Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини Коментари
бр. 7, 2017

Уязвимостите и разширяващата се вселена

от , 26 юли 2017 1 415 прочитания,

д-р Велиян Димитров

Някои тенденции могат да бъдат откроени и обяснени по-ясно с помощта на аналогията. Ще се опитам да приложа този подход в тази статия, която обобщава най-важните изводи от издадeната моя монография „Тенденции в сигурността на ИКТ“. В тази публикация предлагам модел, базиран на аналогия за информационната сигурност в киберпространството и разширяващата се вселена, с който се надявам да привлека вниманието върху някои дълбоки качествени характеристики на процесите по сигурността, които съпътстват развитието на ИКТ. Според мен именно с тези характеристики са свързани предизвикателствата пред всички изследователи, работещи в индустрията за програмни и апаратни средства за сигурност на ИКТ. За мен това са факти от реалността, изведени от опита ми с продукти за информационна сигурност, произведени от различни високотехнологични компании.

Уязвимостите са наистина увеличаваща се вселена

Върху линията на времето се появяват непрекъснато различни нови дигитални технологии, сред които виртуализация, IoT, BYOD, Cloud и много други. 
Да се фокусираме върху жизнения цикъл на всяка инстанция от множеството системи от ИКТ в реалния действащ технологичен парк, към който принадлежат всички отделни инсталации на операционни системи, приложения, устройства, например принтер, маршрутизатор, фитнес тракер, интелигентен телевизор, медицински устройства в клиниките, банкомати, таблети, телефони, индустриални контролни системи, около 30 компютърни платформи в произволен съвременен автомобил и всички останали възможни компютризирани системи по кораби, самолети, сгради, улици, в домове, обществени сгради, под земята, под водата и във въздуха, радиоретранслатори, сателитни системи и други устройства, поддържащи телекомуникационни среди. 
 

От една страна, всички тези платформи трупат години и остаряват, а от друга, непрекъснато се роят нови технологии и производители с портфолио, съдържащо списък с нови продукти. Всеки продукт обаче е с нова версия. Всяка версия с множество инсталации. Машини за бази данни, операционни системи, фърмуери, пакети, услуги (SOA, SaaS и т.н.), онлайн продукти за графика, работа с бази данни и какво ли още не. Продуктите на стартиращите компании узряват, жизненият им цикъл напредва и после преминава и те остаряват, но през цялото време тези продукти участват в реално действащия дигитален технологичен парк. Бъдещето продължава непрекъснато да приижда с овеществени нови модели платформи, носещи екстри за потребителите.

На този фон в края на 2009 г. е установено, че 52% от всички уязвимости са били „изоставени“, тоест за тях не е бил наличен производител, който да се погрижи за актуализации с кръпки. Уязвимости с давност от две до четири години са използвани в 44% от успешните пробиви според отчета от 2015 г. на HP, който е описан в статията „Old Vulnerabilities Still Popular Targets for Hackers“. 
 Така или иначе и днес продължава експлоатирането на уязвимости с давност дори над десет години. Има достатъчно публикации и за остарелите интелигентни телефони с подобна статистика. Надали има смисъл да правим детайлни изследвания за стойностите на този параметър в следващите години… Смятам, че тенденцията е ясна.

Подобно на модела за разширяващата се вселена в астрономията, вселената от уязвимости, които се съдържат в реално действащия дигитален парк, се увеличава от гледна точка на броя на уязвимостите. 

В нова светлина...

Тази на пръв поглед странна междудисциплинарна аналогия (която обаче е познат методологически подход), ще използвам за основа на модел, който да послужи като инструмент, позволяващ да се погледнат уязвимостите в нова светлина, а от този изглед могат да се направят интересни изводи за процесите, свързани с тях. 

Освен че уязвимостите са събрани в регистри и списъци, като са описани тежестта и въздействието им върху сигурността на системите, те пораждат и процеси, които си струва да бъдат осветлени в дълбочина. За целта въвеждаме работен модел с линия на времето, на която условно обозначаваме миналото и бъдещето и виждаме, че тоталният брой уязвимости расте в две посоки – веднъж през жизнения цикъл на платформата (хардуерна, софтуерна или само обикновено приложение), което отбелязваме по оста в посоката на миналото, и втори път с новите продукти и версии, които пристигат от бъдещето. Тази гледна точка може да ни помогне за по-дълбоко изясняване на нови страни на проблема със сигурността в системите от ИКТ. Защо от ИКТ, а не само от ИТ? Защото инфраструктурните мрежови услуги, известни със слабостите си, например DNS, NTP, DHCP, както и SS7 и други протоколи от телекомуникациите, се използват и досега в какви ли не инсталирани инстанции от най-различни производители. Вярно, някои от тях имат нови версии, но те навлизат бавно и предстои разкриването и осветляването и на техните уязвимости. 
Как се увеличава тази вселена от уязвимости можем да разберем, като разгледаме следващите няколко аспекта.

Вселената на уязвимостите, базирана на платформите от миналото

Обратното действие „назад във времето“ е аспект, който трябва да отчитаме, тъй като количеството действащи платформи и инстанции на приложения в миналото непрекъснато се увеличава - миналото си остава на дневен ред и постоянно оказва въздействие върху тях. Тези  платформи и приложения имат различен жизнен цикъл. 
Индустриалните контролни системи (ICS и SCADA) са замислени за жизнен цикъл над 15-20 години и голяма част от производителите им засега не са възприели все още процеса производство на ъпдейти. В този бранш липсват опит и експертиза по темата сигурност. Същевременно тече процес на свързване на тези платформи с външни мрежи и системи, най-вече през интернет. 

Познатите ИТ платформи се ъпдейтват редовно, но паркът е огромен и операционните системи и приложенията остаряват. Устройствата в телекомуникационните среди пък най-често не се ъпдейтват, защото са недостъпни, отдалечени и трудно се рестартират.

Вече знаем, че са неизброими платформите с мобилни устройства, интелигентните битови уреди, носимите върху тялото дигитални принадлежности, всички онези артефакти, които станаха причина за въвеждане на термина Internet of Everything. Спомняме си, че IPv6 може да етикетира цялата вселена и даже остават номера...

Как нараства вселената на уязвимостите, базирана на платформите от миналото? Да видим как ще изглеждат нещата спрямо прогнозите за нарастване на IoT. Към миналото постоянно, в непрекъснат поток се отправят милиарди устройства, експониращи уязвимости, част от които ще бъдат известни и регистрирани, а от тях също част ще бъдат „закърпени”, но ще има и неизвестни, които ще бъдат експлоатирани заедно с известните, но „незакърпени”. Производителите изчезват по различни причини – от фалит до сливане или закупуване, а някои просто не са в състояние от определен момент нататък да произведат ъпдейти. В същото време злонамерените актьори усилено изследват остаряващите технологии и откриват уязвимости, които няма кой да поправи.

И така, върху всички тези платформи действат две сили, които са разположени в двете посоки на едномерното пространство на времето, съдържащо увеличаваща се по броя уязвимости вселена, която, припомням, служи само за модел. Едната сила е бъдещето, което иска нови продукти, още версии, подобрени услуги, а другата е миналото, което се изразява в остаряване, съпроводено с откриване на нови уязвимости и незаинтересованост към съществуващите. Колкото повече остаряват инсталациите, толкова повече уязвимости се откриват в тях. 
Специалният момент е, че уязвимостите не се откриват една по една, в единични инстанции -  редица случаи потвърждават това.

Например микро уеб сървъри са инсталирани в хиляди модеми, комутатори, хладилници... Новооткрита уязвимост в ядрото, което всички производители са взели от някой сайт с публично отворени сорсове и доработили за техни нужди, води до компрометиране на всички устройства, в които е приложено това ядро. За да не изгубим нишката, която следваме, само споменавам, че имаше няколко случая на големи количества, от порядъка стотици хиляди броя, произведени ADSL модеми, които са без елементарна защита и още си работят в интернет. Огромна част от пробивите в сигурността на ИКТ се извършват през уязвимости, които са известни от години. В устройствата с по-дълго минало има открити повече уязвимости и непрекъснато се откриват нови.

Експерти по сигурността са открили критична уязвимост в кода на стандарта ASN1, формална нотация за обмен на данни в телекомуникациите, осъществена в библиотека, която се използва в широк спектър от телекомуникационни продукти и би могла да позволи на хакерите да се възползват и поемат контрола на мобилни телефони и дори ключови части на телекомуникационната инфраструктура в света. Грешката е разположена в кода на библиотека, която се използва в различни комуникационни продукти, като радиостанции в клетъчни кули, маршрутизатори, комутатори, както и базова линия чипове в мобилните телефони. Познавате ли някой, който ъпдейтва такива артефакти?

В перспектива

Да се обърнем сега към бъдещето. Бъдещето носи непрекъснато бързащи да развиват своя бизнес стартиращи предприятия, които се интересуват единствено от екстремно проникване на пазара без всякакви изисквания за сигурност. Независимо дали става въпрос за автомобили и охрана на домове, животоподдържащи системи или фитнес тракери, никой не се интересува от конфиденциалност, неприкосновеност на личния живот и подобни съображения. Тези факти се комбинират с нарастващ дефицит от кадри за работните места, свързани с темата киберсигурност и близката до нея информационна сигурност. За всички тези твърдения съществуват достатъчно конкретни статии с описания на различни случаи: човекът имал в телефона си съобщение, че вратата и прозорците на дома му са затворени и заключени, но не било точно така, а автомобилите вече ги крадат не с „лапи“ и подобни „инструменти“, а с лаптопи, потребителите нямат никакви гаранции за данните, които се снемат от фитнес тракерите им и отиват в облака, където върви интензивен бизнес с тях...

Изводи

Всичко казано дотук води до извода, че процесът на нарастване на уязвимостите, неминуемо пораждащ и злономерени действия, е неотменима характеристика на съвременното състояние на дигитализацията и подходът към вкарването му в рамка или постигането на каквото и да е ниво на овладяването му е възможно единствено по пътя на законотворчеството и с налагането на технологични нормали и процеси, свързани с жизнения цикъл на уязвимостите. 

Да си припомним как с въвеждането на закон беше решен проблемът с огромните количества хардуерен отпадък (garbage) и компаниите от ИТ индустрията се организираха и овладяха процеса.
Налагането на технологичен подход към сигурността в случая е организационен проблем и решението му е извън технократите.

КОМЕНТАРИ ОТ  

КОМЕНТАРИ

 
  
09:30, 11 септември 2017 # 1
NO AVATAR
chenlina20170911

yeezy adidas


moncler uk


uggs slippers


salvatore ferragamo


ray ban sunglasses


north face clearance


ugg boots


ugg clearance


cheap oakley sunglasses


dolce and gabbana sunglasses


ugg sale


coach outlet online


coach factory outlet


michael kors plånbok


polo ralph lauren

coach outlet


polo ralph lauren


michael kors uk


michael kors bags


ugg australia


ray ban wayfarer


ugg boots outlet


moncler jacket


nike factory outlet


coach outlet


north face jackets


ugg boots


air jordans


cheap nfl jerseys


fitflops


kate spade outlet


cheap oakley sunglasses


oakley sunglasses


longchamp outlet


ugg australia


under armour clearance


mlb jerseys cheap


ugg slippers


burberry outlet


tory burch outlet online


coach outlet


burberry outlet


tory burch outlet online


nfl jerseys wholesale


north face outlet


oakley vault


montblanc pens


ralph lauren uk


ugg boots outlet


nike air max uk


prada outlet


ugg boots


ugg outlet


longchamp handbags


kate spade outlet


ralph lauren outlet


jordan shoes


ugg sale


kate spade sale


oakley sunglasses


true religion uk


ray ban sunglasses


nike outlet store


ray ban sunglasses


ugg outlet


ugg factory outlet


cartier glasses


michael kors outlet


christian louboutin outlet


coach outlet


coach factory outlet


ray ban sunglasses


ugg uk


nike air max


ralph lauren


coach factory outlet online


michael kors online


christian louboutin shoes


salvatore ferragamo outlet


uggs canada


retro jordans


ugg boots on sale 75% off


ray ban sunglasses


nike huarache uk


oakley sunglasses


coach outlet


michael kors outlet


ugg boots


ralph lauren polo


ugg boots on sale 70% off


canada goose sale


ugg boots


kate spade outlet online


superdry hoodies


ugg sale


nike air max


true religion


north face jackets


ugg australia


oakley sunglasses


michael kors outlet online


michael kors handbags outlet


cheap jordan shoes


ugg australia


michael kors outlet


hermes birkin bag


louis vuitton outlet


the north face jackets


ugg boots on sale 75% off


vans outlet


coach outlet online


coach outlet


ugg outlet


prada handbags


north face outlet


canada goose canada


versace glasses


michael kors handbags


michael kors plånbok


louis vuitton outlet


coach outlet


adidas jeremy scott


ugg boots


nike outlet


adidas yeezy boost


adidas outlet clearance


coach bags


ray ban outlet


ugg boots


mulberry uk


christian louboutin outlet


uggs clearance


ralph lauren sale


ugg boots


burberry uk


hermes uk


coach factory outlet online


mac cosmetics


north face outlet


uggs outlet online


ray ban sunglasses


michael kors canada


ray ban solglasögon


louis vuitton handbags


christian louboutin


canada goose outlet


uggs outlet


ray ban sunglasses uk


polo ralph lauren


rolex submariner


pandora bracelet


burberry sale


polo ralph lauren


snapbacks hats wholesale


michael kors handtaschen


polo ralph lauren


coach purses


longchamp outlet


ugg boots


michael kors handbags


nike running shoes


ugg boots on sale


canada goose clearance


ray ban wayfarer


ugg boots clearance


coach factory outlet


burberry sale


christian louboutin shoes


jordan shoes


ugg outlet


michael kors handbags


ugg australia boots


uggs outlet


rolex oyster perpetual datejust


nike outlet


coach factory outlet


nike nfl jerseys


yeezy 350


adidas stan smith


adidas shoes


louis vuitton outlet


longchamp outlet


pandora charms


ugg boots


discount nike


ugg boots clearance


michael kors geldbörse


oakley sunglasses


salvatore ferragamo shoes


nike nfl jerseys


canada goose canada


cheap nhl jerseys


louis vuitton outlet


ugg outlet


swarovski jewelry


louis vuitton


polo ralph lauren uk


air max uk


nike outlet store


ray ban sunglasses


nba jerseys


christian louboutin uk


cheap nfl jerseys


adidas shoes


adidas soccer shoes


kate spade handbags


jordan retro


cheap mlb jerseys


polo ralph lauren outlet


north face jackets


christian louboutin


michael kors outlet


uggs uk


adidas yeezy


ugg boots


coach factory outlet


true religion


nike roshe


cheap jordans


coach outlet online


nfl jerseys


adidas nmd


converse outlet


ralph lauren pas cher


ralph lauren outlet


giuseppe zanotti


tommy hilfiger canada


louis vuitton


moncler jacket


christian louboutin outlet


ugg outlet


polo ralph lauren


ralph lauren outlet


pandora jewelry


north face outlet

louis vuitton outlet


supreme uk


ralph lauren outlet


michael kors outlet


carrera sunglasses


baseball jerseys


oakley sunglasses


ugg boots


michael kors handtaschen


coach outlet


hermes bags


ugg boots


burberry outlet online


birkenstock sandals


zlatan ibrahimovic jersey


tory burch outlet


air jordans


jordan 14


oakley vault


coach handbags


ugg outlet


pandora charms


nike trainers


pandora jewelry


coach wallets


coach factory outlet


coach canada


fitflop shoes


michael kors outlet


true religion jeans


moncler outlet


ugg canada


ray ban canada


mlb jerseys


louis vuitton uk


true religion sale


north face outlet


moncler outlet


cheap nfl jerseys


louboutin shoes


canada goose outlet


michael kors outlet clearance


michael kors handbags


moncler outlet


air jordans


polo ralph lauren outlet


michael kors uk


cheap authentic nfl jerseys


oakley canada


montre rolex pas cher


pandora jewelry outlet


ugg boots


oakley sunglasses cheap


coach factory outlet


adidas yeezy


prada handbags


birkenstock outlet


ray ban sunglasses


ray ban sunglasses


uggs classic boots


cheap ugg boots


nike outlet


adidas trainers


polo ralph lauren

ugg outlet


supreme new york


canada goose outlet


ugg outlet


michael kors handbags


true religion outlet


the north face jackets


canada goose


ferragamo belts


yeezy boost 350


ray ban sunglasses uk


sac longchamp


ralph lauren outlet


ralph lauren polo shirts


pandora uk


uggs clearance


coach factory outlet


armani sunglasses


christian louboutin uk


adidas stan smith shoes


michael kors outlet


uggs outlet


michael kors handbags


yeezy boost 350 kaufen


true religion jeans


pandora canada


prada sunglasses


nike factory outlet


ugg boots clearance


coach outlet store online clearances


adidas trainers


columbia outlet online


rolex datejust


hermes outlet


polo ralph lauren


michael kors outlet


michael kors handbags


ugg boots


uggs outlet


ugg boots


michael kors outlet


coach factory outlet


adidas wings


uggs outlet


oakley sunglasses


michael kors canada


coach outlet


fitflop shoes


ray ban sunglasses


ralph lauren outlet

calvin klein outlet


nfl jerseys


michael kors outlet


coach outlet


the north face outlet


uggs australia


ugg slippers


fitflops sale clearance


ugg boots


tory burch outlet


mulberry uk


dior sunglasses


birkenstock sandals


fitflops shoes


true religion outlet


gafas de sol ray ban


michael kors handtaschen


ugg sale


burberry canada


kate spade outlet


longchamp outlet store


ugg boots


coach factory outlet


rolex submariner date


adidas originals


nfl jerseys wholesale


ralph lauren polo


nike huarache shoes


new balance shoes


coach outlet online


cheap jordans


coach factory online


uggs outlet


mulberry sale


ray ban zonnebril dames


mont blanc pens


michael kors handbags


louis vuitton


superdry uk


tory burch uk


coach factory outlet


supreme clothing


mont blanc pens


fitflops sale


canada goose for sale


louis vuitton outlet


coach outlet online


true religion jeans


prada shoes


oakley sunglasses


michael kors outlet 70% off


cheap jordan shoes


coach outlet


michael kors outlet


ugg boots


burberry scarf/strong>


red bottom shoes


eden hazard jersey


prada handbags


polo shirts


north face outlet


christian louboutin pas cher


fitflop sandals


manolo blahnik shoes


ugg outlet store


michael kors outlet


oakley sunglasses


coach outlet online


mcm outlet


uggs outlet


cheap ugg boots


blackhawks jersey


ugg outlet online


michael kors outlet online


fitflops sale clearance


soccer jerseys


fitflops shoes


nike blazer


mbt shoes


ugg outlet


polo ralph lauren outlet


polo shirts


adidas outlet


nhl jerseys


jordan shoes


red bottom shoes


oakley sunglasses


hermes belt


yeezy boost 350 v2


ralph lauren outlet


uggs outlet


chenlina20170911
Трябва да сте регистриран потребител, за да коментирате статията
"Уязвимостите и разширяващата се вселена"



    

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов