25.2.18

Izvješće o stanju računalnih ranjivosti

Tvrtka Risk Based Security je prije prije desetak dana objavila zanimljivo istraživanje o stanju računalnih ranjivosti u 2017. godini. Spomenuta tvrtka održava bazu podataka o računalnim ranjivostima VulnDB (komercijalna verzija nekad slobodno dostupne OSVDB baze podataka o računalnim ranjivostima). Preporučujemo pročitati izvješće, a ovdje ću izdvojiti nekoliko indikativnih podataka o još uvijek podcijenjenoj komponenti informacijskih rizika.

  • Prvi podatak - u 2017. godini je formalno evidentirano 20.832 ranjivosti, što je porast od 31% u odnosu na 2016. godinu - čak i ne smatram ključnim. Na taj broj su mogli utjecati i neki drugi faktori osim pada kvalitete softverskih proizvoda - od unaprjeđenja prakse traganja za računalnim ranjivostima, proširenja platformi obuhvaćene istraživanjem ranjivosti, promjena prakse prijave ranjivosti... Zanimljive su, zapravo, druge informacije o svojstvima samih ranjivosti.
  • Što se tiče ocjena ranjivosti prema CVSSv2 standardu ocjenjivanja, zadržana je raspodjela koja je zacrtana i u ranijim godinama: oko 40% ranjivosti ima CVSS ocjene 7 ili više, a gotovo 20% ocjene 9 ili 10 (točnije, 17,2% u 2017.).
  • Analizirajući podatke o scenarijima iskorištavanja ("exploit"),  izvješće pokazuje da za 39,5% ranjivosti postoje "exploit" scenariji, a za 6.569 ranjivosti postoje javno objavljeni "exploit" scenariji. Preostali scenariji su prisutni u komercijalnim paketima ili za njih postoji dovoljna količina informacija za uspješno iskorištavanje u praksi. Za širu sliku, treba uzeti u obzir da se u svakoj tekućoj godini pojavljuju "exploit" scenariji za ranjivosti iz prethodnih godina koji nisu obuhvaćeni ovim brojkama.
  • Osobito je zanimljiv podatak o vektoru iskorištavanja određenog "exploit-a", tj. točke s koje napadač pokreće scenarij napada. Gotovo pola utvrđenih ranjivosti (točnije 49,9%) može biti pokrenuto s udaljenih lokacija odnosno preko mreže, što se smatra najkritičnijim vektorom napada. Ako ovom broju pribrojimo oko 7.000 ranjivosti čije iskorištavanje ovisi o lokalnom kontekstu, dolazimo do preko 17.000 ranjivosti koji se sasvim sigurno ili prilično izvjesno mogu iskoristiti mrežnim putem, što za napadača predstavlja ležerniju i poticajniju priliku za ostvarivanje ciljeva.
  • Za 23,2% ranjivosti iz 2017. godine nije bilo odgovarajućih popravaka (programskih zakrpi ili softverskih nadogradnji). Ako uzmemo u obzir uobičajeno neučinkovit proces primjene ovih popravaka onda možemo zaključiti da značajni opseg resursa ostaje ranjiv.
  • Nedovoljna, neispravna ili čak nepostojeća kontrola aplikativnih ulaznih vrijednosti  predstavlja uzrok za 66,7% ranjivosti. Ova činjenica govori o nekvalitetno provedenom procesu razvoja i testiranja aplikacija i potvrđuje nam da je upravo ovo područje ključ za ograničavanje računalnih ranjivosti.
  • Sigurnosni softver sudjeluje s gotovo 1000 ranjivosti u ukupnom broju ranjivosti u 2017. godini, a dodatnu ozbiljnost ovoj činjenici daje i podatak da je proizvođačima trebalo prosječno 195 dana za otklanjanje ovih nedostataka.
  • Među zanimljivim podacima iz prošlogodišnjeg izvješća možemo istaknuti one o ranjivostima u SCADA sustavima i programima vezanim za kriptovalute. U SCADA sustavima (računalnim sustavima kojima se kontrolira kritična infrastruktura - od nadzora industrijske infrastrukture, proizvodnje i distribucije energetskih resursa pa do upravljanja industrijskim procesima) izbrojeno je 692 ranjivosti - broj koji izgleda nizak u odnosu na ukupan broj ranjivosti ali nikako nije zanemariv s  obzirom na značaj ili s obzirom da je dvije trećine nalaza visoke kritičnosti (CVSSv2 ocjena 7 ili više). Što se tiče kriptovaluta, imamo, za sada,  simbolički broj od 60 ranjivosti no koji ukazuje na prisutnost slabih točaka u ovoj tehnologiji koja je u 2017. doživjela značajnu afirmaciju.
Pored indikatora opisanih u dokumentu, moramo biti svjesni i činjenice da smo u 2017. godini imali eskalaciju ranjivosti koja je bila poznata godinama ranije ali koja nije bila javno objavljena niti obuhvaćena VulnDB, OSVDB ili NVD/CVE bazom podataka i to iz jednostavnog razloga što podaci o ovim ranjivostima nisu bili objavljeni. Možemo biti sigurni da i danas postoji negdje arsenal takvih ranjivosti.


Ipak, zaključit ću u pozitivnom tonu: računalne ranjivosti su izuzetno značajna komponenta ukupnih informacijskih rizika, no, srećom, jedina kojom možemo koliko-toliko upravljati.