Vídeo: AMAZING STREET HACK (De novembre 2024)
Productes de tercers tenen un èxit
A ningú no li sorprendrà saber que el nombre total de vulnerabilitats conegudes està creixent any rere any, o que la majoria confia en un atac de xarxa remota per penetrar en xarxes vulnerables. Tanmateix, els defectes importants en els sistemes operatius i els sistemes de Microsoft estan esdevenint una part més petita i més petita del total. Secunia informa que el 86 per cent de les vulnerabilitats actives del 2012 van afectar productes de tercers com Java, Flash i Adobe Reader. El 2007, les vulnerabilitats de tercers representaven menys del 60 per cent del total.
Al costat dels avantatges, la finestra perillosa entre el descobriment d'una vulnerabilitat i la creació d'un pegat és cada vegada més petita. Secunia informa la disponibilitat de pedaços del mateix dia per al 80 per cent d'aquestes amenaces el 2012, fins a superar una mica més del 60 per cent el 2007. Això deixa un 20 per cent que no té pegat el mateix dia, o fins i tot en 30 dies, però manté tot el programari actualitzat us garantirà que aconsegueu tots els pegats del mateix dia.
SCADA inseguretat
Els informes de revisió del 2013 sobre les vulnerabilitats dels sistemes SCADA (Control Supervisori i Adquisició de Dades). Aquests sistemes controlen fàbriques, centrals elèctriques, reactors nuclears i altres instal·lacions industrials molt significatives. El famós cuc Stuxnet va destruir centrífugues d’enriquiment d’urani a Iran en fer-se càrrec dels seus controladors SCADA.
Segons Secunia, "el programari SCADA actualment es troba en la fase actual del programari existent fa 10 anys… Moltes vulnerabilitats romanen inadequades durant més d'un mes al programari SCADA." Un gràfic temporal de les vulnerabilitats SCADA representatives revela que diversos de la categoria d’alt risc van romandre inadequats durant més de 90 dies.
En teoria, els sistemes SCADA haurien de ser menys vulnerables perquè no estan connectats a Internet. A la pràctica, no sempre és així, i fins i tot una connexió de xarxa local podria veure's compromesa pels atacants. Un "gap d'aire" total, sense cap connexió de xarxa, no protegia les centrífugues Stuxnet. Van caure víctimes de les unitats USB infectades que els tècnics van introduir sense saber-ho. Evidentment, els venedors de programari SCADA tenen una mica de treball fins a mantenir la seguretat i eliminar els pedaços.
Els hackers van per l’or
Una vulnerabilitat d'un dia zero és la que s'ha descobert, una vulnerabilitat la qual no existeix cap pegat. L’informe de Secunia inclou un gràfic informatiu que informa del nombre de zero dies que es troben cada any en els 25 primers programes més populars i en els 50, 100, 200 i 400 primers llocs. 15 dies zero.
El que és més interessant és que en un any determinat, els números gairebé no canvien a mesura que creix el conjunt de programes potencialment compromesos. Gairebé tots els dies zero afecten els programes més populars. En realitat té molt sentit. El fet de descobrir un defecte del programa que ningú més ha trobat mai requereix molta recerca i molta feina. Només té sentit que els hackers es concentrin en els programes més distribuïts. Una explotació que pren el control total sobre el sistema de la víctima no val molt si només un sistema de cada milió té instal·lat el programa vulnerable.
Més per aprendre
He arribat als punts més elevats, però hi ha molt més que aprendre de l'informe de vulnerabilitat de Secunia. Podeu descarregar l’informe sencer des del lloc web de Secunia. Si l'informe complet sembla una mica aclaparador, no patiu. Els investigadors de Secunia també han preparat una infografia que colpeja tots els punts àlgids.