Microsoft: За уязвимости должны краснеть конкуренты

Корпорация Microsoft, выпустившая в рамках последнего обновления безопасности рекордное для себя количество «заплаток», стремится поломать стереотип «дырявости» своих продуктов. Общедоступная статистика по числу уязвимостей в продуктах конкурентов говорит не в их пользу, отмечают в российском представительстве софтверного гиганта.

13 октября Microsoft выпустила 13 обновлений безопасности для своих продуктов – рекордное количество в масштабах одного месяца. Обновления закрывают 34 уязвимости во всех версиях Windows (включая новую Windows 7, еще официально не поступившую в продажу), а также в Internet Explorer (IE), Office, SQL Server и других продуктах корпорации. 34 «заплатки» - также рекордное число для Microsoft, 6 лет назад (в октябре 2003 г.) перешедшей на график ежемесячного выпуска обновлений безопасности. Предыдущий рекорд – 28 «заплаток» за месяц – был поставлен в декабре 2008 г.

8 из 13 обновлений, закрывающих 21 «дыру», Microsoft определила как «критические». Остальные 5 бюллетеней имеют статус «важных», как и 9 описываемых в них уязвимостей. Оставшиеся 4 «дыры» представляют «умеренный» уровень опасности. Для нескольких уязвимостей на момент выпуска «заплаток» уже были написаны эксплойты.

Выпущенные Microsoft патчи закрывают три уязвимости в поставляемом вместе с Windows SMB 2 (Server Message Block), сетевом протоколе распределенной файловой системы, разработанном корпорацией и поддерживаемом многими другими ИТ-вендорами. Еще две «дыры» связаны с реализацией протокола FTP в более ранних версиях веб-сервера IIS (Internet Information Services); две в кодеке Windows Media Runtime. Об уязвимостях в SMB 2 и IIS было известно с начала сентября. О «дыре» в SMB 2 Microsoft публично заявила в начале октября. Несмотря на появление эксплойта, использующего эту уязвимость, случаев атак с его помощью пока не зафиксировано. Уязвимость присутствует в Windows Vista, Windows Server 2008 и предварительных версиях Windows 7, но не в ее финальной версии, которая официально поступит в продажу 22 октября. О «дыре» в FTP, в свою очередь, было заявлено еще 1 сентября. Эксплойт к ней появился в последние дни августа.

За 10 месяцев 2009 г. Microsoft обнаружила около 160 уязвимостей в своих продуктах, в то время как за весь 2008 г. – свыше 155. В совокупности это вдвое больше, чем за 2004 и 2005 гг., первые полные два года ежемесячных обновлений безопасности. Всего же за последние 6 лет Microsoft, если судить по архиву бюллетеней, выпустила около 400 обновлений безопасности, где описаны около 745 уязвимостей, затрагивающих почти все продукты корпорации. Около 230 бюллетеней – свыше половины – касаются критических уязвимостей, позволяющих удаленно устанавливать полный контроль над системой.

«Для установки такого
нового рекорда у компании Microsoft есть две основные причины: это рост
киберкриминальной активности и рост количества написанного кода», - считает Сергей Голованов, ведущий вирусный
аналитик «Лаборатории Касперского». Говоря о влиянии роста киберприступности на
увеличение числа исправлений в коде разработчиков, он приводит такой пример: две
из восьми критических уязвимостей, исправленных в текущем обновлении Microsoft, были обнаружены
сторонними лицами и опубликованы на различных сайтах, которые регулярно
посещаются злоумышленниками для поиска новых способов проведения своих атак. В
предыдущем месяце таких публикаций вообще не было, а всего за этот год их было
три.

Владимир Мамыкин, директор по информационной безопасности Microsoft в России, в свою очередь, считает, что всего 160 брешей на все продукты в 2009 г. – это «крохи по сравнению с горами уязвимостей у конкурентов, заслуга Microsoft, результат хорошей работы по улучшению безопасности». «Неискушенный читатель подумает – много, - продолжает Мамыкин. - А знает ли он, сколько уязвимостей, например, у Mac OS X? Целых 1038! И за 2009 г. (если точно, то с 18.12.2008 г. по 15.10.2009 г.) их число увеличилось на целых 226. И это только в одном продукте. А что же в Microsoft Vista? В ней за всю историю было найдено 140 уязвимостей,  из них за 2009 г. – 60».

При этом, по словам Владимира Мамыкина, Red Hat Enterprise Linux Desktop v5 имеет на сегодня 970 уязвимостей, в 2009 г. он увеличил их число на 367 и почти догнал в лидерстве за самый «дырявый» продукт Mac OS X. Что же касается Ubuntu, то в версии 8.4, выпущенной в апреле 2008 г., на сегодня обнаружено 616 «дыр» , а за 2009 г. – 403.

«Может, с серверами у Microsoft плохо? – спрашивает Мамыкин. - Посмотрим – у Windows Server 2008 на сегодня было найдено 109 уязвимостей, за 2009 г. их число возросло на 67. А у известной Sun Solaris 10 на сегодня 817 «дыр», в 2009 г. их стало больше на 231. Про Red Hat Linux Server v5 говорить не буду – он еще хуже Solaris 10, сами посмотрите на secunia.com – я все данные беру именно оттуда».

Владимир Мамыкин привел статистику и по «дырам» в базах данных. Так, у Microsoft SQL Server 2005 на сегодня 18 уязвимостей, их число выросло за 2009 г. на 8 штук. При этом у Oracle Database 11.x их общее число в 12 раз больше – 223 бреши, и в 2009 г. их добавилось 107. «7 лет назад мне, как директору по информационной безопасности Microsoft, приходилось краснеть за число обнаруженных у нас тогда уязвимостей, - резюмирует он. - Теперь краснеют наши конкуренты. Времена изменились».

То, что времена меняются, - в разных аспектах - подтверждают и другие вендоры. В частности, за последние годы возросла скорость написания эксплойтов, использующих «дыры» в продуктах. Так, по данным исследования Qualys, выпущенного весной этого года, 80% всех эксплойтов появлялись не позже чем через 10 дней после обнаружения уязвимости. При этом, к примеру, в апреле 2009 г. примерно для 50% всех закрытых Microsoft «дыр» на момент выпуска обновления уже существовали эксплойты.

«В последние 2-3 года время написания эксплойтов сократилось, а количество кибератак растет практически в геометрической прогрессии, - подтверждает Максим Коробцев, технический директор Agnitum. - Поэтому ориентированность на устранение критических «дыр» и смена акцентов в продуктовой политике Microsoft, явно прослеживающиеся в последние годы, говорят о стремлении компании давать быстрый ответ на результаты «публичных тестирований» их продуктов». По словам Коробцева, в острой конкурентной борьбе Windows- и Unix-платформ безопасность системы становится одним из решающих аргументов «за». «Архитектура решений Microsoft по-прежнему по умолчанию проигрывает в безопасности Unix-based решениям, так что основная задача Microsoft в данном контексте - сбалансировать скорость устранения имеющихся недостатков в зависимости от их критичности», - полагает он.

«Время между нахождением «дыры», появлением эксплойта и выпуском заплатки у Microsoft, в среднем, сократилось, особенно после пары нашумевших эпидемий червяков, - отмечает Илья Рабинович, исполнительный директор SoftSphere. – То же самое могу сказать про Adobe и Oracle». В то же время, не стоит связывать увеличение числа уязвимостей с ростом киберпреступности, полагает он. «Чем продукт популярнее, тем больше заинтересованные люди ищут в нём «дыр». Вопрос в том, что квалифицированных людей, которые могут делать эту работу, очень немного, и рост киберпреступности, фактически, никак на эту цифру не влияет», - говорит Рабинович.

Аналогичного мнения придерживается Алексей Гребенюк,
независимый вирусный аналитик, ранее директор Центра технической
поддержки «Доктор Веб». «Количество обнаруженных уязвимостей связано
только с качеством разработок и работы специализированных лабораторий
по поиску этих уязвимостей, а вот сокращение времени реакции - с ростом
киберпреступности, - говорит он. - Это попытка вендора защитить
клиента, что является, безусловно, правильным». Гребенюк отмечает, что,
по его наблюдениям, время реакции вендоров за последние 1,5 года явно
имеет тенденцию к уменьшению. 

Сергей Голованов из «ЛК»,
напротив, отмечает, что, в общем и целом, время реакции разработчиков на
публикации уязвимостей значительно не сокращается. «Применительно к Microsoft, оно так и остаётся
около полутора месяцев, - говорит он. - Что касается других вендоров, то там
ситуация зависит от компании, её опыта работы с подобными проблемами, позиций
на рынке, плюс выстроенных процессов на реакцию о публикации уязвимостей».


Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

На форуме продают учётные данные 21 млн пользователей VPN для Android

Неизвестный киберпреступник на популярном хакерском форуме продаёт базы данных, которые, по его словам, содержат логины и пароли пользователей трёх VPN-приложений для мобильной операционной системы Android: SuperVPN, GeckoVPN и ChatVPN. В общей сложности злоумышленник предлагает 21 млн записей.

Это довольно интересная утечка, учитывая, что SuperVPN загрузили более 100 млн пользователей в официальном магазине Android-приложений Google Play Store. У GeckoVPN и ChatVPN результаты поскромнее, однако их тоже нельзя назвать плохими: 10 млн и 50 тыс. соответственно.

Преступник, разместивший на хакерском форуме объявление, продаёт адреса электронной почты и случайно сгенерированные строки, которые используются в качестве паролей. Сумму продавец не назвал, однако известно, что в общей сложности от утечки пострадали 21 млн пользователей VPN-клиентов.

 

Сотрудники издания CyberNews обратились за комментариями к представителям SuperVPN, GeckoVPN, ChatVPN и попросили подтвердить факт компрометации данных. Однако разработчики так и не вышли на связь.

Среди утёкших данных, по словам CyberNews, можно найти адреса электронной почты, имена пользователей, полные настоящие имена, страны проживания, сгенерированные случайным образом строки паролей, платёжную информацию, статус премиального пользователя и срок его действия.

 

Помимо этого, в выставленном на продажу архиве есть и данные об устройствах пользователей: серийный номер девайса, тип смартфона и его производитель, идентификатор устройства, IMSI-номера. Продавец при этом утверждает, что все данные он получил из общедоступных баз.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru