|
Британската медия The Register е уважавано издание сред IT новинарските сайтове, а заеманите позиции от авторите и редакторите му не са се приемали винаги еднозначно от широката публика, като медията, както има своите попадения, така и своите малки гафове. Преди дни ви съобщихме за появата на Census Project, инициатива на Core Infrastructure Initiative и Linux Foundation. Става дума за анализ и списък на най-уязвимите места в Линукс системите.Както знаете. Линукс системите не са толкова атакувани, колкото Windows, поради ред причини, като едва ли може да се определи една-единствена за това – популярност сред обикновените потребители (атаките към потребителите на майкрософтската система могат да донесат много по-големи печалби на киберпрестъпниците с много по-малки усилия), различна организация на привилегиите и архитектурата на *NIX системите, относително по-голяма техническа грамотност на потребителите на Линукс, чисто технически трудности за организиране на мащабни атаки към тях (за разлика от Windows), по-голяма достъпност на експлойти за уязвимости за редмъндската система на даркуеб пазарите и др.Изграждането на една стройна платформа, систематизираща най-уязвимите продукти, протоколи и инструменти за Линукс представлява похвално усилие (проектът е по идея на Дейвид Уилър и Самир Хакимов - Open Source Software Projects Needing Security Investments), което ще подпомогне със сигурност развитието на и без това добре защитената система. Проблемът, според Ричард Чъргуин от „El Reg“ обаче е друг – предоставянето му в достъпен вид, откривайки го не само за хората, които могат да допринесат към защитата на системата, но и за киберпрестъпници, желаещи да получат неоторизиран достъп до Линукс системите. Платформата може и да не е толкова популярна като потребителска дистрибуция, но тя може да се намери в сървърни центрове, различни системи, отговарящи за важни инфраструктурни обекти, правителствени агенции и организации, където използването на Windows не е препоръчително, PoS терминали, банкомати и др., което служи да покаже, че що се отнася до изгодата за киберпрестъпниците, то „плячката“ може и да бъде по-трудна за „ловене“, но ползите въобще да не отстъпват от една компрометирана уиндоуска система.Някои извънредно важни проекти за сигурността, пише Чъргуин, като OpenSSL и OpenSSH вече получават вниманието на специалистите и биват обгрижвани добре, но с други не е така. Като инструментът за криптиране Bzip2, който не е пипан от пет години. Проблематичен е също така BIND9, wget, в който са нанасяни редица заобиколни поправки и gzip, който две години няма нова версия.„Libxpat1 също е изключен: поддръжката му „успешно е спряла“ през 2012 г, а страницата, на която може да се докладва за грешки е неактивна. Keyutils – използвана за управление на ключовете за сигурност - няма система, която да следи за бъгове (bug tracker), нито мейлинг листа“, пише Чъргуин. Любопитно е, че едни от най-популярните платформи в списъка и някои от тези с най-висок индекс на риск (нужно е да се отбележи, че този индекс не означава най-атакувана платформа, а по-скоро, че не му е обръщано внимание, и в този смисъл е рисков), сред които откриваме имената на инструменти, като tar, base-passwd, core-utils, hostname, passwd, debconf, bash, apt и др., имат нулев или изключително нисък CVE показател (речников индикатор, служещ да покаже регистрираните известни уязвимости и проблеми). Може да откриете своеобразната класация тук, като въпросните инструменти засягат единствено Debian и деривативните му системи. |
|
