Институт SANS опубликовал список наиболее опасных программ
Американский институт SANS (SysAdmin, Audit, Network, Security) обнародовал список программных компонентов и приложений, которые создают максимум проблем для безопасности информационных систем. При составлении отчета рассматривались проблемы, которые были обнаружены в течение последнего года — со времени выпуска такого же обзора в октябре 2004 года. В документе указано 20 наиболее опасных типов программ и компонентов, которые разделены на четыре категории: функционирующие в среде Windows, в среде Unix, кроссплатформенные (их большинство) и сетевые. Обзор выпускается раз в год в течение последних пяти лет, но в прошлом году он был разделен только на две категории — приложения для Windows и Unix оказались опасными в равной степени.
Наиболее уязвимой операционной системой признана Windows, хотя из пяти названных SANS ее опасностей две относятся скорее к приложениям — Internet Explorer и Microsoft Office. Тем не менее три оставшиеся являются проблемами собственно операционной системы — это дефекты сервисов Windows, библиотек и слабых конфигураций, то есть настроек по умолчанию и слабой защиты хранящихся паролей.
Сервисы Windows — один из наиболее опасных дефектов этой ОС, поскольку они могут автоматически запускаться во время загрузки операционной системы, обрабатывать сетевые запросы и, как правило, имеют достаточно высокие полномочия. Поэтому ошибка в таком сервисе, да еще и допускающая переполнение буфера, позволяет злоумышленнику при минимальном взаимодействии с пользователем получить достаточно высокие полномочия.
В библиотеках ошибки возникают при обработке файлов различных форматов. Если формат файла нарушен, а проверки на это нет, то также может возникнуть переполнение буфера с возможностью исполнения злонамеренного кода. Такие специально испорченные файлы достаточно прислать по почте или вставить в Web-страницу, и встроенный в них код будет исполнен. Институт SANS назвал примеры 11 ошибок в библиотеках, которые были найдены за прошедший год.
Что касается паролей, то SANS указывает на слабость защиты при установке по умолчанию Microsoft SQL Server, для администрирования которого создавался специальный пользователь с пустым паролем по умолчанию, но с достаточно большими полномочиями. Также в первой версии системы хранения паролей NTLM была ошибка, позволяющая быстро, примерно в течение получаса, на современном оборудовании подбирать пароли. В версии NTLM 2 эта проблема была решена, но по-прежнему остаются системы со старой системой хранения паролей.
Следует отметить, что и в других операционных системах есть сервисы (точнее, демоны) и графические библиотеки. В них так же находят ошибки, которые можно использовать для исполнения кода. Так почему же эксперты SANS относят эти проблемы только к Windows? Возможно, дело в том, что в Windows сервисы и библиотеки тесно интегрированы с ядром операционной системы, и поэтому с помощью ошибок в них можно быстро получить достаточно высокие привилегии. В то же время в Unix-системах демоны запускаются от имени специальных пользователей, которые находятся за пределами ядра и не имеют доступа даже к командному интерпретатору. Графические же библиотеки в альтернативных ОС не универсальны, но свои для каждого приложения или оболочки. Такая архитектура приложений не оптимальна, но зато оказывается безопасной.
Особое место в отчете SANS занимают браузеры — они упоминаются отдельным пунктом в Windows (Internet Explorer), в кроссплатформных приложениях (Mozilla и Firefox) и в Unix (речь идет в основном о Safari). На эти программы, используемые для работы с сетью, и приходится первый удар хакеров, которые пристально изучают и анализируют все слабые места браузеров.
Для обеспечения корпоративной безопасности, безусловно, важно защищать и другие приложения, которые, так же как браузеры, находятся на переднем крае атаки хакеров. Это, в частности, антивирусы, клиенты систем мгновенной связи, приложения для работы с файлобменными сетями, проигрыватели для мультимедийных файлов, системы резервного копирования, Web-приложения на PHP, серверы баз данных и DNS-серверы. Ошибки в этом ПО также были найдены в течение прошедшего года, а для некоторых появились и эксплойты. Вероятность проникновения в систему посредством заражения этих программ низка, но сам выход из строя антивирусов, систем резервного копирования и серверов баз данных крайне опасен для бизнеса.
Скорость исправлений
Опрос посетителей сайта SANS Institute показал, что системные администраторы привыкли быстро устанавливать выходящие исправления. В опросе приняли участие 1486 посетителей сайта SANS
Источник: SANS Institute, 2005