Záplatování softwaru se jen tak nezbavíme

Neustálé narůstání zranitelnosti softwaru a vydávání stále nových a nových záplat způsobuje uživatelů stále více bolestí hlavy. Podle výzkumného ústavu Sans Institute bychom se však mohli změny k lepšímu dočkat nejdříve v roce 2009. Které služby jsou nejvíce zranitelné?

Neustálé narůstání zranitelnosti softwaru v uplynulých pěti letech způsobilo uživatelům nemálo bolesti hlavy. Vedoucí bezpečnostní experti varují, že bitva ani zdaleka neskončila a před námi je dalších pět let boje s vážnou bezpečnostní zranitelností a komplikovaným režimem záplatování.

Podle amerického výzkumného ústavu Sans Institute se jen v loňském roce známá zranitelnost v komerčním softwaru zdvojnásobila na více než 2000 případů. K tomuto výsledku dospěl institut na základě výzkumu, na kterém se podílelo 200 světových bezpečnostních expertů z řad výrobců, vládních institucí, univerzit a korporačních uživatelů.

Záplatovat se bude minimálně do roku 2009

Sans předpokládá, že ačkoli jsou poslední verze Windows již vybaveny dostatečnými bezpečnostními mechanismy, bude trvat minimálně do roku 2009, než je začne aplikovat většina softwarových výrobců do svých výrobků a prolomí se tak kruh věčného záplatování. Proto také Sans vyzval organizace, aby stupňovaly svůj tlak na výrobce softwaru.

Nejzranitelnější služby ve Windows

  • Web Servers Services
  • Workstation Service
  • Windows Remote Access Services
  • Microsoft SQL Server (MSSQL)
  • Windows Authentication
  • Web Browsers
  • File-Sharing Applications
  • LSAS Exposures
  • Mail Client
  • Instant Messaging
  • „Výrobci pokračují v prodávání systémů plných kritických chyb a jestliže je my jako uživatelé společně nedonutíme dělat lepší práci, budeme žít se stejnými problémy dalších dvacet let, řekl ředitel výzkumu v Sans Alan Paller. Paller naléhá na uživatele, aby požadovali od výrobců softwaru prověření systémů na zranitelnost a bezpečnostní záruky do svých kontraktů. Průkopníkem této praxe je americká vláda, která tak učinila ve své objednávce deseti tisíců prověřených předkonfigurovaných PC.

    „Klíčem k jakékoli bezpečnosti je konfigurace. Vy máte dvě možnosti, jak dosáhnout optimální konfigurace. Můžete říct, všem svým uživatelům, jak to mají udělat nebo to můžete říct dodavatelů,“ říká Paller. „Dodavatelé kopou a křičí a dělají to neochotně, ale dávají přednost udělat to před ztrátou zisku.“

    Sans vydal žebříček nejzranitelnějších služeb

    Kromě výzvy zveřejnil Sans také žebříček dvaceti nejkritičtějších zranitelných míst, které vyžadují okamžitou nápravu. Top-20 2004 je výsledkem konsenzu nejvýznamnějších bezpečnostních expertů z vládních agentur Velké Británie, USA a Singapuru, vedoucích dodavatelů softwaru, konzultačních firem, univerzitních bezpečnostních programů a mnoha dalších uživatelských organizací a samořejmě také Sans Institutu.

    Nejzranitelnější služby v Unixu

  • BIND Domain Name System
  • Web Server U3 Authentication
  • Version Control Systems
  • Mail Transport Service
  • Simple Network Management Protocol (SNMP)
  • Open Secure Sockets Layer (SSL)
  • Misconfiguration of Enterprise Services NIS/NFS
  • Databases
  • Kernel
  • Jedná se o průběžně aktualizovaný dokument, který obsahuje podrobné návody a další důležité informace pro opravu bezpečnostních chyb. Sans slibuje postupnou aktualizaci seznamu a návodů, tak jak se budou objevovat nové hrozby, ale i nové způsoby ochrany. Zapojit se do tohoto projektu máte možnost i Vy. Vaše zkušenosti v boji s útočníky a jejich eliminováním můžou pomoci ostatním, kteří přijdou po vás. Své návrhy můžete posílat na adresu

    Sans Top-20 2004 jsou ve skutečnosti dva seznamy Top Ten: deset nejvíce využívaných zranitelných služeb ve Windows a deset nejvíce využivaných zranitelných služeb v Unixu a Linuxu. Ačkoli jsou každý rok zaznamenány tisíce bezpečnostních incidentů, drtivá většina z nich se týká právě některé z těchto dvaceti nejzranitelnějších služeb.

    Mezi nejvíce děravé patří již tradičně instant messengery (IM) a peer-to-peer sítě, které mohou obsahovat zadní vrátka pro hackery a nebezpečný kód, a Microsoft LSASS jehož zranitelnosti zneužívá rozšířený červ Sasser. V uplynulých dvanácti měsících se však také objevila nová generace zranitelnosti, kterou trpí mnohonásobné aplikace a nemůže být opravena jedinou záplatou.

    Autoři:
    • Nejčtenější

    Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

    v diskusi je 125 příspěvků

    26. března 2024

    S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo...

    Z jaderné triády zbyly Britům už jen ponorky. A ty musejí posílit

    v diskusi je 76 příspěvků

    27. března 2024

    Jadernou triádu tvoří strategické bombardéry s jadernými zbraněmi, mezikontinentální balistické...

    {NADPIS reklamního článku dlouhý přes dva řádky}

    {POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

    Rusko zastavilo odlet na ISS s první Běloruskou, letět měla i Američanka

    v diskusi je 50 příspěvků

    21. března 2024  10:23,  aktualizováno  14:26

    Ve čtvrtek 21. března se necelých deset minut před půl třetí odpoledne měla vydat na Mezinárodní...

    Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

    v diskusi je 10 příspěvků

    28. března 2024

    Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

    {NADPIS reklamního článku dlouhý přes dva řádky}

    {POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

    Načapali jsme otesánka, který se velkého sousta nezalekne. Boeing 747-400F

    v diskusi je 8 příspěvků

    21. března 2024

    Poté, co na Letiště Václava Havla Praha přestaly v barvách Qatar Airways létat nákladní Boeingy...

    Američané odepsali modul, který je vrátil po půl století na Měsíc

    v diskusi je 13 příspěvků

    28. března 2024,  aktualizováno  11:41

    Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

    Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

    v diskusi je 10 příspěvků

    28. března 2024

    Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

    Úspěšný let prototypu XB-1 vrací do hry cestování nadzvukovou rychlostí

    v diskusi je 30 příspěvků

    27. března 2024  17:17

    Po více než dvaceti letech, od ukončení provozu letounu Concorde, se možná opět dočkáme nadzvukové...

    Jarní bouře ničila před 100 lety Prahu. Napáchala obří škody

    v diskusi je 10 příspěvků

    27. března 2024

    Prahou prošla před 100 lety, 27. března 1924, neobvykle silná jarní bouřka. V části hlavního města...

    Akční letáky
    Akční letáky

    Všechny akční letáky na jednom místě!

    Rána pro britskou monarchii. Princezna Kate má rakovinu, chodí na chemoterapii

    Britská princezna z Walesu Kate (42) se léčí s rakovinou. Oznámila to sama ve videu na sociálních sítích poté, co se...

    Smoljak nechtěl Sobotu v Jáchymovi. Zničil jsi nám film, řekl mu

    Příběh naivního vesnického mladíka Františka, který získá v Praze díky kondiciogramu nejen pracovní místo, ale i...

    Rejžo, jdu do naha! Balzerová vzpomínala na nahou scénu v Zlatých úhořích

    Eliška Balzerová (74) v 7 pádech Honzy Dědka přiznala, že dodnes neví, ve který den se narodila. Kromě toho, že...

    Pliveme vám do piva. Centrum Málagy zaplavily nenávistné vzkazy turistům

    Mezi turisticky oblíbené destinace se dlouhá léta řadí i španělská Málaga. Přístavní město na jihu země láká na...

    Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

    S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo divadelních...