Опубликован ежегодный отчет SANS Top-20 Internet Security Attack TargetsИсточник: bezpeka
Ведущая организация по компьютерной безопасности SANS Institute опубликовала в среду ежегодный список 20 программ (Top 20 Security Attack Targets), которые являются излюбленными целями хакеров. В числе заветных целей злоумышленников фигурируют приложения Microsoft: Internet Explorer, Office, Windows Libraries. Правда, Mac OS X компании Apple тоже попал в этот список вместе со "слабой конфигурацией" в Unix. Чаще всего атакующие используют так называемые zero-day атаки, когда нападение совершается раньше, чем разработчик программы успевает выпустить соответствующую заплатку. SANS обнаружила примерно 45 уязвимостей в Microsoft Office, которые классифицировала как серьезные или критические. Девять из этих уязвимостей делают возможными zero-day атаки. Также SANS назвал в числе других легко уязвимых программ веб-приложения, программы по обмену файлами, медиа-плееры и VoIP. В этом году хакеры смогли нагреть руки на интернет-телефонии, взламывая сети VoIP, а затем перепродавая украденные минуты разговора ничего неподозревающим пользователям. Согласно отчету SANS, в миллионы случаев воровства номеров кредитных кард связаны с атаками SQL injection и cross-site-scripting. При атаке SQL-injection в online приложение вводится специально созданный код для получения доступа к базе данных. При cross-site-scripting атаке, злоумышленники используют скрытый код в окне браузера пользователя. По данным SANS, 40 процентов веб-приложений являются уязвимыми для SQL injection атак и 80 процентов для cross-site scripting атак. Организация SANS Institute (SysAdmin, Audit, Networking, and Security - системное администрирование, аудит, сети, безопасность) основана в 1989 году. SANS предоставляет информацию и тренинги по компьютерной безопасности. Ведущая организация по компьютерной безопасности SANS Institute опубликовала в среду ежегодный список 20 программ (Top 20 Security Attack Targets), которые являются излюбленными целями хакеров. В числе заветных целей злоумышленников фигурируют приложения Microsoft: Internet Explorer, Office, Windows Libraries. Правда, Mac OS X компании Apple тоже попал в этот список вместе со "слабой конфигурацией" в Unix. Чаще всего атакующие используют так называемые zero-day атаки, когда нападение совершается раньше, чем разработчик программы успевает выпустить соответствующую заплатку. SANS обнаружила примерно 45 уязвимостей в Microsoft Office, которые классифицировала как серьезные или критические. Девять из этих уязвимостей делают возможными zero-day атаки. Также SANS назвал в числе других легко уязвимых программ веб-приложения, программы по обмену файлами, медиа-плееры и VoIP. В этом году хакеры смогли нагреть руки на интернет-телефонии, взламывая сети VoIP, а затем перепродавая украденные минуты разговора ничего неподозревающим пользователям. Согласно отчету SANS, в миллионы случаев воровства номеров кредитных кард связаны с атаками SQL injection и cross-site-scripting. При атаке SQL-injection в online приложение вводится специально созданный код для получения доступа к базе данных. При cross-site-scripting атаке, злоумышленники используют скрытый код в окне браузера пользователя. По данным SANS, 40 процентов веб-приложений являются уязвимыми для SQL injection атак и 80 процентов для cross-site scripting атак. Организация SANS Institute (SysAdmin, Audit, Networking, and Security - системное администрирование, аудит, сети, безопасность) основана в 1989 году. SANS предоставляет информацию и тренинги по компьютерной безопасности. |