Các công ty có ưu tiên sai về cập nhật an ninh

Companies have wrong priorities for security updates

16.09.2009 16:53

Theo: http://www.heise.de/english/newsticker/news/145418

Bài được đưa lên Internet ngày: 16/09/2009

Lời người dịch: Những người sử dụng máy tính Windows cần biết, không chỉ các ứng dụng như Adobe Reader, QuickTime, Adobe Flash hay Microsoft Office mới là tâm điểm của các cuộc tấn công, mà cả bản thân Windows nữa đó. Bên cạnh đó, “50% các website của người sử dụng ở nhà chứa đựng ít nhất 1 đường liên kết ranh mãnh. Hơn nữa, 20% các máy tìm kiếm, các cổng điện tử và các chỉ dẫn chứa các URL mà chúng dẫn người sử dụng tới các website lây nhiễm”, và “các mẹo về an ninh như “chỉ viếng thăm các site mà bạn biết” là thứ lừa dối. Ví dụ, chỉ tuần này, những kẻ bất lương đã thành công trong việc cấy các phần mềm gây sợ hãi lên những người viếng thăm site của New York Times. Những việc như vậy là không có gì mới và sẽ gia tăng trong tương lai, khi mà dạng tiếp cận này làm cho dễ dàng đối với bọn tội phạm để với tới được số lượng lớn người sử dụng”.

Kết luận đạt được trong một báo cáo “Những rủi ro an ninh hàng đầu của không gian mạng” được biên dịch bởi Viện SANS (Quản trị hệ thống, Kiểm toán, Mạng, An ninh) và ISC (Trung tâm Bão Internet), là việc các công ty dường như có các ưu tiên sai của họ khi đề cập tới việc cài cắm những chỗ có thể bị tổn thương về an ninh trong các máy tính trạm cá nhân PC. Dù các cuộc tấn công gần đây vào các PC chạy Windows hầu hết khai thác chỉ những chỗ dễ bị tổn thương trong Adobe Reader, QuickTime, Adobe Flash và Microsoft Office, thì nó gấp 2 lần đối với các cập nhật an ninh cho các ứng dụng này sẽ được cài đặt khi nó cài cắm các chỗ dễ bị tổn thương về cài cắm này trong hệ điều hành. Báo cáo này dựa trên các dữ liệu từ 6,000 hệ thống ngăn chặn đột nhập trái phép được vận hành bởi TippingPoint và hơn 100 triệu lượt quét các chỗ dễ bị tổn thương được thực hiện với 9,000 khách hàng của Qualys.

Theo báo cáo này, 80% những chỗ dễ bị tổn thương của Windows sẽ được vá trong vòng 60 ngày của một bản cập nhật trở nên sẵn sàng. Ngược lại, đối với các ứng dụng như Office, Adobe Acrobat và Java, chỉ 20-40% những chỗ dễ bị tổn thương sẽ được vá trong cùng thời gian như vậy. Bức tranh còn tồi tệ hơn trong trường hợp của Flash, nơi mà tỷ lệ vá chỉ là 10-20%. Nhà cung cấp dịch vụ Trusteer gần đây cũng đạt được một kết luận tương tự bằng việc phân tích các dữ liệu từ chương trình giám sát khách hàng của hãng.

Những người vận hành các website thường xuyên trợ giúp một cách không có chủ tẩm và không có ý thức cho bọn tội phạm phân tán các phần mềm độc hại. Sự duy trì máy chủ kém cỏi có thể cho phép các webiste đáng tin cậy bị điều khiển và các mã nguồn độc hại sẽ được nhúng vào phát tán đi được. 60% tất cả các cuộc tấn công mạng hiện nay hướng vào các máy chủ web, với mục tiêu tìm ra và khai thác sự tiêm của SQL (SQL injection) và các chỗ dễ bị tổn thương khác. Sự tiêm SQL và những chỗ dễ bị tổn thương bởi các scripting xuyên các site (XSS) giữa chúng tạo ra hơn 80% tất cả những chỗ dễ bị tổn thương của các máy chủ.

The conclusion reached in a report "The Top Cyber Security Risks" compiled by the SANS (SysAdmin, Audit, Network, Security) Institute and the Internet Storm Center (ISC), is that companies appear to have their priorities wrong when it comes to plugging security vulnerabilities in client PCs. Although recent attacks on Windows PCs almost exclusively exploit vulnerabilities in Adobe Reader, QuickTime, Adobe Flash and Microsoft Office, it takes twice as long for security updates for these applications to be installed as it does to plug vulnerabilities in the operating system. The report is based on data from 6,000 intrusion prevention systems operated by TippingPoint and more than 100 million vulnerability scans carried out at 9,000 customers by Qualys.

According to the report, 80 per cent of Windows vulnerabilities are patched within 60 days of an update becoming available. By contrast, for applications such as Office, Adobe Acrobat and Java, only 20 to 40 per cent of vulnerabilities are patched within the same time period. The picture is even more dramatic in the case of Flash, where the patch rate is just 10 to 20 per cent. Service provider Trusteer recently reached a similar conclusion by analysing data from its customer monitoring programme.

Website operators frequently unwittingly and unintentionally help criminals distribute malware. Poor server maintenance can allow trusted websites to be manipulated and malicious code to be embedded and distributed. 60 per cent of all online attacks are now directed at web servers, with the aim of finding and exploiting SQL injection and other vulnerabilities. SQL injection and cross-site scripting (XSS) vulnerabilities between them make up more than 80 per cent of all server vulnerabilities.

Trong báo cáo 1 năm 2 lần, IBM cũng đã đi tới một kết luận tương tự – 50% các website của người sử dụng ở nhà chứa đựng ít nhất 1 đường liên kết ranh mãnh. Hơn nữa, 20% các máy tìm kiếm, các cổng điện tử và các chỉ dẫn chứa các URL mà chúng dẫn người sử dụng tới các website lây nhiễm.

Cả 2 kết luận đều có thể rút ra từ các kết quả này: không website nào tự bản thân nó có thể tin cậy được và các mô hình theo vùng khu vực vì thế là dư thừa , và các mẹo về an ninh như “chỉ viếng thăm các site mà bạn biết” là thứ lừa dối. Ví dụ, chỉ tuần này, những kẻ bất lương đã thành công trong việc cấy các phần mềm gây sợ hãi lên những người viếng thăm site của New York Times. Những việc như vậy là không có gì mới và sẽ gia tăng trong tương lai, khi mà dạng tiếp cận này làm cho dễ dàng đối với bọn tội phạm để với tới được số lượng lớn người sử dụng.

Các nhà quản trị và những người sử dụng ở nhà dường như đều không có khả năng giữ cho các hệ thống của họ cập nhật để làm thất bại các cuộc tấn công dựa trên web. Một lý do cho việc này hình như là do những thủ tục cập nhật được giải thích không đủ và kém chức năng đối với các sản phẩm đặc thù nào đó. Các nghiên cứu đã chỉ ra rằng những cập nhật thầm lặng, nơi mà người sử dụng không có liên quan, làm gia tăng tỷ lệ các bản vá. Đã có một số sự phản đối về những thay đôi không được chấp nhận đang được thực hiện đối với các máy tính, nhưng người sử dụng trung bình của bạn hình như sẽ là tốt hơn nhiều được phục vụ bởi những biện pháp như thế này còn hơn là bằng một sự khăng khăng để hoang về quyền quyết định cập nhật cho bản thân mình.

Các chương trình như các thành phần chính theo dõi PSI của Secunia như là trình cài cắm Flash, các thư viện trình duyệt và Java, và có thể trao cho người sử dụng một vài ý tưởng về việc nguy hiểm làm sao khi lướt với hệ thống của họ, mà nó còn đòi hỏi người sử dụng nắm lấy sự khởi đầu này bằng việc cài đặt chương trình, và sau đó thực sự sử dụng nó.

Tôi có lẽ thực tế hơn nếu Microsoft đã tích hợp một hạ tầng trong Windows mà nó thông báo cho người sử dụng về các cập nhật, không chỉ cho Internet Explorer 8, mà còn cho các Adobe Reader, vân vân, vân vân nữa.

In its biannual report, IBM came to a similar conclusion – 50 per cent of home users' websites contain at least one dodgy link. In addition, 20 per cent of search engines, portals and directories contain URLs which lead users to infectious websites.

Two conclusions can be drawn from these results: no website can be trusted per se and zonal models are therefore redundant, and security tips such as "only visits sites you know" are misleading. Just this weekend, for example, scammers succeeded in planting scareware on visitors to the New York Times. Such incidents are nothing new and are set to increase in future, since this kind of approach makes it easy for criminals to reach large numbers of users.

Neither administrators nor home users appear able to keep their systems up to date in order to frustrate website-based attacks. One reason for this is likely to be poorly-functioning and insufficiently explained update procedures for specific products. Studies have shown that silent updates, where the user is not involved, increase patch rates. There have been some protests about unapproved changes being made to computers, but your average user is likely to be far better served by measures such as this than by a blanket insistence on the right to decide on updates for himself.

Programs such as Secunia's PSI monitor major components such as the Flash plug-in, Java and browser libraries, and can give users some idea of how dangerous surfing with their system is, but it too requires the user to take the initiative by installing the program, and then actually using it.

It would be more practical if Microsoft were to integrate an infrastructure into Windows that informed users of updates, not only for Internet Explorer 8, but also for Adobe Reader, etc., etc. (vbr/c't)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com