Video: 97% Owned - Economic Truth documentary - How is Money Created (Oktober 2024)
Švicarsko infosno podjetje High-Tech Bridge je lansko novico objavilo s tem, da je Yahoo sramotno ponudilo več kot samo majico kot plašč. Tovrstne raziskave sicer niso tisto, kar raziskovalci HTB počnejo vsak dan. Njihov glavni poudarek je prepoznavanje ranljivosti in izdajanje varnostnih nasvetov v zvezi z njihovimi ugotovitvami. Skupina je leta 2013 izdala 62 nasvetov in opazila splošno izboljšanje odzivnosti industrije.
Hitrejša popravila
Po pravkar objavljenem poročilu HTB so prodajalci izdali popravke za prijavljene težave veliko hitreje kot leta 2012. Prav tako je "velika večina prodajalcev svoje končne uporabnike opozorila na ranljivosti na pošten in hiter način", kjer je bilo v preteklosti veliko si je težavo popravila ali zmanjšala tveganje. Poročilo je poklicalo Mijosoft (ne Microsoft) zaradi slabih varnostnih praks.
Povprečni čas za popravljanje kritičnih ranljivosti se je zmanjšal s 17 dni v letu 2012 na 11 dni v letu 2013, kar je izjemno. Ranljivosti s srednjim tveganjem so se še izboljšale, in sicer od 29 dni do 13 dni. To je napredek, vendar je prostora za izboljšave. Poročilo ugotavlja, da je "11 dni za popravljanje kritičnih ranljivosti še vedno precej dolga zamuda."
Povečana zapletenost
Glede na poročilo je za hude fante težje prepoznati in izkoriščati kritične ranljivosti. Zateči se morajo k tehnikam, kot so verižni napadi, pri čemer je izkoriščanje kritične ranljivosti možno le po uspešnem kršenju nekritične.
V letu 2013 je bilo kar nekaj ranljivosti zmanjšano z visokega tveganja ali kritičnega na srednje tveganje. To so zlasti podvigi, ki jih je mogoče izvesti šele, ko se napadalec potrdi ali se prijavi. Poročilo ugotavlja, da morajo razvijalci razmišljati o varnosti tudi na območjih dostopna zaupanja vrednim uporabnikom, saj so nekatere od teh zaupnih strani "dejansko lahko precej sovražne."
Notranji razvijalci morajo dodatno pozornost posvetiti varnosti. SQL Injection in Cross-Site Scripting sta najpogostejša napada, lastne aplikacije pa so najpogostejše žrtve takšnih napadov, in sicer 40 odstotkov. Naslednji vtičniki za sistem za upravljanje vsebine (CMS), s 30 odstotki, sledijo majhni CMS-ji s 25 odstotki. Kršitve na resnično velikih CMS-jih, kot sta Joomla in WordPress, prinašajo velike novice, vendar po HTB-jevih besedah predstavljajo le pet odstotkov celotne vrednosti. Mnoge platforme za bloganje in CMS ostajajo ranljive preprosto zato, ker jih njihovi lastniki ne obdržijo popolnoma zakrpanih ali jih ne konfigurirajo pravilno.
Kako se torej izognete temu, da bi bilo vaše spletno mesto ali CMS ogroženo? Poročilo zaključuje, da potrebujete "hibridno testiranje, ko je avtomatizirano testiranje združeno z ročnim varnostnim testiranjem na človeku." Nobeno presenečenje bo izvedelo, da High Tech Bridge ponuja ravno takšno testiranje. A imajo prav. Za resnično varnost želite, da dobri fantje napadejo in vam pokažejo, kaj morate popraviti.
