Video: Watch these hackers crack an ATM in seconds (November 2024)
Producten van derden Take a Hit
Niemand zal verrast zijn om te horen dat het totale aantal bekende kwetsbaarheden jaar na jaar groeit, of dat de meeste op een externe netwerkaanval vertrouwen om kwetsbare netwerken binnen te dringen. Echter, belangrijke gebreken in Microsoft-besturingssystemen en -programma's worden een steeds kleiner deel van het totaal. Secunia meldt dat 86 procent van de actieve kwetsbaarheden in 2012 producten van derden beïnvloedde, zoals Java, Flash en Adobe Reader. In 2007 maakten kwetsbaarheden van derden minder dan 60 procent van het totaal uit.
Aan de positieve kant wordt het gevaarlijke venster tussen het ontdekken van een kwetsbaarheid en het maken van een patch kleiner. Secunia rapporteert 80 dagen van deze bedreigingen dezelfde dag voor 80 procent van deze bedreigingen, een stijging van iets meer dan 60 procent in 2007. Dat betekent dat 20 procent geen patch heeft op dezelfde dag, of zelfs binnen 30 dagen, maar al uw software bijgewerkt zorgt ervoor dat u al die patches op dezelfde dag krijgt.
SCADA Onveiligheid
De beoordelingsrapporten van 2013 over kwetsbaarheden in SCADA-systemen (Toezichtcontrole en Gegevensverzameling). Deze systemen besturen fabrieken, energiecentrales, kernreactoren en andere zeer belangrijke industriële installaties. De beruchte Stuxnet-worm vernietigde uraniumverrijkingscentrifuges in Iran door hun SCADA-controllers over te nemen.
Volgens Secunia: "SCADA-software bevindt zich vandaag in het stadium dat mainstream-software 10 jaar geleden was… Veel kwetsbaarheden blijven langer dan een maand in SCADA-software ongecontroleerd." Een time-to-patch-grafiek van representatieve SCADA-kwetsbaarheden onthult dat verschillende in de categorie met hoog risico meer dan 90 dagen ongecontroleerd bleven.
In theorie zouden SCADA-systemen minder kwetsbaar moeten zijn omdat ze niet met internet zijn verbonden. In de praktijk is dat niet altijd het geval, en zelfs een lokale netwerkverbinding kan door aanvallers worden aangetast. Een totale "luchtspleet", zonder enige netwerkverbinding, beschermde de Stuxnet-centrifuges niet. Ze werden het slachtoffer van geïnfecteerde USB-drives die onbewust door technici waren geplaatst. Het is duidelijk dat SCADA-softwareleveranciers nog wat werk te doen hebben wat betreft het handhaven van de beveiliging en het verwijderen van patches.
Hackers gaan voor het goud
Een zero-day kwetsbaarheid is er een die net is ontdekt, een kwetsbaarheid waarvoor geen patch bestaat. Het rapport van Secunia bevat een informatieve grafiek die het aantal nuldagen vermeldt dat elk jaar wordt gevonden in de top 25 van de meest populaire programma's, en in de top 50, 100, 200 en 400. De totale cijfers verschillen van jaar tot jaar, met een piek in 2011 met 15 nuldagen.
Wat interessanter is, is dat binnen een bepaald jaar de cijfers nauwelijks veranderen naarmate de pool van potentieel gecompromitteerde programma's groeit. Bijna alle nuldagen zijn van invloed op de populairste programma's. Dat is eigenlijk heel logisch. Het ontdekken van een programmafout die niemand anders ooit heeft ontdekt, vereist veel onderzoek en hard werken. Het is alleen logisch voor hackers om zich te concentreren op de meest verspreide programma's. Een exploit die totale controle over het systeem van het slachtoffer neemt, is niet veel waard als slechts één systeem op een miljoen het kwetsbare programma heeft geïnstalleerd.
Meer te leren
Ik heb de hoogtepunten bereikt, maar er is nog veel meer te leren van het kwetsbaarheidsrapport van Secunia. U kunt het hele rapport downloaden van de website van Secunia. Maak je geen zorgen als het volledige rapport een beetje overweldigend lijkt. De onderzoekers van Secunia hebben ook een infographic opgesteld die alle hoogtepunten raakt.
