Các công ty có ưu tiên sai về cập nhật an ninh

Companieshave wrong priorities for security up-dates

16.09.2009 16:53

Theo:http://www.heise.de/english/newsticker/news/145418

Bài được đưa lênInternet ngày: 16/09/2009

Lờingười dịch: Những người sử dụng máy tính Windows cầnbiết, không chỉ các ứng dụng như Adobe Reader, QuickTime,Adobe Flash hay Microsoft Office mới là tâm điểm của cáccuộc tấn công, mà cả bản thân Windows nữa đó. Bêncạnh đó, “50% các website của người sử dụng ở nhàchứa đựng ít nhất 1 đường liên kết ranh mãnh. Hơnnữa, 20% các máy tìm kiếm, các cổng điện tử và cácchỉ dẫn chứa các URL mà chúng dẫn người sử dụng tớicác website lây nhiễm”, và “các mẹo về an ninh như“chỉ viếng thăm các site mà bạn biết” là thứ lừadối. Ví dụ, chỉ tuần này, những kẻ bất lương đãthành công trong việc cấy các phần mềm gây sợ hãi lênnhững người viếng thăm site của New York Times. Nhữngviệc như vậy là không có gì mới và sẽ gia tăng trongtương lai, khi mà dạng tiếp cận này làm cho dễ dàng đốivới bọn tội phạm để với tới được số lượng lớnngười sử dụng”.

Kết luận đạt đượctrong một báo cáo “Những rủi ro an ninh hàng đầu củakhông gian mạng” được biên dịch bởi Viện SANS (Quảntrị hệ thống, Kiểm toán, Mạng, An ninh) và ISC (Trungtâm Bão Internet), là việc các công ty dường như có cácưu tiên sai của họ khi đề cập tới việc cài cắmnhững chỗ có thể bị tổn thương về an ninh trong cácmáy tính trạm cá nhân PC. Dù các cuộctấn công gần đây vào các PC chạy Windows hầu hết khaithác chỉ những chỗ dễ bị tổn thương trong AdobeReader, QuickTime, Adobe Flash và Microsoft Office, thì nó gấp 2lần đối với các cập nhật an ninh cho các ứng dụngnày sẽ được cài đặt khi nó cài cắm các chỗ dễ bịtổn thương về cài cắm này trong hệ điều hành.Báo cáo này dựa trên các dữ liệu từ 6,000 hệ thốngngăn chặn đột nhập trái phép được vận hành bởiTippingPoint và hơn 100 triệu lượt quét các chỗ dễ bịtổn thương được thực hiện với 9,000 khách hàng củaQualys.

Theobáo cáo này, 80% những chỗ dễ bị tổn thương củaWindows sẽ được vá trong vòng 60 ngày của một bản cậpnhật trở nên sẵn sàng. Ngược lại, đối với các ứngdụng như Office, Adobe Acrobat và Java, chỉ 20-40% những chỗdễ bị tổn thương sẽ được vá trong cùng thời giannhư vậy. Bức tranh còn tồi tệ hơn trong trường hợpcủa Flash, nơi mà tỷ lệ vá chỉ là 10-20%. Nhà cung cấpdịch vụ Trusteer gần đây cũng đạt được một kếtluận tương tự bằng việc phân tích các dữ liệu từchương trình giám sát khách hàng của hãng.

Những người vậnhành các website thường xuyên trợ giúp một cách không cóchủ tẩm và không có ý thức cho bọn tội phạm phân táncác phần mềm độc hại. Sự duy trì máy chủ kém cỏicó thể cho phép các webiste đáng tin cậy bị điều khiểnvà các mã nguồn độc hại sẽ được nhúng vào phát tánđi được. 60% tất cả các cuộc tấn công mạng hiệnnay hướng vào các máy chủ web, với mục tiêu tìm ra vàkhai thác sự tiêm của SQL (SQL injection) và các chỗ dễbị tổn thương khác. Sự tiêm SQL và những chỗ dễ bịtổn thương bởi các scripting xuyên các site (XSS) giữachúng tạo ra hơn 80% tất cả những chỗ dễ bị tổnthương của các máy chủ.

Theconclusion reached in a report "The Top Cyber Security Risks"compiled by the SANS (SysAdmin, Audit, Network, Security) Instituteand the Internet Storm Center (ISC), is that companies appear to havetheir priorities wrong when it comes to plugging securityvulnerabilities in client PCs. Although recent attacks on Windows PCsalmost exclusively exploit vulnerabilities in Adobe Reader,QuickTime, Adobe Flash and Microsoft Office, it takes twice as longfor security up-dates for these applications to be installed as itdoes to plug vulnerabilities in the operating system. The report isbased on data f-rom 6,000 intrusion prevention systems operated byTippingPoint and more than 100 million vulnerability scans carriedout at 9,000 customers by Qualys.

Accordingto the report, 80 per cent of Windows vulnerabilities are patchedwithin 60 days of an up-date becoming available. By contrast, forapplications such as Office, Adobe Acrobat and Java, only 20 to 40per cent of vulnerabilities are patched within the same time period.The picture is even more dramatic in the case of Flash, whe-re thepatch rate is just 10 to 20 per cent. Service provider Trusteerrecently reached a similar conclusion by analysing data f-rom itscustomer monitoring programme.

Websiteoperators frequently unwittingly and unintentionally help criminalsdistribute malware. Poor server maintenance can allow trustedwebsites to be manipulated and malicious code to be embedded anddistributed. 60 per cent of all online attacks are now directed atweb servers, with the aim of finding and exploiting SQL injection andother vulnerabilities. SQL injection and cross-site scripting (XSS)vulnerabilities between them make up more than 80 per cent of allserver vulnerabilities.

Trong báo cáo 1 năm 2lần, IBM cũng đã đi tới một kết luận tương tự –50% các website của người sử dụng ởnhà chứa đựng ít nhất 1 đường liên kết ranh mãnh.Hơn nữa, 20% các máy tìm kiếm, các cổng điện tử vàcác chỉ dẫn chứa các URL mà chúng dẫn người sử dụngtới các website lây nhiễm.

Cả 2 kết luận đềucó thể rút ra từ các kết quả này: không website nào tựbản thân nó có thể tin cậy được và các mô hình theovùng khu vực vì thế là dư thừa , và cácmẹo về an ninh như “chỉ viếng thăm các site mà bạnbiết” là thứ lừa dối. Ví dụ, chỉ tuần này, nhữngkẻ bất lương đã thành công trong việc cấy các phầnmềm gây sợ hãi lên những người viếng thăm site củaNew York Times. Những việc như vậy là không có gì mới vàsẽ gia tăng trong tương lai, khi mà dạng tiếp cận nàylàm cho dễ dàng đối với bọn tội phạm để với tớiđược số lượng lớn người sử dụng.

Các nhà quản trị vànhững người sử dụng ở nhà dường như đều không cókhả năng giữ cho các hệ thống của họ cập nhật đểlàm thất bại các cuộc tấn công dựa trên web. Một lýdo cho việc này hình như là do những thủ tục cập nhậtđược giải thích không đủ và kém chức năng đối vớicác sản phẩm đặc thù nào đó. Các nghiên cứu đã chỉra rằng những cập nhật thầm lặng, nơi mà người sửdụng không có liên quan, làm gia tăng tỷ lệ các bản vá.Đã có một số sự phản đối về những thay đôi khôngđược chấp nhận đang được thực hiện đối với cácmáy tính, nhưng người sử dụng trung bình của bạn hìnhnhư sẽ là tốt hơn nhiều được phục vụ bởi nhữngbiện pháp như thế này còn hơn là bằng một sự khăngkhăng để hoang về quyền quyết định cập nhật cho bảnthân mình.

Các chương trình nhưcác thành phần chính theo dõi PSI của Secunia như là trìnhcài cắm Flash, các thư viện trình duyệt và Java, và cóthể trao cho người sử dụng một vài ý tưởng về việcnguy hiểm làm sao khi lướt với hệ thống của họ, mànó còn đòi hỏi người sử dụng nắm lấy sự khởi đầunày bằng việc cài đặt chương trình, và sau đó thựcsự sử dụng nó.

Tôi có lẽ thực tếhơn nếu Microsoft đã tích hợp một hạ tầng trong Windowsmà nó thông báo cho người sử dụng về các cập nhật,không chỉ cho Internet Explorer 8, mà còn cho các Adobe Reader,vân vân, vân vân nữa.

Inits biannual report, IBM came to a similar conclusion – 50 per centof home users' websites contain at least one dodgy link. In addition,20 per cent of search engines, portals and directories contain URLswhich lead users to infectious websites.

Twoconclusions can be drawn f-rom these results: no website can betrusted per se and zonal models are therefore redundant, and securitytips such as "only visits sites you know" are misleading.Just this weekend, for example, scammers succeeded in plantingscareware on visitors to the New York Times. Such incidents arenothing new and are set to increase in future, since this kind ofapproach makes it easy for criminals to reach large numbers of users.

Neitheradministrators nor home users appear able to keep their systems up todate in order to frustrate website-based attacks. One reason for thisis likely to be poorly-functioning and insufficiently explainedup-date procedures for specific products. Studies have shown thatsilent up-dates, whe-re the user is not involved, increase patch rates.There have been some protests about unapproved changes being made tocomputers, but your average user is likely to be far better served bymeasures such as this than by a blanket insistence on the right todecide on up-dates for himself.

Programssuch as Secunia's PSI monitor major components such as the Flashplug-in, Java and browser libraries, and can give users some idea ofhow dangerous surfing with their system is, but it too requires theuser to take the initiative by installing the program, and thenactually using it.

Itwould be more practical if Microsoft were to integrate aninfrastructure into Windows that informed users of up-dates, not onlyfor Internet Explorer 8, but also for Adobe Reader, etc., etc.(vbr/c't)

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com