Firmy jsou ohrožovány zranitelností svých webů...

Počet nových zranitelností na webech klesá - s opravami stávajících ale firmy otálejí.

ZDROJ: www.securityworld.cz

Výsledkem je pak to, že hackeři se stále dokonalejšími útočnými nástroji mohou příslušné stránky na stránky snadno kompromitovat.

„Průměrný počet vážných chyb, které na weby zanesly vývojáři, činil v loňském roce 148. To je mnohem nižší počet, než tomu bylo v roce 2010 (230), respektive 2009 (dokonce 480), tvrdí Jeremiah Grossman, chief technology officer ve firmě WhiteHat Security, která se zabývá testováním webů ohledně bezpečnostních problémů.

Zranitelnosti jsou obsaženy v zákaznickém kódu webu a proto nemohou být odstraněny aplikací nějakého opravného balíčku, jak by tomu bylo v případě, kdy by se chyba objevila v softwaru třeba Microsoftu nebo Oraclu.

Podle statistik, které má k dispozici WhiteHat Security, trvá obvykle více než tří měsíce, než firmy jsou schopny opravit alespoň polovinu zranitelností svých webů. Rizikem tak zůstává, že hackeři dokážou zneužít chyby v kódu vlastníka webu ke kompromitaci těchto stránek a k například úniku citlivých dat – jako se to stalo třeba v případě firem Sony, Stratfor Global Intelligence či AT&T.

Hackeři neustále zvyšují svoji profesionalitu a dovednosti, takže dokážou útočit mnohem cíleněji. K dispozici také mají širokou řadu specializovaných nástrojů, které jsou určeny právě pro vyhledávání problémů v samotném kódu příslušného webu.

Bezpečnostní experti firmy WhiteHat se podle svých slov soustavně pokoušejí nabourat do webů finančních institucí a dalších organizací – samozřejmě s jejich požehnáním. Zaměřují se přitom na zranitelnosti jako cross-site scripting, SQL injection nebo úniky citlivých dat.

„Jsme jako Anonymous nebo LulzSec, i když naše cíle jsou odlišné," tvrdí Grossman.
Chyby se objevují například po přidání nových funkcí webů.

„Je to taková hra, zda opravovat či nikoliv, zvláště když některé chyby hackeři nikdy neobjeví – avšak při jejich odhalení obvykle znamenají pro podnik obrovské riziko a často i ztráty. Stáhnete své vývojáře z existujících projektů, aby opravili známé chyby v těch existujících, které mohu, ale také nemusí být hackery zneužity?", ptá se Grossman.

Nejlepším scénářem samozřejmě je vytvářet dokonalý software hned od začátku :))