Новости

Опубликовано в журнале "Компьютерра" №39 от 19 октября 2004 года.

Страница 7 из 17. Вернуться на первую страницу.

Всем дырам дыры -

Американская некоммерческая организация SANS Institute опубликовала ежегодную «горячую двадцатку» самых опасных (наиболее активно эксплуатируемых) уязвимостей в ИТ-системах. Список (www.sans.org/top20) традиционно поделен на две равные части (по десять пунктов для платформ Windows и Unix) и составлен на основе данных государственных организаций США, Великобритании и Сингапура, а также компаний-разработчиков программного обеспечения и консалтинговых фирм.

Перечислять все дыры, отмеченные в Top 20, смысла нет. Сегодня каждую неделю открывается полсотни новых уязвимостей в массовом софте. И если четыре года назад первый список, составленный SANS на пару с ФБР, действительно содержал описание десятка дыр, то теперь каждый пункт представляет собой свод наиболее опасных багов, объединяемых либо общим назначением уязвимых систем (веб-серверы, сервисы удаленного доступа, P2P-приложения и т. д.), либо природой происхождения (механизмы аутентификации, ошибки ядра и пр.). Вместе с тем стоит отметить, что почти две трети брешей, составляющих сегодняшний Top 20, фигурировали и в прошлогоднем списке. По мнению исследователей, это обусловлено банальной ленью пользователей (прежде всего корпоративных), из которых лишь половина озаботилась устранением проблем.

Документ SANS не претендует на полноту, но может служить хорошим ориентиром, показывающим, на что в первую очередь следует обратить внимание. Впрочем, директор по исследованиям в SANS Алан Пэллер (Alan Paller) призывает и к более радикальным действиям: по его словам, «лучший первый шаг к собственной ИТ-безопасности — отказ от уязвимых продуктов и технологий». Похоже, этому призыву готовы последовать многие, учитывая статистику миграции пользователей Internet Explorer на Firefox, Opera и другие альтернативные браузеры за последние месяцы. — Е.З.