Administratorzy skupiają się na łataniu najnowszych błędów wykrywanych w popularnym oprogramowaniu. Zapominają przy tym o usuwaniu starszych luk i stosowaniu podstawowych zabezpieczeń. Z raportu przygotowanego przez firmę TrustWave wynika natomiast, że znaczna część włamań wciąż przeprowadzana jest przy wykorzystaniu starych luk i opisanych już dawno metod ataku.

Raport przygotowany został na podstawie analizy danych z ponad 1900 testów penetracyjnych oraz ponad 200 prawdziwych włamań. Z dokumentu wynika m.in. że działy IT dużych firm mają często źle zorganizowane procedury aktualizowania oprogramowania. Podstawowy problem wynika z faktu, iż administratorzy skupiają się na najnowszych, często nagłaśnianych przez media, lukach w oprogramowaniu, zapominając przy tym o starszych i mniej poważnych błędach.

Efektem stosowania nieprawidłowych procedur jest to, że włamania do infrastruktury informatycznej amerykańskich firm często przeprowadzane są z wykorzystaniem nie najnowszych, nagłośnionych luk, lecz starszych, zapomnianych błędów w popularnym oprogramowania. "Dotyczy to zresztą nie tylko samych błędów, ale też pewnych metod ataku - niektóre z nich wciąż są niezmiernie popularne wśród cyberprzestępców, mimo iż media poświęcają im mało uwagi" - tłumaczą autorzy raportu.

Z raportu wynika, iż trzema najpopularniejszymi metodami włamywania się wciąż są: wykorzystanie aplikacji do zdalnego dostępu do komputera, bezpośrednie podłączenie się do atakowanej sieci (np. z terenu firmy) oraz atak typu SQL injection. To swoisty paradoks, ponieważ wszystkie te metody są doskonale znane i istnieją skuteczne sposoby zabezpieczenia się przed nimi. Problem w tym, że administratorzy tak bardzo skupiają się na zwalczaniu najnowszych zagrożeń (nowych exploitów, luk zero-day itp.), że zapominają często o zastosowaniu zupełnie podstawowych zabezpieczeń.

Bardzo powszechnym błędem jest fatalne zabezpieczanie wykorzystywanych w firmach interfejsów aplikacji webowych - np Websphere czy Cold Fusion. Okazuje się, że w niektórych przypadkach administratorzy nawet nie ustawiali tam zabezpieczenia hasłem, wskutek czego napastnik mógł bez problemu umieścić na serwerze webowym szkodliwy kod.

Powszechnym problemem jest także zapominanie o odpowiednim zabezpieczeniu sprzętu sieciowego. Chodzi tu m.in. o pozostawianie domyślnych, fabrycznych haseł na routerach, czy switchach, a także umieszczanie na dostępnym z zewnątrz serwerze aplikacji i danych, które powinny być dostępne wyłącznie dla pracowników firmy. Często zdarzają się również przypadki nieprawidłowego konfigurowania firewalli, a także korzystania ze źle zabezpieczonych sieci bezprzewodowych. Popularne jest zabezpieczanie WiFi przestarzałym standardem WEP.

"Mamy tu do czynienia z dwoma niepokojącymi trendami. Jeden polega na tym, że w systemach informatycznych wielkich firm wciąż znajdujemy znane od lat - czasami nawet 20 czy 30 - luki w programach i błędy w zabezpieczeniach. Drugie zjawisko jest jeszcze bardziej niepokojące - wygląda na to, że przestępcy coraz częściej próbują wykorzystywać stare luki i używają do tego najnowocześniejszych narzędzi" – twierdzi Nicholas Percoco, wiceprezes działającego w ramach TrustWave zespołu badawczego SpiderLabs.

Źródło: computerworld.pl