в фоновом режиме свыше 385 тыс. патчей, залатав критические дыры в половине резидентных Sun Java, в 37% Adobe Flash Player и 24% Adobe Reader.

Adobe Systems объявила о выпуске Reader Х — новой версии популярного продукта, в которой реализована технология «песочницы».

Adobe Reader X содержит также ряд других усовершенствований и может работать под ОС Windows, OS X и Android. Однако безопасный режим доступен лишь на платформе Windows и по умолчанию включен. При создании защитного механизма разработчики руководствовались методиками Microsoft (Practical Windows Sandboxing). Итоговое решение аналогично тем, что используются для защиты Google Chrome и Microsoft Office 2010.

В режиме Protected Mode вся обработка pdf-документа осуществляется в изолированной среде, гарантирующей запрет на действия, требующие повышения привилегий. Запросы на установку и удаление файлов, внесение изменений в системный реестр, запуск других приложений и т.п. передаются системе через доверенного посредника — «брокера». Его поведение обусловлено жестким набором правил, который может быть дополнен в диалоге с пользователем или расширен администратором. Брокер обеспечивает/запрещает приложению опосредованный доступ к ключевым объектам и службам, согласуясь с белым списком. Такой же порядок взаимодействия с приложением используется во внешних вспомогательных процессах — например, при установке обновлений для Adobe Reader.

Следует отметить, что при работе Reader X в безопасном режиме под ОС Windows XP некоторые специальные возможности нельзя будет использовать — например, опцию чтения вслух, перемещение с помощью клавиатуры. Существует также ряд ограничений по конфигурации, о которых пользователя предупредит диалоговое окно. Кроме того, выяснилось, что в некоторых случаях Protected Mode конфликтует с защитными решениями Symantec Endpoint Protection и McAfee VirusScan Enterprise.

Как показали испытания, Reader X с включенным Protected Mode работает без ущерба для производительности и сравним по этому показателю с Reader 9. Скачать новую версию для ПК можно на сайте Adobe. В предлагаемом варианте «песочница» защищает лишь от несанкционированных запросов на запись, предотвращая инсталляцию зловредов, модификацию ключей реестра и удаленное выполнение кода. В дальнейшем разработчики планируют расширить этот проект и ввести ограничения на действия, предусмотренные режимом «только чтение».

По данным Microsoft, со второго квартала счет попыткам эксплуатации уязвимостей в Java-приложениях пошел на миллионы.

Число уязвимостей в ПО, работающем на движке Java, взмыло круто вверх еще в 2008 году. К началу текущего года количество инцидентов, связанных с несовершенством этой платформы (не путать с атаками, использующими JavaScript!), превысило все «рекорды» Adobe. Эксперты отмечают, что наибольшую популярность у злоумышленников снискали три уже пропатченные уязвимости: CVE-2008-5353, CVE-2009-3867 и CVE-2010-0094, во многом схожая с первой. Их успешная эксплуатация обеспечивает удаленное выполнение кода на ПК под ОС Windows, Linux и Mac OS X. Небезызвестный Брайан Кребс (Brian Krebs) полагает, что активная эксплуатация Java-брешей связана с включением соответствующих эксплойтов в популярные готовые наборы, которые продаются по доступной цене на подпольном рынке.

Клиентская база Java весьма обширна, но так как эта технология работает без визуальных эффектов, в фоновом режиме, многие пользователи даже не подозревают, что такая среда исполнения установлена на машине, и не знают, что она снабжена встроенным механизмом обновления, который по умолчанию активируется лишь раз в месяц. Ввиду обострения ситуации расписание работы апдейтера рекомендуется откорректировать и обязательно загрузить последнее обновление с сайта Oracle — Java 6 Update 22, которое исправляет около 30 недочетов в программном коде.

В процессе слежения за угрозой Pegel мы обнаружили занятную особенность: переходы на зловредные веб-страницы с эксплойтами стали осуществляться не только с зараженных легитимных веб-страниц, но и с флеш-роликов, которые также располагались на легитимных веб-сайтах. Естественно, такое нестандартное поведение не могло нас не заинтересовать, и мы решили изучить его подробнее.

Подобный флеш-ролик в браузере выглядел как ничем не примечательный баннер, и при клике на него мы действительно попадали на рекламируемый веб-сайт.

Однако проанализировав ActionScript-код ролика, мы обнаружили следующий скрипт, который исполнялся непосредственно при загрузке самого ролика:

Если говорить вкратце, то попутно с отображением баннера незаметно исполнялся скрипт, расположенный на сервере злоумышленников, который и перенаправлял пользователя на веб-страницу с эксплойтами.

В итоге мы пришли к выводу, что статичный баннер-картинка на легитимных веб-сайтах был заменен на флеш-ролик с «изюминкой». Оставался один вопрос — каким образом?

Как выяснилось, на всех зараженных таким образом веб-сайтах была установлена баннерная платформа OpenX. А в декабре прошлого года для OpenX был представлен новый модуль — Open Flash Chart 2. Примечательно, что в этом модуле чуть раньше была найдена уязвимость, которая и позволяла злоумышленникам загружать на сервер исполняемый код.

Похоже, разработчики OpenX не знали об этой уязвимости и предложили своим пользователям скачать уязвимую версию модуля. В результате такой оплошности среди зараженных веб-сайтов оказались, например, thepiratebay.org, esarcasm.com, tutu.ru и множество других ресурсов, которые использовали платформу OpenX и уязвимый модуль.

Злоумышленники также позаботились о том, чтобы пользователи OpenX не смогли обновиться до последней версии продукта с исправленной уязвимостью, для чего организовали DDoS-атаку на официальный веб-сайт проекта – openx.org. Веб-сайт до сих пор находится в нерабочем состоянии, однако ссылка на новый дистрибутив функционирует — его можно скачать отсюда.

Администраторам ресурсов, использующих OpenX, рекомендуется установить новую версию платформы либо временно удалить файл admin/plugins/videoReport/lib/ofc2/ofc_upload_image.php из директории, в которой установлен OpenX.

Компания Secunia открыла публичный доступ к переработанной версии индивидуального сканера уязвимостей Secunia Personal Software Inspector (PSI), которая снабжена функцией автоматического обновления типовых сторонних приложений, работающих на платформе Windows. Новый программный продукт предлагается на правах участия в заключительной фазе тестирования.

Универсальный апдейтер создан на основе релиза PSI 1.5 с сохранением базовой технологии, позволяющей четко определять виды программ, установленных под ОС Windows, и отслеживать непропатченные уязвимости. Тем не менее, разработчики практически заново выстроили все приложение: переписали пользовательский интерфейс, усовершенствовали систему воспроизведения и группировки результатов сканирования, а также обеспечили интеграцию с коммерческим вариантом сканера, Corporate Software Inspector (CSI).

Первая статистика по результатам бета-тестирования появилась уже через сутки после публикации анонса. На 6,5 тыс. экспериментальных ПК PSI 2.0 установил в автоматическом режиме примерно 10 тыс. патчей. Около 30% из них пришлось на долю Adobe Flash Player (NPAPI и ActiveX), 10% — Adobe Reader 9.x, 8% Sun Java JRE 1.6.x / 6.x. И это несмотря на то, что 6 из Топ 10 пропатченных приложений обладают собственным функционалом автообновления. Продукты Apple не попали в десятку лидеров, так как, по словам экспертов, они не поддерживают фоновый режим установки патчей. Secunia надеется устранить эту проблему до окончания бета-тестирования.

Известный журналист и исследователь Брайан Кребс (Brian Krebs) тоже опробовал уникальный инструмент и отметил, что тот работает гораздо быстрее своего прототипа и потребляет меньше ресурсов. Правда, список приложений, которые автоматически обновляет бета-версия PSI 2.0, пока ограничен, но, видимо, будет дополняться по мере поступления заявок от участников тестирования. Для программ, которые новый PSI не может обновить в автоматическом режиме, предусмотрена опция Install Solution («установить приложение»), позволяющая скачать исполняемый файл непосредственно с сайта вендора.

Экспериментальная версия PSI 2.0 доступна с адреса http://secunia.com/PSI2SetupBeta.exe. Для тех, кто заинтересовался, но не хочет закачивать этот продукт на свой ПК, Secunia подготовила онлайн-версию — Online Software Inspector (OSI). Ее использование, в отличие от PSI, предполагает наличие Java.