Представим себе ситуацию: на почтовые адреса сотрудников выпадают осадки в виде каких-то писем с вполне невинно выглядящими вложениями — обычные документы Microsoft Office. Возможно даже, кто-то из сотрудников ждал, что ему придут подобные документы и потому открыл вложение. Быстро удостоверился, что это что-то совершенно не то, закрыл документ и удалил письмо. То, что «осадки» были радиоактивные, ему было невдомёк. А дальше всё как по хрестоматии: вложение содержало эксплойт нулевого дня для Microsoft Office, о котором ещё никто, кроме злоумышленников, не знал. На заражённый компьютер подсадили инструмент для удалённого администрирования, а затем важная информация утекает из компании и становится достоянием либо конкурентов, либо широкой общественности.
Для компании HBGary Federal очень похожая история закончилась плачевнейшим образом: сама компания закрыта, а её «родительское» предприятие сменило владельцев. Всё это случилось в результате стычки с пресловутыми Anonymous. Руководство HBGary Federal на свою беду решило помочь усилиям ФБР в действиях против «хактивистов», и получило совершенно ассиметричный ответ, включавший угон и публикацию тысяч сообщений из корпоративной почты. Из этих писем следовало, что HBGary занимались не самой чистоплотной деятельностью.
Если говорить про конкретные уязвимости, то проблема HBGary Federal заключалась в её из рук вон плохо выполненной системе управления контентом (CMS). Скомпрометировать её удалось с помощью самой банальной SQL-инжекции, затем из базы данных были извлечены хэши пользовательских паролей, вскрыть которые удалось с помощью т.н. радужных таблиц. А дальше выяснилось, что бывшие руководители HBGary Federal пользовались одними и теми же несложными паролями для большого количества разных сервисов…
HBGary — не единственный пример, когда уязвимости в ПО (в том числе, сетевом) создавали множеству проблем для коммерческих компаний. Среди других громких случаев — подсаживание с помощью набора эксплойтов Darkleech вредоносного кода на субдомен сайта газеты Los Angeles Times, а также сетевые ресурсы Seagate и ряда других уважаемых компаний. В определённый момент даже гиперпопулярный ресурс Speedtest.net оказался разносчиком вредоносного софта.
Ситуация с уязвимостями в популярном ПО в мире, по правде говоря, неважная. Очень неважная. В основном потому, что самый популярный софт систематически оказывается самым уязвимым.
Вот так на конец прошлого года выглядел список наиболее уязвимого ПО.
В прошлом году мы провели анализ данных, полученных из Kaspersky Security Network и выявили 132 миллиона уязвимых приложений в целом. Источником данных стали компьютеры 11 млн пользователей. Таким образом, на каждого из них приходилось более 12 уязвимостей.
806 уязвимостей имели уникальный характер. Уточню, что речь идёт о машинах на базе Microsoft Windows. Самая старая из этих уязвимостей впервые была выявлена в феврале 2003 года. Самая свежая — в декабре 2012 года.
Из этого количества мы отобрали 37 наиболее опасных брешей. Главный критерий заключался в том, что программы, содержащие эти уязвимости, были установлены и использовались как минимум неделю в течение 2012 года более чем у 10% пользователей PC. Из этих 37 мы отобрали восемь уязвимостей, которые киберпреступники использовали особенно рьяно: эксплойты для них присутствуют во всех примечательных наборах вредоносных «инструментов».
Самым «пострадавшим» можно считать семейство ПО Oracle Java: из восьми регулярно эксплуатируемых уязвимостей пять приходится как раз на него. Ещё две — на Adobe Flash, и одна — на Adobe Reader.
И что самое прискорбное, как раз-таки эти программы пользователи обновляют наименее охотно. Например, через семь недель после выхода новой версии Oracle Java, только 30% юзеров снизошли до неё. И это при наличии более чем реальной угрозы потерять данные.
Парадокс? Едва ли. Просто уязвимости в браузерах и операционной системе Windows у всех на слуху, потому что в своё время по этому поводу в СМИ стоял большой шум. Чего нельзя сказать про Java. Поэтому 30% пользователей установят себе новые версии браузеров в течение недели, а про обновления Java надо напоминать.
Java — не только один из самых уязвимых продуктов, он ещё и самый, подчёркиваю, самый атакуемый. 2012 год — это год уязвимой Java: 50% атак с использованием эксплойтов были направлены именно на это ПО.
Неудивительно: Java — кроссплатформенный софт, установленный на более чем трёх миллиардах устройств по всему миру, работающих под самыми разными операционными системами. Соответственно, эксплойты тоже вполне могут быть кроссплатформенными — ботнет Flashfake, состоявший из компьютеров на базе Mac OS X, тому доказательство.
Второе место в списке наиболее атакуемых программ в 2012 году прочно занял Adobe Reader — 28% атак были направлены на него. Надо, впрочем, отдать должное Adobe — они взялись за укрепление безопасности своих разработок. В Reader, в частности, добавлены защитные инструменты, так что создание новых эксплойтов для новых версий пакета значительно затруднено. Но — ключевое слово тут «новые», а учитывая, что пользователи не слишком спешат обновлять своё ПО, проблема в ближайшее время скорее всего сохранится.
На третьем месте оказались Windows и Internet Explorer — на них приходились 3% атак. Активные эксплойты до сих пор метят в уязвимости, выявленные ещё в 2010 году. Одна из них связана с некорректной обработкой файлов JPEG. Но в целом атаки непосредственно против Windows и её компонентов сегодня происходят куда реже, чем атаки, направленные на стороннее ПО под этой операционной системой.
На четвёртом месте — мобильная операционная система Android. 2% атак, большая часть связана с попытками получения root-привилегий.
Именно уязвимости в софте представляют наибольшую угрозу для пользователей — как индивидуальных, так и корпоративных. Операционная система сама по себе может быть хорошо защищена или не представлять особого интереса для злоумышленников по причине низкого распространения, но если под неё есть популярный софт, а в популярном софте — большие щели, желающие пролезть сквозь них непременно найдутся. Взломам может подвергаться и не только самый распространённый софт: если речь идёт о целенаправленных атаках, то какие-либо узкопрофессиональные программные пакеты тоже могут обеспечить злоумышленникам заветную лазейку.