Деннис Фишер

Фирма Internet Security Systems выпустила "Каталог катастрофических рисков" (Catastrophic Risk Index, CRI), в котором собраны сведения о наиболее серьезных на сегодня дефектах безопасности - всего 31 пункт - и об атаках с их использованием.

Каталог адресован администраторам вычислительных систем. Постоянно обновляемый, он должен напоминать о первоочередных вопросах обеспечения безопасности сетей. Как и следовало ожидать, все перечисленные в документе риски, за исключением двух, связаны с переполнением буфера.

Это самое уязвимое место как в коммерческих, так и в свободно распространяемых с исходными текстами программных продуктах. Разнообразные подверженные переполнению буферы присутствуют практически в любых приложениях, приводя к одним и тем же последствиям: атака извне завершается несанкционированным доступом к ответственному приложению или серверу.

Для включения в CRI дефект безопасности должен отвечать ряду критериев: быть достаточно распространенным, чтобы затрагивать организации различных отраслей; представлять серьезную угрозу конфиденциальности, целостности или готовности ответственных данных; создавать угрозу катастрофического отказа систем, от которых зависит функционирование бизнеса; быть привлекательным для создателей вирусов. Около трети списка приходится на свободно распространяемое в исходных текстах ПО, в том числе OpenSSL, Sendmail и Snort. Остальные места достались коммерческим программным продуктам, в большинстве своем производимым корпорацией Microsoft (12 позиций). Еще два поставщика коммерческих продуктов - фирмы Sun Microsystems и PeopleSoft - получили по два места.

Каталог подготовлен образованной в рамках ISS исследовательской группой X-Force, в планы которой входит его регулярное обновление. Таким образом, пользователи всегда будут иметь в своем распоряжении список дефектов безопасности, наиболее серьезных на текущий момент.

Представители ISS поясняют, что целью этой работы послужило желание нивелировать информационное давление на клиентов, которых ежедневно заваливают сообщениями о все новых дефектах и атаках.

"Наши специалисты по компьютерной безопасности обнаруживают две-три сотни новых дефектов в месяц. Если компания хочет заниматься каким-то еще делом, такая нагрузка будет для нее совершенно непосильной", - прокомментировал вице-президент X-Force Крис Ролан.