Video: How to Hack OAuth (Dezember 2024)
Produkte von Drittanbietern sind erfolgreich
Niemand wird überrascht sein zu erfahren, dass die Gesamtzahl der bekannten Sicherheitslücken von Jahr zu Jahr zunimmt oder dass die meisten von einem Remotenetzwerkangriff abhängig sind, um in gefährdete Netzwerke einzudringen. Es treten jedoch immer weniger erhebliche Mängel bei Microsoft-Betriebssystemen und -Programmen auf. Secunia berichtet, dass 86 Prozent der aktiven Sicherheitslücken im Jahr 2012 Produkte von Drittanbietern wie Java, Flash und Adobe Reader betrafen. Im Jahr 2007 machten Schwachstellen von Drittanbietern weniger als 60 Prozent der Gesamtzahl aus.
Auf der positiven Seite wird das gefährliche Fenster zwischen der Entdeckung einer Sicherheitsanfälligkeit und der Erstellung eines Patches immer kleiner. Secunia meldet für 80 Prozent dieser Bedrohungen die Verfügbarkeit von Patches am selben Tag im Jahr 2012, verglichen mit etwas mehr als 60 Prozent im Jahr 2007. Damit verbleiben 20 Prozent ohne Patch am selben Tag oder sogar innerhalb von 30 Tagen Durch die Aktualisierung Ihrer gesamten Software wird sichergestellt, dass Sie alle Patches am selben Tag erhalten.
SCADA-Unsicherheit
Die Überprüfung 2013 berichtet über Schwachstellen in SCADA-Systemen (Supervisory Control And Data Acquisition). Diese Systeme steuern Fabriken, Kraftwerke, Kernreaktoren und andere wichtige Industrieanlagen. Der berüchtigte Stuxnet-Wurm zerstörte Urananreicherungszentrifugen im Iran, indem er deren SCADA-Controller übernahm.
Laut Secunia "war SCADA-Software vor 10 Jahren in der Mainstream-Phase… Viele Schwachstellen in SCADA-Software sind noch länger als einen Monat ungepatcht." Ein Time-to-Patch-Diagramm mit repräsentativen SCADA-Schwachstellen zeigt, dass einige der Hochrisikokategorien über 90 Tage nicht gepatcht wurden.
Theoretisch sollten SCADA-Systeme weniger anfällig sein, da sie nicht mit dem Internet verbunden sind. In der Praxis ist dies nicht immer der Fall, und selbst eine lokale Netzwerkverbindung kann von Angreifern kompromittiert werden. Ein vollständiger "Luftspalt" ohne jegliche Netzwerkverbindung schützte die Stuxnet-Zentrifugen nicht. Sie fielen infizierten USB-Laufwerken zum Opfer, die von Technikern unwissentlich eingesteckt wurden. Es ist klar, dass SCADA-Softwareanbieter noch einige Aufgaben zu erledigen haben, um die Sicherheit aufrechtzuerhalten und Patches zu veröffentlichen.
Hacker greifen nach dem Gold
Eine Zero-Day-Sicherheitsanfälligkeit wurde gerade entdeckt. Für diese Sicherheitsanfälligkeit ist kein Patch vorhanden. Der Bericht von Secunia enthält eine informative Tabelle, in der die Anzahl der Zero-Days angegeben ist, die jedes Jahr in den 25 beliebtesten Programmen sowie in den Top 50, 100, 200 und 400 zu finden sind 15 Nulltage.
Interessanter ist, dass sich die Zahlen innerhalb eines bestimmten Jahres kaum ändern, wenn der Pool potenziell gefährdeter Programme wächst. Fast alle Zero-Days betreffen die beliebtesten Programme. Das macht tatsächlich sehr viel Sinn. Das Auffinden eines Programmfehlers, den noch niemand gefunden hat, erfordert viel Forschung und harte Arbeit. Für Hacker ist es nur sinnvoll, sich auf die am weitesten verbreiteten Programme zu konzentrieren. Ein Exploit, der die vollständige Kontrolle über das System des Opfers übernimmt, ist nicht viel wert, wenn nur auf einem von einer Million Systemen das gefährdete Programm installiert ist.
Mehr zu lernen
Ich bin auf dem Höhepunkt angelangt, aber aus dem Sicherheitslückenbericht von Secunia kann man noch viel mehr lernen. Sie können den gesamten Bericht von der Website von Secunia herunterladen. Machen Sie sich keine Sorgen, wenn der vollständige Bericht etwas überwältigend erscheint. Die Forscher von Secunia haben auch eine Infografik vorbereitet, die alle Höhepunkte trifft.
