Итак некоторые из выводов сделанных Frost & Sullivan:
- число зафиксированных публично уязвимостей возросло на 62% по сравнению с 2009-м годом.
- уязвимостей высокой степени риска было зафиксировано большинство — почти 70% — в 4 раз больше, чем уязвимостей средней степени риска.
- наиболее уязвимой пятеркой приложений признаны Adobe (вдвое больше дыр, чем в ближайшем «конкуренте»), MS Office, RealPlayer, MS IE и Apple Safari. Adobe — это Acrobat и Reader, Shockwave Player, Air и FlashPlayer. Немного выбивается из общей картины HP OpenView NNM, который входит в десятку самых уязвимых приложений 2010-го года.
- более половины всех уязвимостей приходится на бизнес- и мультимедиа-приложения. В СЗИ зафиксировано чуть более одного процента всех уязвимостей.
- по операционкам лидером по числу дыр остается Windows, но MacOS наступает на пятки уже обошла даже Linux, которая находится на третьем месте по числу уязвимостей
- наиболее часто (треть всех проблем) встречаются уязвимостей, связанные с буфферами (в т.ч. переполнение буффера, но не ограничиваясь только им). На втором месте code injection (SQL Injection на 9-м месте). Интересно, что тут возникает некоторая нестыковка с цифрами Veracode. Возможно это связано с тем, что Frost & Sullivan анализировал именно зафикисированные и опубликованные уязвимости, а Veracode просто анализировал различные приложения. Возможно была нестыковка в терминологии. F&S использовал CWE (Common Weakness Enumeration) для описания типов уязвимостей.
- результатом использования большинства (около 50%) уязвимостей является выполнение некоего кода. На втором месте — отказ в обслуживании.
- рост числа уязвимостей в продукции Apple связан с ростом ее популярности.
Какие выводы делает Frost & Sullivan? Во-первых, большое внимание злоумышленников будет направлено на SCADA-решения. Во-вторых, разработчикам мобильных устройств и приложений для них тоже придется уделять большее внимание вопросам борьбы с уязвимостями. В-третьих, исследования уязвимостей — это необходимая задача, от которой никуда не уйти. И, наконец, разработчики ПО должны больше внимания уделять правилам безопасного программирования.
Жаль, что Frost & Sullivan анализировал только иностранные источники информации об уязвимостях — CVE, NVD, а также сайты зарубежных компаний — iDefense, Secunia и т.д. У нас в России есть тоже достойные исследовательские лаборатории. Собственно их всего две, как я понимаю. Это Digital Security Research Group и Positive Technologies Reseacrh Team. Первая ориентируется преимущественно на приложения SAP и Oracle, а вторая — преимущественно на Web-приложения.
> У нас в России есть тоже достойные исследовательские лаборатории. Собственно их всего две, как я понимаю.
Это публичные. А сколько подпольных 😉
> а вторая — преимущественно на Web-приложения.
Обижпаете, гражданин начальник 😉 Мы всем занимаемся.
Просто уязвимости в веб-апликухах часто находятся тупым сканированием, вот они и идут потоком. А для поиска уязвимостей в остальном софте приходитя немножко поработать.
to malotavr: потому-то инфы об уязвимостях в вебаппах горааааздо больше, чем в остальном софте — трудозатраты-то нужно оплачивать 😉
Я же написал "преимущественно" 😉 Просто на вашем сайте в списке последних бюллетеней в основном одни Web-приложения. Хотя есть и не только они, не спорю.
При чем здесь оплата трудозатрат?
Веб-приложение отличается от всего остального двумя особенностями:
1. При работе методом черного ящика отыскать в нем уязвимости гораздо проще, чем в других типах приложений
2. "Пряморукость" программистов — притча во языцех, и разработчики веб-приложений не исключение
3. Веб-приложение — это приглашение для проникновения ("Начинайте ломать здесь")
В силу п. 3 при пентесте на веб-приложения приходится обращать внимание в первую очередь. В силу п. 1 удается охватить все доступные веб-приложения заказчиков. В силу п. 2 в результате получаются туева хуча уязвимостей. Большая их часть — уникальный продукт, укоторый имеет отношение только к заказчику. Но чвасто проскакивают уязвимости в CMS — тогда приходится писать адвизори и отправлять его разработчикам CMS. Сизифов труд.
> При чем здесь оплата трудозатрат?
take it easy, не принимайте буквально 🙂 Я лишь имел в виду то же, что и Вы. "Для поиска уязвимостей в остальном софте" требуется несколько другая квалификация ищущего.