Skip to main content
Hermes Banner 1
DIGITAL TV 187
securityreport e mag odhgos 2021
9 Μαρτίου 2017 16:53

Με πολλές «τρύπες» ασφαλείας το λογισμικό των υπολογιστών

admin ajax.php?action=kernel&p=image&src=%7B%22file%22%3A%22wp content%2Fuploads%2F2022%2F05%2F350dd1a4eb1b2150e3f5ece8e33ee186 XL

Δέλεαρ για τους χάκερς αποτελούν τα εκατοντάδες κενά ασφαλείας στο λογισμικό, τα οποία δεν διορθώνονται από τους προγραμματιστές και αρκετά συχνά δεν γίνονται αντιληπτά από τους χρήστες του ίντερνετ. Σε αυτό το συμπέρασμα κατέλεξε μελέτη της αμερικανικής RAND, σύμφωνα με την οποία κατά μέσο όρο μεσολαβούν σχεδόν επτά χρόνια ανάμεσα στην αρχική..Δέλεαρ για τους χάκερς αποτελούν τα εκατοντάδες κενά ασφαλείας στο λογισμικό, τα οποία δεν διορθώνονται από τους προγραμματιστές και αρκετά συχνά δεν γίνονται αντιληπτά από τους χρήστες του ίντερνετ.

Σε αυτό το συμπέρασμα κατέλεξε μελέτη της αμερικανικής RAND, σύμφωνα με την οποία κατά μέσο όρο μεσολαβούν σχεδόν επτά χρόνια ανάμεσα στην αρχική ιδιωτική ανακάλυψη κάποιου τέτοιου κενού και στη δημόσια αποκάλυψή του, οπότε γίνεται πια γνωστό ευρέως στο κοινό.

Οι συγκεκριμένες «τρύπες» ασφαλείας χαρακτηρίζονται «zero-day», επειδή όταν πια γνωστοποιούνται, οι δημιουργοί προγραμματιστές τους έχουν σχεδόν μηδενικό χρόνο στη διάθεσή τους για να τις κλείσουν με τις κατάλληλες επεμβάσεις, με αποτέλεσμα όχι σπάνια οι χάκερ να τους προλαβαίνουν.

Εκτιμάται ότι χρειάζονται κατά μέσο όρο 22 μέρες για να αναπτυχθεί από έναν χάκερ το κατάλληλο πρόγραμμα πλήρους εκμετάλλευσης ενός κενού, αλλά κάλλιστα θα μπορούσε να το κάνει πολύ πιο γρήγορα.

Οι ερευνητές της RAND Corporation, με επικεφαλής την ειδική στην ασφάλεια πληροφοριών Λίλιαν ‘Αμπλον, έκαναν την πρώτη δημόσια μελέτη που εστιάζει στα ουκ ολίγα κενά ασφαλείας τα οποία παραμένουν ακόμη άγνωστα στο ευρύ κοινό. Ανέλυσαν πάνω από 200 περιπτώσεις τέτοιων ευάλωτων περιοχών στα διάφορα προγράμματα λογισμικού και, όπως αναφέρουν, σχεδόν το 40% από αυτές παραμένουν ακόμη άγνωστες στο ευρύ κοινό.

Σύμφωνα με τη RAND, στην πράξη περνάνε κατά μέσο όρο 6,9 χρόνια, εωσότου το πρόβλημα δημοσιοποιηθεί, μια καθυστέρηση που οφείλεται είτε σε σκοπιμότητα, είτε σε άγνοια. Το 25% των «zero day» κενών ασφαλείας παραμένουν άγνωστα και αδιόρθωτα επί ενάμισι έτος, ενώ ένα άλλο 25% για πάνω από 9,5 χρόνια!

Κάποιες περιπτώσεις θεωρούνται «αθάνατες», επειδή το κενό ασφαλείας θεωρείται ότι θα παραμείνει… αιώνια, καθώς ο δημιουργός του λογισμικού δεν διαθέτει πια τον σχετικό κώδικα προγραμματισμού ή αδυνατεί να κάνει ανανεώσεις του προϊόντος του με νέα «μπαλώματα» ασφάλειας. Μερικά κενά λέγονται «ζόμπι», επειδή λόγω αναθεώρησης του κώδικα προγραμματισμού, η εκμετάλλευσή τους μπορεί να γίνει μόνο σε παλαιότερες εκδόσεις του λογισμικού.

Ένα αιωρούμενο ερώτημα μέχρι σήμερα είναι κατά πόσο οι κυβερνήσεις και οι εταιρείες πρέπει να αποκαλύπτουν δημοσίως ή να σιωπούν, όταν ανακαλύπτουν κρίσιμες «τρύπες» στην κυβερνοασφάλεια, οι οποίες θα μπορούσαν να αξιοποιηθούν για κακόβουλους σκοπούς.

Η μελέτη εκτιμά ότι έχει όντως μια λογική η αποφυγή αποκάλυψης αρκετών κενών ασφαλείας, λόγω της επιθυμίας αυτοπροστασίας από τις δημόσιες υπηρεσίες ή τις εταιρείες που θέλουν να προστατεύσουν τα κυβερνοσυστήματά τους. Από την άλλη, οι λεγόμενοι «λευκοί» (καλοπροαίρετοι) χάκερ έχουν περισσότερα κίνητρα να προβούν σε αποκαλύψεις, μόλις ανακαλύψουν μια «τρύπα».

Βέβαια, μόλις μαθευτεί το νέο, κάποιοι «μαύροι» (κακοπροαίρετοι) χάκερ μπορεί να σπεύσουν αμέσως να εκμεταλλευθούν την «τρύπα», προκειμένου να αποκτήσουν πρόσβαση σε συστήματα και δίκτυα-στόχους, είτε πρόκειται για κυβερνο-έγκλημα είτε για κυβερνο-κατασκοπία.

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

  • Κυκλοφορεί το Security Report Απριλίου

    Κυκλοφορεί το Security Report Απριλίου

    Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Απριλίου, πάντα μαζί με το περιοδικό Ψηφιακή Τηλεόραση. Στο νέο τεύχοςθα βρείτε ενδιαφέροντα θέματα και δοκιμές π...
  • Athens Electronix 2024

    Athens Electronix 2024

    Με τεράστια επιτυχία ολοκληρώθηκε η Athens Electronix 2024, η μεγαλύτερη έκθεση της χρονιάς στην πρωτεύουσα, η οποία διοργανώθηκε από την Libra Press στον Πολυχώρο Εκδηλώσεων Δαΐς, στις 2 και 3 Μα...
  • Διευθυνσιοδοτούμενα συστήματα πυρανίχνευσης της Satel

    Διευθυνσιοδοτούμενα συστήματα πυρανίχνευσης της Satel

    Με μεγάλη επιτυχία ολοκληρώθηκε ένα ακόμα σεμινάριο που διοργάνωσε η ARK Academy στις εγκαταστάσεις της στον Ταύρο, την Πέμπτη, 29 Φεβρουαρίου, με θέμα τα συστήματα διευθυνσιοδοτούμενης πυρανίχνευ...
  • Πώς επηρεάζεται ο κατασκευαστικός τομέας από το AI;

    Πώς επηρεάζεται ο κατασκευαστικός τομέας από το AI;

    Ο κατασκευαστικός κλάδος, ακρογωνιαίος λίθος της αστικής ανάπτυξης και γενικότερα της οικονομίας, υφίσταται σημαντικές αλλαγές τα τελευταία χρόνια. Στο επίκεντρο αυτών των αλλαγών, βρίσκεται για μ...
  • Lenkeng AV transmitters

    Lenkeng AV transmitters

    H Lenkeng ιδρύθηκε το 2004 στην Κίνα και είναι ένας από τους κορυφαίους παγκόσμιους κατασκευαστές συστημάτων video transmission, παράγοντας ποιοτικά και καινοτόμα προϊόντα, που ακολουθούν τα τελευ...