Основные угрозы для серверных и клиентских приложений

В первой части статьи будет рассказано об основных угрозах для серверных и клиентских приложений, во второй части мы рассмотрим шаги Microsoft, направленные на обеспечение информационной безопасности, а также обсудим рекомендации для специалистов, обеспечивающих безопасность серверных и клиентских приложений.

Угрозу для информационных систем представляют случаи как намеренного, так и ненамеренного причинения вреда пользователями, обслуживающим персоналом и третьими лицами. К случаям намеренного причинения вреда можно отнести кражу оборудования и носителей информации, а также такие злонамеренные действия, как взлом, применения вредоносных программ и мошенничество. К случаям непреднамеренного причинения вреда можно отнести различные проявления халатности (потеря оборудования, случайное разглашение секретных сведений, неправильное размещение данных).

Неуклонно снижается количество краж оборудования и носителей, а также случайных потерь учетных записей на веб-сайтах. Выяснилось, что число случаев взлома, применения вредоносных программ и мошенничества значительно меньше числа случаев халатности (кража или потеря оборудования, случайное разглашение или неправильное размещение). Несмотря на общее снижение числа инцидентов, количество атак на основе вредоносных программ остается неизменным.

Поговорим об угрозах для информационных систем, основанных на применении вредоносных программ.

Применение вредоносных программ обычно связано с уязвимостями .

Уязвимости — это слабые места программного обеспечения, используя которые злоумышленнику может нарушить его целостность, доступность или конфиденциальность. Некоторые из наиболее опасных уязвимостей позволяют запускать на зараженном компьютере произвольный программный код. Разглашение — это обнародование данных об уязвимости программного обеспечения. Этот термин не относится к нарушению конфиденциальности ограниченным числом людей.

Говоря о вредоносных программах, мы часто упоминаем термин «эксплойт».

Эксплойт — вредоносный код, предназначенный для заражения компьютеров без согласия пользователя и нередко без его ведома. Эксплойты часто распространяются через веб-страницы, хотя злоумышленники также использую и другие способы распространения, например с помощью электронной почты или обмена мгновенными сообщениями.

Десять лет назад серьезной опасности подвергался сетевой уровень информационных систем. Так, в мае 2000-го года вирус ILOVEYOU поразил миллионы компьютеров, июль 2001-го года был отмечен широким распространением вируса Code Red, сразу после атак 11 сентября 2001-го года началась эпидемия Nimda. Мишенями червя Nimda, вызывающего замедление сетевого трафика, были компьютеры с Microsoft Web Server, Internet Information Server (IIS), а также пользователи, открывшие электронную почту с присоединенным вложением. В 2003-м году возникла эпидемия вируса SQL Slammer, использовавшего бреши в MS SQL Server. Угроза была устранена через 6 месяцев. За это время вредоносная программа поразила 75000 серверов, включая компьютеры Bank of America, сети платежных терминалов в Вашингтоне, авиакомпанию Continental, сеть МЧС в Сиэтле и атомную электростанцию в Огайо.

Позднее акцент сместился на уровень приложений , в частности, воспользовавшись брешью в безопасности платежной системы Heartland, хакеры взломали 100 миллионов кредитных карточек.

Примерно в середине декады, на первый план вышли уязвимости веб-приложений , которые превысили уязвимости сетевого уровня и в конце десятилетия составили около 80% от общего числа уязвимостей.

Все большую актуальность приобретают кибератаки и кибертерроризм . В качестве примера можно привести операцию «Аврора», проведенную китайскими хакерами. В тоже время атакам подвергались социальные сети, такие как FaceBook и Twitter. В ходе атаки RockYou пострадало 32 миллиона учетных записей пользователей. Российские хакеры периодически взламывают миллионы кредитных карточек. Атакам продолжают подвергаться сайты университетов, предприятий розничной торговли, государственные учреждения.

В конце 2009-года было выявлено 3100 уязвимостей в коммерческих приложениях. Из них 82% пришлось на веб-приложения. В веб-приложениях 89% уязвимостей пришлось на код коммерческих веб-приложений, 8% уязвимостей были выявлены в веб-браузерах и 3% - в веб-серверах. 19% уязвимостей приходится на Cross-Site Scripting (XSS), 16% приходится на SQL Injection, 8% на веб-браузеры. Большая часть уязвимостей (44%) приходится на остальные уязвимости.

Как уже говорилось выше, 89% всех уязвимостей пришлось на код коммерческих веб-приложений.

В коммерческих приложениях самыми распространенными уязвимостями были межсайтовый скриптинг (XSS) и SQL-инъекции, в приложениях для личного пользования преобладают такие уязвимости как утечка данных, межсайтовый скриптинг и управление сессиями.

В топ 10 уязвимостей второй половины 2009 года вошли такие известные имена как Adobe, HP, Sun, Citrix и Oracle. Продукты Adobe включающие Flash, ColdFusion и Reader, были одними из наиболее часто взламываемых.

Уязвимости браузеров составили 8% от общего числа уязвимостей. Среди веб-браузеров на первом месте по числу уязвимостей оказалась Mozilla Firefox (77 уязвимостей или 44% от общего числа, непропатчены 12%), у Internet Explorer было 44 уязвимости (25% от общего числа, непропатчены 36%), Safari и Google Chrome имели по 25 уязвимостей каждый (по 14% от общего числа), у браузера Opera было отмечено 3 уязвимости (2% от общего числа, 33% непропатчены).

Что касается веб-серверов, на первом месте была Websphere (51%), далее шли Apache (33%), IIS (12%), Domino (4%).

93% веб-приложений имеют уязвимости, могущие привести к потере или разглашению данных в процесс их передачи. Кроме того, в веб-приложениях отмечен целый ряд других уязвимостей.

Рассмотрим распространенные уязвимости веб-приложений подробнее.

Утечки информации и разглашение конфиденциальных сведений (93%)

Транзакции в процессе обычного использования веб-приожений могут раскрыть секретную информацию, принадлежащую другим пользователям. Существует возможность вызвать ошибку приложения за счет ввода неправильной последовательности символов, могущих содержать секретную информацию. Другим примером утечек информации являются HTML-комментарии, которые могут сообщить хакеру информацию о приложении или архитектуре.

Межсайтовый скриптинг позволяет хакеру нарушать целостность кода приложения за счет размещения злонамеренных сценариев в само приложение, часто прямо в базу данных. Это позволяет воровать куки пользовательских сессий, мошенничать или перенаправлять пользователей на вредоносные веб-сайты. В настоящее время межсайтовый скриптинг активно развивается.

Недостаточная аутентификация наблюдается тогда, когда уязвимость в веб-приложении позволяет пользователю войти в систему без ввода корректных учетных данных, например, благодаря хакерской атаке или используя недостатки сайта.

Эта уязвимость позволяет хакеру пользоваться ресурсами с привилегиями пользователя.

Переполнение буфера, целочисленное переполнение, Format String-атаки могут дать злоумышленнику немедленный контроль над веб-приложением и его операционной системой. Иногда это может позволить злоумышленнику вызвать ситуацию отказа от обслуживания за счт вывода из строя уязвимого веб-приложения. В последнее время отмечается уменьшение количества подобных уязвимостей.

Подобные атаки позволяют хакеру выполнять команды в основой базе данных веб-приложения, что дает возможность получить доступ к содержимому базы данных. В некоторых случаях хакер может использовать SQL-инъекцию для проникновения в веб-приложение с черного хода или запуск команд операционной системы. Отмечается скачок приложений с уязвимостями к SQL-инъекциям.

Например, конфигурация по умолчанию некоторых приложений электронной коммерции хранит информацию о транзакциях, включая данные о кредитных карточках в незащищенных каталогах. Наблюдается рост подобных уязвимостей.

Небезопасные разрешения к каталогу могут позволить злоумышленнику получить доступ к веб-сайту или веб-приложению, которое должно было бы быть защищено. В других случаях это делает возможным прямой просмотр содержимого каталога, что облегчает хакеру планирование атаки на сервер. Наблюдается небольшой рост приложений с подобными уязвимостями.

Подделка межсайтового запроса (CSRF) – это атака, обманным путем вынуждающая жертву загрузить веб-страницу с вредоносным кодом. При этом наследуются права и привилегии жертвы и от его имени рассылается электронная почта или совершаются покупки. Доля приложений с подобными уязвимостями осталась на прежнем уровне.

Действия Microsoft, направленные на обеспечение информационной безопасности

Рекомендации для специалистов, обеспечивающих безопасность серверных и клиентских приложений

2. Действия Microsoft, направленные на обеспечение информационной безопасности

Очень важным элементом обеспечения информационной безопасности является непрерывный мониторинг различных угроз для информационных систем. Средства безопасности Майкрософт с согласия пользователей отслеживают состояние 500 млн. компьютеров по всему миру и некоторых наиболее популярных интернет-сервисов. Этот анализ позволяет оценивать активность вредоносного и потенциально нежелательного ПО в различных регионах, выявлять новые разновидности угроз, оценивать эффективность антивирусов, обновлений и новых версий операционных систем.

Microsoft бесплатно предлагает пользователям Windows антивирус MSRT (Malicious Software Removal Tool - Средство удаления вредоносных программ для системы Windows). Для количественной оценки скорости распространения вирусов используется параметр CCM — количество очищенных компьютеров на каждую 1000 запусков средства MSRT. (Аббревиатура "CCM" расшифровывается как "Computers Cleaned per Mille" — очищенных компьютеров на тысячу).

Из всей ситуации вытекают выводы:

• Угрозы для новых операционных систем и пакетов обновления распространяются медленнее, чем для прежних их версий; это относится и к клиентским, и к серверным платформам.

• Темпы распространения угроз для операционной системы Windows 7, выпущенной во втором полугодии 2009-го года, а также для Windows Vista® с пакетом обновления SP2 существенно ниже для обоих типов платформ.

• 64-разрядные версии Windows 7 и Windows Vista SP2 демонстрировали во втором полугодии 2009-го года более низкий уровень заражения (1,4 для обеих ОС), чем любые другие конфигурации операционных систем, хотя показатели для их 32-разрядных версий были более чем в два раза меньше, чем для Windows XP с последним пакетом обновления (SP3).

• Среди операционных систем с пакетами обновления каждый очередной пакет показывал более низкий уровень заражения, чем его предшественник [1].

• Для Windows XP SP3 он составил меньше половины от показателя для SP2, а если сравнивать с SP1, то менее трети.

• Аналогично, показатели заражения Windows Vista SP2 были ниже, чем у версии с SP1, а у нее — ниже, чем у Windows Vista RTM.

• Что касается серверных операционных систем, то Windows Server® 2008 с SP2 показывает уровень заражения 3,0, что на 20% меньше, чем у ее предшественника, Windows Server 2008 RTM.

На следующем рисунке показаны уровни заражения для различных 32-разрядных версий Windows XP и Windows Vista в период с начала 2007-го года по конец 2009-го года.

Во второй половине 2009-го года антивирусы Майкрософт очистили 7,8 млн. компьютеров от вредоносных программ, связанных с фальшивыми программами обеспечения безопасности по сравнению с 5,3 млн. компьютеров в первом полугодии. Что позволяет предположить, что распространители подобных программ получили больше денег, чем распространители менее распространенных типов угроз.

Данные этого раздела получены на основе фильтрации электронной почты с помощью продукта Microsoft Forefront Online Protection для Exchange (FOPE).

Во второй половине 2009-го года выросло число нежелательных сообщений, связанных с мошенничеством с предоплатой (так называемые «нигерийские письма» или «афера 419») и азартными играми.

Мошенничество с предоплатой — распространенное злоупотребление доверием, когда отправитель сообщения заявляет, что имеет право на большую сумму денег, но по некоторой причине не может получить к ней прямой доступ. Обычно указанная причина связана с бюрократией или политической коррупцией. Отправитель просит предполагаемую жертву временно ссудить некоторое количество денег на подкуп официальных лиц или оплату взносов за разблокирование всей суммы. Взамен отправитель обещает некоторый процент от общей суммы, намного превышающий исходную сумму.

Такие сообщения часто связывают с Нигерией («419» относится к статье уголовного кодекса Нигерии, посвященной мошенничеству) и другими странами западной Африки, включая Сьерра-Леоне, Кот-д'Ивуар и Буркина-Фасо.

В последнее время очень популярными стали письма с предложением купить копии популярных швейцарских часов.

Социальные сети подвержены большому давлению со стороны мошеннических фишинговых веб-сайтов. Финансовые организации подвержены фишингу гораздо меньше.

2.1.5. Распределение угроз в домашних и корпоративных средах

Данные о заражении, полученные продуктами и инструментами Майкрософт для защиты настольных ПК от вредоносных программ, включают информацию о принадлежности зараженного компьютера домену доменных служб Active Directory®. Почти всегда домены используются на предприятиях, а компьютеры, не принадлежащие домену, вероятнее всего, используются дома или в других местах, не имеющих отношения к предприятиям. Сравнение угроз, обнаруженных на компьютерах, входящих и не входящих в домены, позволяет получить представление о разных подходах, применяемых злоумышленниками к корпоративным и домашним пользователям, и о том, какие угрозы наиболее успешны в каждой среде.

В подключенных к доменам компьютерах вирусы-черви обнаруживались намного чаще, чем в неподключенных к доменам компьютерах, в основном из-за способа распространения вирусов-червей. Обычно вирусы-черви наиболее эффективно распространяются через незащищенные файловые ресурсы и сменные тома хранилищ, которые больше распространены в корпоративных средах, а не в домашних.

Microsoft предлагает целую линейку средств борьбы с нежелательным ПО. Сюда входят такие антивирусы как Malicious Software Removal Toll, Windows Defender, Microsoft Security Essentials и Forefront Client Security.

Наибольшими возможностями обладает Forefront Client Security.

Microsoft серьезно взялась за повышение безопасности Internet Explorer. Это проявляется, в частности в применении XSS-фильтра и технологии SmartScreen.

По данным Web Application Security Consortium (WASC) из самых распространенных уязвимостей, таких как SQL-инъекции, утечки информации и межсайтовый скриптинг, наиболее распространенными являются XSS-атаки - 41%. На 10 297 сайтов, проверенных в рамках исследования WASC, было обнаружено 28 796 XSS-уязвимостей, которые присутствовали на 31% изученных сайтов.

Для борьбы подобного рода уязвимостями в MS Internet Explorer 8 был установлен XSS-фильтр, призванный обеспечить защиту путем автоматического обнаружения и предотвращения наиболее распространенных XSS-атак без потери производительности или совместимости. Было обнаружено, что 70% возможных угроз, с которыми могут столкнуться пользователи IE8, предотвращаются XSS-фильтром.

Internet Explorer 8 имеет собственный фильтр против фишинга под названием SmartScreen, который производит анализ веб-страниц и предупреждает пользователя в случае нахождения веб-сайта, подозреваемого в фишинге. Для своей работы SmartScreen использует базу данных уже известных фишинговых сайтов, поэтому защита от новых ресурсов, созданных злоумышленниками, является менее эффективной.

Среди новых возможностей IE8 (по сравнению с предыдущими версиями этого браузера) - функция, позволяющая посещать сайты анонимно. При этом не сохраняются файлы cookie, история серфинга и прочие идентификационные данные. Она называется InPrivate и предназначена для того, чтобы пользователи могли скрыть свое посещение каких-либо сайтов от других людей.

Еще одной мерой противодействия вредоносному ПО является технология Data Execution Prevention.

Data Execution Prevention (DEP) (англ. Предотвращение выполнения данных) — функция безопасности, встроенная в семейство операционных систем Windows, которая не позволяет приложению исполнять код из области памяти, помеченной как «только для данных». Она позволит предотвратить некоторые атаки, которые, например, сохраняют код в такой области с помощью переполнения буфера. DEP работает в двух режимах: аппаратном, для процессоров, которые могут помечать страницы как «не для исполнения кода», и программном, для остальных процессоров. Эта функция впервые появилась во втором пакете обновлений для Windows XP.

3.1. Переход на новые версии операционных систем и пакеты обновлений

Каждая новая версия MS Windows безопаснее предыдущей.

Для повышения защищенности клиентских и серверных машин желательно регулярно обновлять компоненты Windows , драйверы и защитное ПО.

Существуют следующие центры обновления Microsoft:

— Обновление систем управления ПО (technet.microsoft.com/updatemanagement/)

— Служба обновления Windows Server (WSUS) (technet.microsoft.com/updatemanagement/bb245780.aspx)

— Средства удаления вредоносного ПО Microsoft Windows (MSRT) ( www.microsoft.com/security/malwareremove/ )

— Windows Update ( www.microsoft.com/windows/downloads/windowsupdate/ )

— Microsoft Update (update.microsoft.com/microsoftupdate).

— Центр решений обновления Microsoft ( support.microsoft.com/ph/6527#tab3).

Часть обновлений устанавливается на все машины, работающие под Windows, часть – устанавливается только на компьютеры с лицензионной ОС (Genuine).

Придание огласке уязвимостей – раскрытие бывает ответственным и безответственным. В случае ответственного раскрытия хакер дает время поставщику ПО на устранение уязвимости и только после этого придает ее огласке. Microsoft периодически публикует бюллетень обнаруженных уязвимостей — Common Vulnerabilities and Exposures (CVE), а также предлагает патчи, устраняющие обнаруженные бреши.

За последние четыре года число разглашений сведений об уязвимостях продуктов Майкрософт последовательно составляло 3–5% от общего числа разглашений во всей отрасли.

Во втором полугодии 2009-го года корпорация Microsoft выпустила 47 бюллетеней по безопасности для устранения 104 отдельных уязвимостей, идентифицированных в списке Common Vulnerabilities and Exposures (CVE) [1].

Для поддержания уровня безопасности информационной системы на высоком уровне необходимо быть в курсе выявленных уязвимостей и регулярно инсталлировать патчи .

Злоумышленники все чаще используют в эксплойтах распространенные форматы файлов в качестве векторов переноса (например, такие форматы как . doc, .pdf, .ppt и .xls). Злоумышленник может создать файл с неверно сформированным разделом для использования уязвимости в программе.

· Пользователи, своевременно не устанавливающие пакеты обновлений и обновления для системы безопасности для приложений Office и операционной системы Windows, входят в группу повышенного риска. В большинстве атак, были задействованы компьютеры с сильно устаревшими установками программ Office.

· Более половины (56,2%) атак была направлена на установки программ Office , которые не обновлялись с 2003 года.

· Для компьютеров из выборки с момента последнего обновления операционной системы в среднем прошло 8,5 месяца, тогда как с момента последнего обновления программ Office прошло 6,1 года, что почти в девять раз дольше.

· Эта данные помогают иллюстрировать тот факт, что пользователи могут тщательно следить за своевременным обновлением Windows и по-прежнему быть подверженными высокому риску атак на основе эксплойтов, если они также регулярно не обновляют другие программы.

Работа современных компаний основана на использовании безопасных ИТ-служб. Семейство продуктов Microsoft Forefront повышает защищенность и управляемость системы безопасности сетевой инфраструктуры. Продукты Microsoft Forefront легко интегрируются друг с другом и с существующей ИТ-инфраструктурой организации. Кроме того, их можно дополнять решениями сторонних производителей, что позволяет создавать законченные решения, обеспечивающие многоуровневую защиту. Упрощение внедрения, управления, анализа и создания отчетов позволяет более эффективно защищать информационные ресурсы предприятий и предоставлять безопасный доступ к приложениям и серверам. Благодаря быстро реагирующему механизму защиты информации, подкрепленному техническими рекомендациями Майкрософт, продукты Microsoft Forefront помогают уверенно противостоять постоянно меняющимся угрозам безопасности и растущим потребностям бизнеса.

Forefront — это ключевой компонент стратегии корпорации Майкрософт по обеспечению полной безопасности корпоративных заказчиков. Основой этой стратегии является надежная защита операционных систем с помощью продуктов Forefront, которые повышают безопасность, обеспечивая дополнительные уровни защиты информации и контроля доступа к наиболее важным данным и корпоративным ресурсам. Технология управления цифровыми правами дополнительно повышает безопасность данных, обеспечивая защиту документов и соблюдение требований относящихся к ним политик, даже если эти документы попадут в чужие руки.

Для защиты серверных и клиентских приложений желательно использовать Microsoft Forefront .

Служба Microsoft Respond Center проверяет миллионы сообщений о проблемах программного обеспечения. На основании этих данных ведется постоянная работа по совершенствованию собственных продуктов компании, а также ведется работа с поставщиками ПО и оборудования, конфликтующего с продуктами Microsoft.

Обратная связь очень важна для повышения качества продуктов Microsoft .

Кроме того существует большое количество форумов и блогов, в которых специалисты могут обсудить наболевшие вопросы в области безопасности (msdn, technet, techday и так далее), регулярно проводятся конференции, на которых специалисты компании встречаются со всеми желающими и обсуждают современные и перспективные проблемы отрасли.

На нашем информационном портале вы узнаете обо всех аспектах копирайтинга. Статьи, интервью, а так же советы ведущих копирайтеров - все к Вашим услугам!

Комментарии

Добавить новый Поиск RSS

Оставить комментарий
Имя:
Email:	не уведомлятьуведомлять
Тема:
UBB-Код:	-цвет-aquablackbluefuchsiagraygreenlimemaroonnavyolivepurpleredsilvertealwhiteyellow -размер-крошечныймаленькийсреднийбольшойогромный
	Пожалуйста, введите проверочный код, который Вы видите на картинке.