Zagrożenia w Internecie
- NetWorld,
- 07.06.2002
Ocena bezpieczeństwa w Internecie
1 maja 2001 zainaugurowano program AlertCon - formalny system oceny poziomu bezpieczeństwa w Internecie, prowadzony przez firmę ISS. W systemie tym stosowana jest skala czterostopniowa:
AlertCon 1 - poziom podstawowy: nasilenie wszystkich ataków na wszystkie sieci podłączone do Internetu.
AlertCon 2 - poziom sugerujący zwiększoną czujność, związaną z wykryciem możliwości pojawienia się skoncentrowanych ataków.
AlertCon 3 - poziom oznaczający pojawienie się skoncentrowanych ataków; wymagane jest podjęcie natychmiastowych działań obronnych.
AlertCon 4 - poziom oznaczający pojawienie się skoncentrowanych, nieustających ataków; niezbędne są natychmiastowe, skoncentrowane działania obronne.
Średnia dla I kwartału 2002 wyniosła w tej skali 1,5:
AlertCon 1 - 56 dni
AlertCon 2 - 32 dni
AlertCon 3 - 2 dni
AlertCon 4 - 0 dni.
Uzyskany wynik średni oznacza w praktyce, że nie zabezpieczone w żaden sposób urządzenie zostanie zaatakowane w czasie krótszym niż jeden dzień od podłączenia do Internetu. Informacje o poziomie zagrożenia są ogłaszane codziennie.
Źródła informacji
Obecna również na polskim rynku firma Internet Security Systems monitoruje ponad 350 systemów wykrywania intruzów RealSecure, zainstalowanych w sieciach klienckich. Odbywa się to poprzez 5 centrów operacyjnych (Security Operations Centers), działających na 3 kontynentach w systemie 24 godziny przez 7 dni tygodnia. Informacje są gromadzona i analizowane w Światowym Centrum Operacyjnym Zagrożeń (Global Threat Operations Center) firmy ISS w Atlancie. Dodatkowe informacje pochodzą z: ponad 400 zarządzanych zapór ogniowych monitorowanych w SOC, badań prowadzonych na zlecenie klientów korporacyjnych, badań ISS X-Force oraz kontaktów z przedstawicielami przemysłu, rządu, szkół wyższych oraz mediów.
Wirusy
W badanym okresie ISS zidentyfikował 112 nowych wirusów, co oznacza, że problem ochrony antywirusowej pozostaje bardzo istotny, a stosowne oprogramowanie powinno być aktualizowane na bieżąco. Wiele wirusów rozprzestrzenia się jako załączniki do poczty elektronicznej o tytułach zachęcających do ich otworzenia, jak np. "nowe zdjęcia z przyjęcia" albo "rewelacyjna oferta specjalna".
Słabe punkty i miejsca narażone na ataki
W ostatnim kwartale jednostka badawcza ISS - X-Force - doniosła o wykryciu 537 istotnych słabych punktów (luk) w systemach IT, przez które może nastąpić włamanie, w tym:
- w protokole SNMP 1 (Simple Network Management Protocol), jednym z najczęściej wykorzystywanych w Internecie. ISS ocenia, że blisko 95 proc. wszystkich systemów operacyjnych, ruterów, przełączników, modemów i zapór ogniowych wykorzystuje tę właśnie wersję SNMP;
- w PHP (Popular Hypertext Preprocessor), popularnym języku skryptowym wykorzystywanym w aplikacjach www;
- w funkcji logowania do wielu systemów operacyjnych opartych na Uniksie, co umożliwia hakerom zdalne wydawanie poleceń przy uprawnieniach użytkownika uprzywilejowanego;
- w systemie Instant Messenger firmy America On-Line, co pozwala hakerom na zdalne wydawanie poleceń w zaatakowanym systemie;
- w środowisku Common Desktop Environment (CDE), używanym w wielu systemach uniksowych, co pozwala na przejęcie przez hakerów całkowitej kontroli nad zdalnymi systemami;
- istnienie pięciu słabych punktów w swoim oprogramowaniu ogłosiła firma Microsoft. Dostępne jest oprogramowanie korygujące;
- znaleziono słaby punkt w funkcji LiveUpdate firmy Symantec, pozwalający hakerom na oglądanie danych uwierzytelniających;
- firma Cisco poinformowała o wykryciu słabych punktów w przełącznikach Catalyst serii 4000, 5000, 6000 oraz 2948G i 2900. Firma ostrzega, że znane są już hakerom;
- odkryto również słabe punkty w produktach ISS: BlackICE, Defender oraz BlackICE Agent, jak również w instalacjach RealSecure Server Sensor, które mogą umożliwiać atak na systemy Windows 2000 i Windows XP. Dostępne jest oprogramowanie korygujące.