Угрозы безопасности за первую половину 2010 года

Компания IBM представила отчет "Security X-Force", содержащий анализ основных источников угроз безопасности и уровня опасности уязвимостей в программном обеспечении за первую половину 2010 года. В результате проведенного исследования был зафиксирован рост числа уязвимостей на 36% по сравнению с тем же периодом 2009 года.

Число незакрытых уязвимостей в каждый промежуток времени на протяжении всего анализируемого периода сохраняется на уровне 55% от всего числа обнаруженных уязвимостей. Если учитывать характер уязвимости и рассматривать лишь критические уязвимости, которые могут быть использованы для удаленного распространения вредоносного кода, то эта цифра возрастает до 71%. Таким образом, можно сделать вывод, что чем более опасна уязвимость, тем больше времени компании разработчики тратят на ее устранение.

Лидерами среди разработчиков программного обеспечения, которые оставляют незакрытыми большее число уязвимостей являются Sun Microsystems (24%) и Microsoft (23.2%). В прошлом году Microsoft возглавила такой же список, оставив незакрытыми 15.8% уязвимостей, тогда как Sun - 2.6%. Третье место по незакрытым уязвимостям среди разработчиков занимает компания Mozilla (21.3%), за ней следует Apple (12.9%) и IBM (10.3%).

Новичком списка стала компания Google, оставив незакрытыми около 8.6% уязвимостей, тем самым опередив Linux (8.2%). Свою прошлогоднюю позицию сохранила Oracle (6.8%), чуть меньше незакрытых уязвимостей оставила Cisco (6.0%). Покинула рейтинг разработчиков уязвимого программного обеспечения компания Hewlett-Packard (HP), у которой в прошлом году было 14.5% незакрытых уязвимостей. Компания Adobe (2.9%), оставшись на почетном последнем месте рейтинга, ненамного увеличила прошлогодний результат (2.0%):

но.	компания	% незакрытых уязвимостей
		в 2010 года	в 2009 года
1.	Sun Microsystems	24.0%	2.6%
2.	Microsoft	23.2%	15.8%
3.	Mozilla	21.3%	12.1%
4.	Apple	12.9%	9.7%
5.	IBM	10.3%	8.9%
6.	Google	8.6%	??
7.	Linux	8.2%	5.0%
8.	Oracle	6.8%	3.3%
9.	Cisco	6.0%	8.9%
10.	Adobe	2.9%	2.0%

Критические уязвимости дольше всего устраняют: Google (33%), IBM (29%), Linux (20%), Microsoft (11%). Наибольшее число уязвимых приложений было создано для платформы Linux (31%), чуть менее для ОС компании Apple (29%):


Однако среди критических уязвимостей бесспорным лидером стали приложения для ОС компании Microsoft (73%), на втором месте ОС Linux (16%):

но.	компания	% критических уязвимостей	% всех уязвимостей
1.	Microsoft	73%	27%
2.	Apple	9%	29%
3.	Linux	16%	31%
4.	HP-UX	2%	1%
5.	Sun Solaris	0%	4%
6.	BSD	0%	4%
7.	IBM AIX	0%	2%
8.	Другие	2%	4%

Наибольшее распространение за половину 2010 года получили эксплоиты уязвимостей, наиболее простых в реализации:

1. инъекция вредоносного кода через HCP-запрос в Microsoft Help Center;
2. выполнение произвольного программного кода через специально сформированный PDF или SWF файл в приложениях компании Adobe;
3. недостаточная проверка параметров запуска и установки программ через Java Web Start;
4. обход проверки COM-объектов в Microsoft Office;
5. выполнение кода через Microsoft DirectShow в результате открытия специально сформированного видео-файла или изображения;
6. запуск вредоносного кода через ошибки обработки программой Microsoft Excel специально сформированного XLSX файла;
7. уязвимости в SMB клиенте компании Microsoft;
8. ошибки при обработке объектов веб-браузером Internet Explorer;

Основным способом проникновения вредоносного кода в систему остается веб-браузер и программы просмотра текстовых документов (включая PDF). Самыми популярными наборами эксплоитов стали: Gumblar, Fragus, Eleonore, Phoenix и JustExploit.



Общее количество почтового СПАМа продолжает прошлогодний рост, это обусловлено увеличением источников в малоразвитых странах: Бразилии, Индии, России и Вьетнаме. Из-за введения обязательной идентификации владельцев домена .CN, увеличилось число доменов .RU, используемых для спам-рассылок (61.5% от общего числа спам-доменов), при этом местонахождение серверов в Китае сохранилось.

Среди спам-сообщений преобладают сообщения в формате HTML с вставкой графического файла, который размещается на общедоступных веб-сервисах обмена изображений. Таким образом, спамеры скрывают текст сообщения от фильтров почтовых служб.



Количество фишинг-атак и их география сохранилось на уровне прошлого года. Наиболее подвержены фишинг-атакам пользователи Румынии (18.8%), США(14.5%) и Китая (11.3%):

но.	страна	% от общего потока спама
1.	Румыния	18.8%
2.	США	14.5%
3.	Китай	11.3%
4.	ЮжнаяКорея	9.8%
5.	Великобритания	7.2%
6.	Канада	4.7%
7.	Япония	4.3%
8.	Испания	3.2%
9.	Польша	3.0%
10.	Россия	2.9%

Самым распространенным типом фишинг-атаки является рассылка от лица разработчиков программного обеспечения информационных писем с требованием установить обновление безопасности, которое оказывается вредоносной программой или компьютерным вирусом. Самые популярные темы фишинг-атак:

но.	тип фишинг-атаки	% от общего потока фишинг-атак
1.	Оповещение безопасности — Проверка Ваших текущих данных	15.75%
2.	American Express онлайн-форму	6.22%
3.	Важное уведомление	1.95%
4.	Официальная информация	1.78%
5.	Ваш аккаунт был заблокирован	1.73%
6.	Уведомление о занижение доходов	1.70%

Источником фишинг-атак являются компьютерные системы Бразилии, Индии, Южной Кореи и США:

но.	страна	% от общего потока спама
1.	Бразилия	14.3%
2.	Индия	8.2%
3.	Южная Корея	7.8%
4.	США	5.6%
5.	Колумбия	3.4%
6.	Аргентина	3.8%
7.	Чили	3.3%
8.	Германия	3.1%
9.	Польша	2.9%
10.	Россия	2.6%

Повсеместный переход на использование баз данных в качестве основного хранилища информации на веб-сайтах стал причиной увеличения атак с использованием SQL-инъекций. Самыми же распространенными уязвимостями на веб-сайтах остаются XSS.



Большинство уязвимых веб-сайтов используют системы управления контентом сторонних разработчиков, те, кто не используют такие платформы, подвергают веб-сайт дополнительному риску. Несмотря на то, что сами платформы систем управления содержат мало уязвимостей, количество уязвимостей увеличивают различные дополнительные модули, расширяющие функциональность таких систем:


Наибольшее число обнаруженных уязвимостей было зафиксировано для модулей расширения платформы Wordpress, чуть меньше для TYPO3 и Drupal, менее всего для Joomla!.

Ужесточение цензуры в некоторых странах стали причиной роста числа общедоступных анонимных веб-прокси, большинство из этих сервисов расположены на территории США, Англии и Голландии. Наиболее распространенным доменом для веб-прокси в этом первом полугодии 2010 года стал .TK и .CO.CC: