Более подробную информацию о Еве Гальперин смотрите на следующих ресурсах:
• Ева Гальперин в Twitter: https://twitter.com/evacide;
• профиль Евы Гальперин на Electronic Frontier Foundation (EFF): https://www.eff.org/about/staff/eva-galperi.
Каждый день миллионы веб-сайтов и электронных писем содержат ссылки на вредоносные программы, известные как «наборы эксплойтов». Злонамеренные программисты (или команды программистов) создают их, а затем используют или продают. Набор эксплойтов обычно содержит все, что может понадобиться хакеру в цикле эксплойтов, включая круглосуточную техническую поддержку и автоматическое обновление, чтобы не быть пойманным антивирусным сканером. Хороший набор эксплойтов даже найдет и злонамеренно изменит совершенно сторонний веб-сайт, чтобы убедиться, что он выполняется всякий раз, когда посетители просматривают зараженный сайт. Все, что злоумышленник должен сделать, это купить комплект, запустить его и отправить на поиск жертв.
Наборы эксплойтов почти всегда содержат клиентскую часть (программы, функционирующие на рабочих столах конечных пользователей, и код, предназначенный для использования серверов), которая ищет отсутствующие патчи. Они могут проверить от нескольких единиц до десятков уязвимостей. Любой подверженный атаке компьютер сразу же взламывается (то, что также известно как атака drive-by download), в то время как полностью пропатченные веб-серферы обычно получают письмо социальной инженерии, чтобы установить программу троянского коня. Люди, использующие наборы эксплойтов, предпочли бы использовать непропатченные устройства, чем социальную инженерию, потому что не все конечные пользователи автоматически согласятся установить любую программу. Соответствующие уязвимости регулярно обновляются, чтобы набор эксплойтов был как можно более успешным. Большинство наборов эксплойтов даже содержат консоли централизованного управления, чтобы злоумышленники могли проверить, какие уязвимости работают и как заражены устройства.
Даже без использования наборов эксплойтов отсутствующие патчи – одна из самых больших проблем, которые позволяют злоумышленникам успешно эксплуатировать устройства. Это может измениться в один прекрасный день, но пока факт остается фактом на протяжении более трех десятилетий. Чтобы обеспечить себе или своим компьютерам наилучшую защиту от использования уязвимостей ПО, все, что вам нужно делать, это своевременно и последовательно устанавливать патчи. Звучит достаточно просто. Есть даже десятки инструментов, которые могут вам помочь.
К сожалению, эффективная установка патчей остается слишком сложным и трудоемким занятием. За всю свою карьеру, проверяя сотни и тысячи компьютеров, я не думаю, что когда-либо имел дело с устройством, на котором установлены все патчи. Если такое и случалось, то я не могу вспомнить. Это большая редкость.
В следующих разделах мы рассмотрим некоторые очень важные факты, которые большинство людей упускают из виду.
Большинство устройств эксплуатируются вредоносными программами, которые ищут уязвимости, исправленные год или более назад. Опросы показывают, что большая часть эксплуатации происходит от уязвимостей, которые вендор исправил пару лет назад. Некоторый немаловажный процент компьютеров никогда не исправляется. Если вы включите брандмауэр Интернета для обнаружения и идентификации программ эксплуатации, пытающихся заразить ваш компьютер или сеть, то обнаружите попытки использования, которые возможны только с компьютеров, зараженных в течение 15 лет (например, Code Red, SQL Slammer и т. д.). Иногда бывают уязвимости нулевого дня (угрозы, использующие непропатченные уязвимости), но они очень редки и обычно составляют менее 1 % всех успешных атак в Интернете.
В среднем за год 5–6 тысяч различных уязвимостей находятся в сотнях разных программ. Но обычно только несколько программ отвечают за наиболее успешную эксплуатацию. Например, годовой отчет по безопасности Cisco 2014 года (http://www.cisco.com/web/offers/lp/2014-annual-security-report/index.htm) гласил, что на непропатченные Oracle Java приходится 91 % всех успешных веб-эксплойтов. Если вы включите другие четыре лучшие программы, они покроют 100 % всех успешных веб-эксплойтов. Это значит, что любой мог исправить только пять программ и удалить большую часть риска эксплуатации рабочего стола в любой среде. Java больше не эксплуатируется по нескольким причинам (в том числе потому, что основные вендоры браузеров удалили Java по умолчанию из своих браузеров), но то, что стало номером один среди наиболее эксплуатируемых программ, всегда меняется с течением времени. Много лет назад это был DOS, затем Microsoft Windows, Microsoft Outlook или Microsoft Internet Explorer. Сегодня у наиболее эксплуатируемых программ, как правило, есть надстройки браузера, потому что они обычно существуют на нескольких компьютерных платформах. Наиболее эксплуатируемые программы могут измениться, но тот факт, что на горстку наиболее эксплуатируемых программ приходится большая часть риска, вероятно, в ближайшее время останется неизменным.
Существует огромная пропасть в риске использования самой непропатченной программы и наиболее вероятной эксплуатируемой непропатченной программы. Хороший специалист по ИБ понимает разницу и концентрируется на последних (самых опасных). Например, в течение многих лет одной из самых непропатченных программ была Microsoft Visual C++, установленная многими сторонними программами. Тем не менее она вряд ли когда-либо эксплуатировалась, потому что была установлена и использовалась по-разному тысячами различных программ, которые сделали ее трудной в обнаружении и злонамеренном использовании. Правозащитники должны сосредоточиться на латании критических дыр в системе безопасности наиболее часто используемых программ, которые при этом не всегда самые популярные и непропатченные.