Содержание статьи
- Таблица 1: Общие данные по уязвимостям
- Таблица 2: Основные типы уязвимостей
- Уязвимости в Web приложениях
- Таблица 3: Атаки, нацеленные на Web приложения
- Таблица 4: SQL-инъекции в PHP и ASP сценариях
- Таблица 5: Уязвимости, нацеленные на Web приложения
- Отказ в обслуживании
- Выполнение произвольного кода
- Обход ограничений безопасности
- Доступ к конфиденциальной информации
- Рейтинг самых уязвимых приложений
- Таблица 6: Рейтинг приложений с наибольшим количеством обнаруженных уязвимостей
- Таблица 7: Количество уязвимостей в приложениях по месяца
- Замечания и тенденции
- Таблица 8: Общие данные по уязвимостям за 2007 год
- Таблица 9: Рейтинг приложений за 2007 год
Данная статья содержит обобщенную информацию об опубликованных в разделе «bugtrack» ресурса Xakep.RU уязвимостях за второе полугодие 2007 года. Общее количество найденных уязвимостей составило 1731. Сразу оговоримся, что это значение может незначительно варьироваться в ту или иную сторону. Погрешность обусловлена трудностью подсчета, возникшей ввиду большого количества новостей (121), содержащих информацию о множественных уязвимостях.
Несмотря на то, что общее количество обнаруженных уязвимостей не на много больше, чем за первое полугодие, однако, как видно из таблицы 1, удаленных уязвимостей обнаружено значительно больше, чем локальных. Это, конечно же, свидетельствует о все большей практической направленности найденных публикаций. Ведь удалённый эксплойт, работая через сеть, использует уязвимость в защите без какого-либо предварительного доступа к уязвимой системе. Эта тенденция обуславливается и еще одним интересным фактом. Дело в том, что в последнее время, обнаружив удаленную уязвимость в ПО какого либо производителя, через некоторое непродолжительное время часто находится та же самая только локальная
уязвимость в других продуктах этого же производителя. Наверняка, многие помнят историю, когда хакер Роберт Хансен спустя два дня после обнаружения уязвимости в Google Toolbar для Firefox, обнаружил аналогичную ошибку в Google Desktop. По его словам из-за роста популярности приложений, сочетающих в себе удалённые и локальные функции, подобные уязвимости будут обнаруживаться довольно часто.
Таблица 1: Общие данные по уязвимостям
| Общие данные по уязвимостям | Количество |
| Количество уязвимостей | 1731 |
| уязвимостей с эксплойтами | 879 |
| уязвимостей без эксплойтов | 852 |
| удаленных уязвимостей | 1627 |
| локальных уязвимостей | 104 |
Таблица 2: Основные типы уязвимостей
| Основные типы уязвимостей | Количество |
| Web-ориентированные уязвимости | 686 |
| Выполнение произвольного кода | 376 |
| Отказ в обслуживании | 262 |
| Обход ограничений безопасности | 104 |
| Доступ к конфиденциальной информации | 77 |
| Досуп к файловой системе | 61 |
| Эскалация привилегий | 54 |
| Спуфинг | 24 |
Примерно половина уязвимостей была опубликована с эксплойтами. Диаграммы 1 и 2 наглядно отражают данные приведенные в таблице 1.
Основные типы уязвимостей и их количественный эквивалент отражены в таблице 2. Диаграмма №3 отражает эту же информацию в процентном соотношении.
Уязвимости в Web приложениях
42% процента обнаруженных уязвимостей позволяют осуществить атаки на Web-приложения. Это и понятно, чего только стоит, например, популярность многочисленных социальных сетей, программных средств мгновенного обмена сообщениями и peer-to-peer клиентов. Все больше предприятий различного масштаба осуществляют интеграцию своего бизнеса с интернет. А по словам Стива Балмера следующие версии Windows будут гораздо более плотно интегрироваться с Web сервисами.
На самом деле, в такой ситуации, уже стоит делать отдельный рейтинг Web-приложений. Чем я, собственно и занялся, рассмотрев системы управления контентом (CMS) как наиболее популярный и развивающийся вид Web приложений. В итоге на первом месте с большим отрывом расположилась Joomla CMS c 21 ошибкой, затем следуют WordPress и PHP-Nuke с 11 и 8 ошибками соответственно. На 4-м и 5-м местах находятся Mambo и Drupal.
Кстати, Joomla в этом полугодии заменила Xoops в основном рейтинге приложений с наибольшим количеством уязвимостей (Таблица 6).
Рассмотрим соотношение основных атак, нацеленных на Web приложения: PHP-инклюдинг, SQL-инъекции и Межсайтовый скриптинг. Как видно из таблицы 3 в этот раз атаки на основе PHP-инклюдинга уступили место SQL-инъекциям и даже XSS атакам. Рост XSS атак в 1.5 раза обусловлен тем, что хакеры больше заинтересованы получением доступа именно к системам пользователей, используя уязвимые Web ресурсы в качестве жертвы-посредника. На своем сайте sla.ckers.org хакеры регулярно организуют публикацию названий сайтов, имеющих XSS-уязвимость, включая сайты таких монстров как Dell, HP, MySpace и даже ресурсы
компаний, предоставляющих услуги в области информационной безопасности, например, F5 и Acunetix.
Соотношение сценариев используемых хакерами для выполнения SQL-инъекций тоже изменилось. На это раз отрыв PHP от ASP сценариев не такой большой, но тем не менее разница довольно заметна (таблица 4).
Таблица 3: Атаки, нацеленные на Web приложения
| Атаки, нацеленные на Web приложения | Количество |
| Всего | 686 |
| PHP-инклюдинг | 193 |
| XSS (Межсайтовый скриптинг) | 215 |
| SQL-инъекции | 235 |
| Другие | 43 |
Таблица 4: SQL-инъекции в PHP и ASP сценариях
| SQL-инъекции в PHP и ASP сценариях | 235 |
| в PHP сценариях | 131 |
| в ASP сценариях | 104 |
Таблица 5: Уязвимости, нацеленные на Web приложения
| Уязвимости, нацеленные на Web приложения | Июль | Август | Сентябрь | Октябрь | Ноябрь | Декабрь |
| PHP-инклюдинг | 18 | 32 | 37 | 50 | 32 | 24 |
| XSS (Межсайтовый скриптинг) | 25 | 29 | 30 | 51 | 43 | 37 |
| SQL-инъекции | 54 | 38 | 27 | 34 | 39 | 43 |
Отказ в обслуживании
Уязвимости, ведущие к выполнению произвольного кода в этом полугодии существенно обошли ошибки, приводящие к DoS. Последних, впрочем, не так уж мало, на нашем ресурсе было зарегистрировано 262 публикации. А спам-аналитики «Лаборатории Касперского» неоднократно фиксировали спам-рассылку, c предложениями устранить конкурентов с помощью распределенных DDoS атак. Содержание рассылки приведено на рисунке. Да что и говорить, я получаю icq-рассылки с подобным видом предложений каждый месяц.
Выполнение произвольного кода
При выполнении произвольного кода переполнение буфера, а в частности переполнение стека, по-прежнему является наиболее популярным способом взлома компьютерных систем, так как большинство программистов используют технологию размещения данных в стеке процесса, смешивая данные программы с управляющими данными, включая адреса начала стека и возврата из исполняемой функции. Сообщений о выполнении произвольного кода в этом семестре оказалось больше, чем сообщений о DoS атаках (всего 376). Эта атака является и самой популярной в целом, даже среди атак, направленных на Web приложения.
Обход ограничений безопасности
Уязвимости, связанные с обходом ограничений безопасности становятся все более популярны и во втором полугодии 2007 года заняли 4 позицию в общем списке (104 уязвимости). Причем, в отличии от предыдущего полугодия в этот список не вошел «спуфинг», о котором мы отдельно поговорим чуть ниже. Чаще всего в категорию «обход ограничений безопасности» входят ошибки, позволяющие обойти механизмы аутентификации при входе в систему. Но встречаются также весьма оригинальные, приводящие, например, к обходу детектирования зловредов антивирусными продуктами, установке произвольных значений cookie и захвату пользовательских сессий.
Как видно из таблицы 2 уязвимости, ведущие к атаке спуфинга, были выделены в отдельную позицию. Число ошибок достигло 24-х, что является довольно ярким показателем, учитывая тот факт, что в прошлом обзоре мы лишь выявили некоторую тенденцию роста подобного типа атак. В основном злоумышленники практикуют атаки на Web-приложения, в основном подмена строк URL в интернет браузерах. Подобные действия хакеров ведут к эволюционированию атак фишинга и формированию более сложных атак фарминга и спуфинга. Также, как и в прошлом полугодии, встречается ошибки, приводящие к другим спуфинг атакам, например, подмене DNS кэша в BIND.
Доступ к конфиденциальной информации
Существенно подросло количество уязвимостей, позволяющий получить доступ к конфиденциальной информации на целевой системе (77 против 54 в первом полугодии). Этот факт обуславливается еще большим появлением троянов, нацеленных на кражу данных. Это и банковские трояны, ориентированные на кражу кодов доступа к различным онлайновым платежным системам, интернет-банкингу и данных кредитных карт; и многие другие, например, игровые трояны, нацеленные на кражу учетных данных пользователей онлайн-игр. В США даже был создан центр помощи пострадавшим от кражи идентификационных данных. Такой центр, принимая данные от пострадавших пользователей и организаций, передает информацию в
правоохранительные структуры, тем самым, упрощая поиск похитителей.
Рейтинг самых уязвимых приложений
Как и в первом полугодии 2007 операционная система Microsoft Windows является излюбленным лакомством для злоумышленников. Однако, в этот раз пальму первенства она уступила Apple Mac OS X. Как известно, с возвращением в Apple Стива Джобса дела у компании идут в гору не только с выпуском флагманского продукта iPod. Слава последнего серьезно подталкивает продажи iPhone и Mac Book, оснащенных Leopard и другими версиями Mac OS. Интересно, что только за один день декабря 2007 было опубликовано тридцать уязвимостей в MAC OS X. Такой всплеск уровня найденных багов отображен в таблице 7.
Операционная система Sun Solaris передвинулась с пятого место на четвертое, обогнав Linux. Однако, напомню, в отчете мы указываем только ядро Linux, поскольку дистрибутивов, выпущенных на его основе огромное количество. Так, например, в одном только Gentoo было найдено около десяти уязвимостей.
FreeBSD, OpenBSD и NetBSD оказались наиболее защищенными и не попали в рейтинг, набрав в сумме меньше десяти уязвимостей. Конечно, нельзя забывать, что для начинающего администратора, даже линуксоида, FreeBSD и OpenBSD представляются несколько сложноватыми, но при уделении времени на их изучение, вы получите максимально надежную и производительную ось с отличной системой установки приложений.
Инструментарий для создания сайтов Xoops в этот раз не попал в список самых уязвимых приложений. Зато из категории Web приложений для создания/управления сайтами Joomla заняла седьмое место, в которой было найдено не намного меньше уязвимостей, чем в Xoops в прошлом полугодии.
Любопытно дело обстоит с Web браузерами. Mozilla Firefox на этот раз оказалась гораздо более бажной, чем Microsoft Internet Explorer – 32 уязвимости против 18. На самом деле аналитическая фирма Secunia подсчитала, что в прошлом 2007 году в операционной системе Red Hat Linux и браузерах Firefox было выявлено значительно больше багов, чем в аналогичных продуктах Microsoft. С другой стороны, Secunia отмечает, что проблемы безопасности, обнаруженные в Firefox, решались быстрее, чем для Internet Explorer. Браузер Opera несколько отстает от своих конкурентов, но, тем не менее, набрал в сумме 11 очков.
На последних 8, 9 и 10 местах нашего рейтинга расположились программные средства PHP, Microsoft Office и Sun Java. PHP несколько повысил свои позиции в плане защищенности. Видимо работа группы Hardened-PHP Project, которая была создана для защиты пользователей PHP и серверов от дыр в системе безопасности постепенно приносит свои плоды. Из приложений, не попавших в список, но также являющихся достаточно незащищенными, стоит отметить Apache HTTP Server, KDE, и Apple QuickTime. Данные приложения содержали 9, 8 и 7 уязвимостей, соответственно.
Таблица 6: Рейтинг приложений с наибольшим количеством обнаруженных уязвимостей
| Рейтинг приложений с наибольшим количеством обнаруженных уязвимостей | Количество |
| Apple Mac OS X | 43 |
| Microsoft Windows | 34 |
| Mozilla Firefox | 32 |
| Sun Solaris | 24 |
| Linux Kernel | 23 |
| Joomla | 21 |
| Microsoft Internet Explorer | 18 |
| PHP | 17 |
| Microsoft Office | 14 |
| Sun Java | 13 |
Таблица 7: Количество уязвимостей в приложениях по месяца
| Приложения/кол. уязвимостей | Июль | Август | Сентябрь | Октябрь | Ноябрь | Декабрь |
| Apple Mac OS X | 0 | 1 | 0 | 0 | 8 | 34 |
| Microsoft Windows | 5 | 9 | 2 | 8 | 1 | 9 |
| Mozilla Firefox | 12 | 6 | 2 | 9 | 2 | 1 |
| Sun Solaris | 3 | 2 | 3 | 10 | 3 | 3 |
| Linux Kernel | 6 | 2 | 4 | 0 | 7 | 4 |
| Joomla | 4 | 5 | 5 | 4 | 1 | 2 |
| Microsoft Internet Explorer | 4 | 7 | 1 | 2 | 2 | 2 |
| PHP | 4 | 7 | 4 | 2 | 0 | 0 |
| Microsoft Office | 2 | 3 | 4 | 1 | 2 | 2 |
| Sun Java | 5 | 3 | 2 | 2 | 0 | 1 |
Замечания и тенденции
В завершении хотелось бы подвести некоторый итог по выявленным уязвимостям за 2007 год. В целом за год было найдено и опубликовано 3385 сообщений об уязвимостях (таблица 8). Из них 1889 публикаций содержали реальные эксплойты. Преимущественная составляющая общего числа уязвимостей, это, конечно же, удаленные уязвимости (3139). В таблице 9 приведен рейтинг приложений с максимальным количеством уязвимостей, обнаруженных за год. Microsoft Windows, несмотря на «сдачу» позиций во втором полугодии 2007, в общем зачете заняла первое место, накопив 76 уязвимостей. Вообще, как видно из таблицы, первые шесть мест распределили между собой операционные системы и Интернет браузеры, что вполне
логично.
Таблица 8: Общие данные по уязвимостям за 2007 год
| Общие данные по уязвимостям за 2007 год | Количество |
| Количество уязвимостей | 3385 |
| уязвимостей с эксплойтами | 1889 |
| уязвимостей без эксплойтов | 1496 |
| удаленных уязвимостей | 3139 |
| локальных уязвимостей | 236 |
Таблица 9: Рейтинг приложений за 2007 год
| Рейтинг приложений за 2007 год | Количество |
| Microsoft Windows | 76 |
| Apple Mac OS X | 58 |
| Mozilla Firefox | 53 |
| Sun Solaris | 45 |
| Microsoft Internet Explorer | 45 |
| Linux Kernel | 42 |
| PHP | 40 |
| Xoops | 31 |
| Microsoft Office | 30 |
| Sun Java | 21 |
Чем же вообще запомнился 2007 год в криминальной кибер-индрустрии?
Конечно же, главным событием уже прошедшего года стал выход новой версии операционной системы Windows Vista. Представители Microsoft заявляли, что Vista станет самой защищенной системой за все время существования компании. На блогах необъятного интернета поговаривали, что даже антивирусы окажутся не нужны, поскольку новая система, помимо наличия новомодных технологий, таких как User Account Control (UAC), механизм защиты ядра Kernel Patch Protection (PatchGuard), Address Space Layer Randomization (ASLR), Network Access Protection и Windows Service Hardening, снабжена файерволом и антивирусом Windows Defender. К тому же Microsoft заверяла,
что Windows Vista написана практически с нуля, а в техническом департаменте внедрена новая уникальная система тестирования продуктов.
Однако, уже через два месяца после выхода новоиспеченной системы компьютерный мир столкнулся с Zero-day уязвимостью, связанной с обработкой анимированных курсоров .ANI. До выхода патча от Microsoft злоумышленники успели разместить вредоносные .ANI файлы на огромном числе зараженных Web-сайтов. При доступе пользователей на такие сайты, запускался злонамеренный код и устанавливался троянец. Далее последовали сообщения и о других уязвимостях в Vista: уязвимость возникающая при обработке Internet Group Management Protocol (IGMP) и Multicast Listener Discovery (MLD) запросов; обход ограничений безопасности в Windows firewall при осуществлении проверки входящего Teredo
трафика, генерируемого с помощью Teredo сервиса; атака спуфинга в результате неправильной реализации подписи SMBv2 и другие. В итоге уже в конце 2007 года Microsoft представила публичную версию релиз-кандидата SP1 для Windows Vista. В целом, сервис-пак насчитывает более 300 исправлений и усовершенствований.
Еще одним значимым событием стал выход на рынок соединенных штатов мобильного телефона Apple iPhone. В основе данного телефона лежит процессор ARM и операционная система Mac OS X, оптимизированная для работы с мобильными устройствами. Поскольку популярность этих устройств велика и растет, уже в июне эксперты компании SPI Dynamics обнаружили уязвимость в iPhone (в системе автоматического набора номера в браузере Safari), позволяющую перенаправить вызов владельца iPhone на другой телефонный номер. Таким образом, заманив обманным образом пользователя на злонамеренный сайт, злоумышленник может совершить произвольный звонок без разрешения пользователя-жертвы.
Также прошедший год ознаменовался множеством инцидентов, связанных с кражей конфиденциальных данных пользователей. Все больше выявляются случаи шантажа с угрозами разглашения украденных приватных данных или требования компенсации за восстановление зашифрованных пользовательских данных.
Очень любопытной мне кажется история, связанная с питерским хостинг-провайдером Russian Business Network (RBN). Данный провайдер, как сообщалось в прессе, стал оплотом детской порнографии, спама и убежищем для людей, занимающихся кражей информации. По данным VeriSign, только одна из фишинг-групп, работавших через RBN, похитила 150 миллионов долларов. На самом деле RBN предоставляет услуги так называемого "пуленепробиваемого хостинга" и их совершенно не беспокоит с какой целью клиент будет использовать программно-аппаратные ресурсы компании. Таким образом, эта история наглядно демонстрирует реально выявленные источники кибер-преступности. А несовершенность законодательных актов, в том
числе в нашей стране, позволяет существовать подобным организациям почти легально.
