Video: TECH-GEEK ep.9 : PARA SA MGA NA HACK ANG FACEBOOK | Vino Santiago (Nobyembre 2024)
Mga Produkto ng Pangatlong-partido Kumuha ng isang Hit
Walang magulat na malaman na ang kabuuang bilang ng mga kilalang kahinaan ay lumalaki sa isang taon sa taon, o na ang karamihan ay umaasa sa isang malayuang pag-atake sa network upang tumagos sa mga mahina na network. Gayunpaman, ang mga makabuluhang mga bahid sa Microsoft Operating System at mga programa ay nagiging mas maliit at mas maliit na bahagi ng kabuuan. Iniulat ng Secunia na 86 porsyento ng mga aktibong kahinaan sa 2012 ang nakakaapekto sa mga produkto ng third-party tulad ng Java, Flash at Adobe Reader. Noong 2007, ang mga kahinaan sa third-party ay binubuo ng mas mababa sa 60 porsyento ng kabuuang.
Sa karagdagan, ang mapanganib na window sa pagitan ng pagtuklas ng isang kahinaan at paglikha ng isang patch ay nagiging mas maliit. Iniuulat ng Secunia ang pagkakaroon ng patch sa parehong araw para sa 80 porsyento ng mga pagbabanta na ito sa 2012, mula sa kaunti sa 60 porsyento noong 2007. Iyon ay nag-iiwan ng 20 porsyento na walang patch sa parehong araw, o kahit na sa loob ng 30 araw, ngunit pinapanatili lahat ng iyong pag-update ng software ay matiyak na makukuha mo ang lahat ng mga parehong mga patch na araw.
Kawalan ng kapanatagan sa SCADA
Ang ulat ng pagsusuri sa 2013 sa mga kahinaan sa mga sistema ng SCADA (Supervisory Control And Data Acqu acquisition). Kinokontrol ng mga sistemang ito ang mga pabrika, mga halaman ng kuryente, mga reaktor ng nuklear, at iba pang lubos na makabuluhang pag-install sa industriya. Ang nakahihiyang Stuxnet worm ay nawasak ang uranium enrichment centrifuges sa Iran sa pamamagitan ng pagkuha sa kanilang mga SCADA Controller.
Ayon kay Secunia, "Ang software ng SCADA ngayon ay nasa yugto ng pangunahing software ay 10 taon na ang nakakaraan … Maraming mga kahinaan ang nananatiling hindi ipinadala nang mas mahigit sa isang buwan sa software ng SCADA." Ang isang tsart na time-to-patch ng kinatawan ng mga kahinaan sa SCADA ay nagpapakita na ang ilan sa kategorya ng mataas na peligro ay nanatiling hindi ipinadala para sa higit sa 90 araw.
Sa teorya, ang mga sistema ng SCADA ay dapat na hindi gaanong masugatan dahil hindi sila konektado sa Internet. Sa pagsasagawa, hindi iyon palaging nangyayari, at kahit isang lokal na koneksyon sa network ay maaaring kompromiso ng mga umaatake. Ang isang kabuuang "agwat ng hangin, " na walang koneksyon sa network anupaman, ay hindi pinangalagaan ang mga centrifuges ng Stuxnet. Nahulog sila sa nahawaang USB drive na hindi sinasadya na ipinasok ng mga technician. Malinaw na ang mga vendor ng software ng SCADA ay may ilang gawain na gawin hanggang sa pagpapanatili ng seguridad at pagtulak sa mga patch.
Ang mga hacker ay Pupunta para sa Ginto
Ang isang madaling araw na kahinaan ay isa lamang na natuklasan, isang kahinaan kung saan walang patch ang umiiral. Ang ulat ng Secunia ay nagsasama ng isang pang-impormasyon na tsart na nag-uulat ng bilang ng mga zero-araw na natagpuan bawat taon sa nangungunang 25 pinakapopular na mga programa, at sa nangungunang 50, 100, 200, at 400. Ang pangkalahatang mga numero ay naiiba sa isang taon sa paglipas ng taon, sumasaka noong 2011 kasama ang 15 zero-araw.
Ano ang mas kawili-wili ay sa loob ng isang naibigay na taon, ang mga numero ay bahagya na nagbabago habang ang pool ng mga potensyal na nakompromiso na mga programa ay lumalaki. Halos lahat ng mga zero-araw ay nakakaapekto sa pinakasikat na mga programa. Iyon ay talagang gumagawa ng maraming kahulugan. Ang pagtuklas ng isang kapintasan ng programa na hindi pa natagpuan ng ibang tao ay nangangailangan ng maraming pananaliksik at kasipagan. Ito ay makatuwiran lamang para sa mga hacker na tumutok sa mga pinakalat na ipinamamahagi na mga programa. Ang isang pagsasamantala na kumukuha ng kabuuang kontrol sa sistema ng biktima ay hindi nagkakahalaga ng marami kung isang sistema lamang sa isang milyon ang na-install ang mahina na programa.
Marami pang Alamin
Na-hit ko ang mga mataas na lugar, ngunit marami pa ang dapat malaman mula sa ulat ng kahinaan ni Secunia. Maaari mong i-download ang buong ulat mula sa website ng Secunia. Kung ang buong ulat ay tila medyo napakalaki, huwag mag-alala. Inihanda din ng mga mananaliksik ng Secunia ang isang infographic na tumatama sa lahat ng mga mataas na lugar.
