Záplatování softwaru se jen tak nezbavíme

Neustálé narůstání zranitelnosti softwaru a vydávání stále nových a nových záplat způsobuje uživatelů stále více bolestí hlavy. Podle výzkumného ústavu Sans Institute bychom se však mohli změny k lepšímu dočkat nejdříve v roce 2009. Které služby jsou nejvíce zranitelné?

Neustálé narůstání zranitelnosti softwaru v uplynulých pěti letech způsobilo uživatelům nemálo bolesti hlavy. Vedoucí bezpečnostní experti varují, že bitva ani zdaleka neskončila a před námi je dalších pět let boje s vážnou bezpečnostní zranitelností a komplikovaným režimem záplatování.

Podle amerického výzkumného ústavu Sans Institute se jen v loňském roce známá zranitelnost v komerčním softwaru zdvojnásobila na více než 2000 případů. K tomuto výsledku dospěl institut na základě výzkumu, na kterém se podílelo 200 světových bezpečnostních expertů z řad výrobců, vládních institucí, univerzit a korporačních uživatelů.

Záplatovat se bude minimálně do roku 2009

Sans předpokládá, že ačkoli jsou poslední verze Windows již vybaveny dostatečnými bezpečnostními mechanismy, bude trvat minimálně do roku 2009, než je začne aplikovat většina softwarových výrobců do svých výrobků a prolomí se tak kruh věčného záplatování. Proto také Sans vyzval organizace, aby stupňovaly svůj tlak na výrobce softwaru.

Nejzranitelnější služby ve Windows

  • Web Servers Services
  • Workstation Service
  • Windows Remote Access Services
  • Microsoft SQL Server (MSSQL)
  • Windows Authentication
  • Web Browsers
  • File-Sharing Applications
  • LSAS Exposures
  • Mail Client
  • Instant Messaging
  • „Výrobci pokračují v prodávání systémů plných kritických chyb a jestliže je my jako uživatelé společně nedonutíme dělat lepší práci, budeme žít se stejnými problémy dalších dvacet let, řekl ředitel výzkumu v Sans Alan Paller. Paller naléhá na uživatele, aby požadovali od výrobců softwaru prověření systémů na zranitelnost a bezpečnostní záruky do svých kontraktů. Průkopníkem této praxe je americká vláda, která tak učinila ve své objednávce deseti tisíců prověřených předkonfigurovaných PC.

    „Klíčem k jakékoli bezpečnosti je konfigurace. Vy máte dvě možnosti, jak dosáhnout optimální konfigurace. Můžete říct, všem svým uživatelům, jak to mají udělat nebo to můžete říct dodavatelů,“ říká Paller. „Dodavatelé kopou a křičí a dělají to neochotně, ale dávají přednost udělat to před ztrátou zisku.“

    Sans vydal žebříček nejzranitelnějších služeb

    Kromě výzvy zveřejnil Sans také žebříček dvaceti nejkritičtějších zranitelných míst, které vyžadují okamžitou nápravu. Top-20 2004 je výsledkem konsenzu nejvýznamnějších bezpečnostních expertů z vládních agentur Velké Británie, USA a Singapuru, vedoucích dodavatelů softwaru, konzultačních firem, univerzitních bezpečnostních programů a mnoha dalších uživatelských organizací a samořejmě také Sans Institutu.

    Nejzranitelnější služby v Unixu

  • BIND Domain Name System
  • Web Server U3 Authentication
  • Version Control Systems
  • Mail Transport Service
  • Simple Network Management Protocol (SNMP)
  • Open Secure Sockets Layer (SSL)
  • Misconfiguration of Enterprise Services NIS/NFS
  • Databases
  • Kernel
  • Jedná se o průběžně aktualizovaný dokument, který obsahuje podrobné návody a další důležité informace pro opravu bezpečnostních chyb. Sans slibuje postupnou aktualizaci seznamu a návodů, tak jak se budou objevovat nové hrozby, ale i nové způsoby ochrany. Zapojit se do tohoto projektu máte možnost i Vy. Vaše zkušenosti v boji s útočníky a jejich eliminováním můžou pomoci ostatním, kteří přijdou po vás. Své návrhy můžete posílat na adresu

    Sans Top-20 2004 jsou ve skutečnosti dva seznamy Top Ten: deset nejvíce využívaných zranitelných služeb ve Windows a deset nejvíce využivaných zranitelných služeb v Unixu a Linuxu. Ačkoli jsou každý rok zaznamenány tisíce bezpečnostních incidentů, drtivá většina z nich se týká právě některé z těchto dvaceti nejzranitelnějších služeb.

    Mezi nejvíce děravé patří již tradičně instant messengery (IM) a peer-to-peer sítě, které mohou obsahovat zadní vrátka pro hackery a nebezpečný kód, a Microsoft LSASS jehož zranitelnosti zneužívá rozšířený červ Sasser. V uplynulých dvanácti měsících se však také objevila nová generace zranitelnosti, kterou trpí mnohonásobné aplikace a nemůže být opravena jedinou záplatou.

    Autoři:
    • Nejčtenější

    Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

    v diskusi je 125 příspěvků

    26. března 2024

    S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo...

    Z jaderné triády zbyly Britům už jen ponorky. A ty musejí posílit

    v diskusi je 76 příspěvků

    27. března 2024

    Jadernou triádu tvoří strategické bombardéry s jadernými zbraněmi, mezikontinentální balistické...

    {NADPIS reklamního článku dlouhý přes dva řádky}

    {POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

    Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

    v diskusi je 45 příspěvků

    28. března 2024

    Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

    Američané odepsali modul, který je vrátil po půl století na Měsíc

    v diskusi je 22 příspěvků

    28. března 2024,  aktualizováno  11:41

    Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

    {NADPIS reklamního článku dlouhý přes dva řádky}

    {POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

    Velký železniční KVÍZ: Máte-li dost páry, zkuste vytřít zrak Sheldonovi

    v diskusi je 5 příspěvků

    23. března 2024

    Projeďte se aktivně historií železniční dopravy, ve světě i doma. Čekají na vás otázky rozmanité, z...

    Za vyhynutím dinosaurům mohla být i doba temna

    v diskusi nejsou příspěvky

    29. března 2024

    Dopad planetky je nyní většinou odborníků považován za hlavní příčinu vyhynutí zhruba 73 až 76 %...

    Podívejte se na Boeing C-17 Globemaster, který do Česka přivezl nové vrtulníky

    v diskusi jsou 3 příspěvky

    29. března 2024

    V sobotu 23. března dosedl v Praze nákladní letoun USAF, který vezl obzvlášť cenný náklad. Z...

    Dočasná raketa se po téměř 70 letech loučí. Bude startovat naposledy

    v diskusi je 5 příspěvků

    28. března 2024  15:36,  aktualizováno  19:54

    Tento čtvrtek stojí na startovací rampě mysu Canaveral poslední potomek raket Thor, nosič Delta IV...

    Američané odepsali modul, který je vrátil po půl století na Měsíc

    v diskusi je 22 příspěvků

    28. března 2024,  aktualizováno  11:41

    Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

    Smoljak nechtěl Sobotu v Jáchymovi. Zničil jsi nám film, řekl mu

    Příběh naivního vesnického mladíka Františka, který získá v Praze díky kondiciogramu nejen pracovní místo, ale i...

    Rejžo, jdu do naha! Balzerová vzpomínala na nahou scénu v Zlatých úhořích

    Eliška Balzerová (74) v 7 pádech Honzy Dědka přiznala, že dodnes neví, ve který den se narodila. Kromě toho, že...

    Pliveme vám do piva. Centrum Málagy zaplavily nenávistné vzkazy turistům

    Mezi turisticky oblíbené destinace se dlouhá léta řadí i španělská Málaga. Přístavní město na jihu země láká na...

    Velikonoce 2024: Na Velký pátek bude otevřeno, v pondělí obchody zavřou

    Otevírací doba v obchodech se řídí zákonem, který nařizuje, že obchody s plochou nad 200 čtverečních metrů musí mít...

    Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

    S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo divadelních...