Izvori informacija o sigurnosnim ranjivostima
Danas je gotovo nemoguće razviti ili pronaći programski proizvod koji ne sadrži brojne sigurnosne ranjivosti. Ranjivost označava nedostatak u sustavu i programu čije uspješno iskorištavanje može dovesti do narušavanja sigurnosti informacija ili cijelog sustava. Neki od najčešćih uzroka pojave sigurnosnih ranjivosti leže u programerskim pogreškama, nepravilnostima u implementaciji protokola, neodgovarajućem rukovanju memorijom ili ulaznim podacima i sl. Vjerojatnost uspješne zlouporabe ranjivosti povećava se kod složenijih sustava, prilikom uporabe alata s poznatim ranjivostima te u slučaju neadekvatnog održavanja sustava i lošeg upravljanja lozinkama.
Sustavno praćenje sigurnosnih ranjivosti uvodi se još prije 50-ak godina osnivanjem prvih sigurnosnih organizacija s takvim zadatkom. Proces praćenja uključuje 5 faza, a počinje kada neka osoba ili organizacija otkrije potencijalni sigurnosni nedostatak. Sljedeći korak odnosi se na obavještavanje proizvođača o otkrivenim nepravilnostima. Proizvođač zatim provodi istragu kako bi ispitao navode o sigurnosnoj ranjivosti. U slučaju da se postojanje ranjivosti potvrdi, proizvođač razvija potrebnu programsku nadogradnju. Posljednja faza praćenja označava javno objavljivanje informacija o ranjivosti te pružanje rješenja korisnicima.
Brojne sigurnosne organizacije pokrenule su vlastite projekte za praćenje sigurnosnih ranjivosti čime je svaka uvela vlastiti identifikator ranjivosti. Radi se o posebnoj oznaci dodijeljenoj jednoj ranjivosti koja omogućuje lakšu pretragu baza i identificiranje prijetnji. Ipak, razvoj većeg broja identifikatora otežava pretraživanje i povezivanje informacija iz različitih izvora podataka o sigurnosnim ranjivostima. Zbog toga se identifikator CVE (eng. Common Vulnerabilities and Exposures) istaknuo kao referentni identifikator. Njegova je uloga omogućiti jednostavno dijeljenje podataka preko raznih baza podataka o mrežnoj sigurnosti te pružiti temelj za provjeru konvergencije alata. Budući da omogućuje uporabu jedne oznake i opisa za jednu ranjivost, mnoge organizacije omogućile su kompatibilnost s CVE standardom te uvele CVE identifikatore u sigurnosne preporuke. Osim CVE identifikatora, neki od češće korištenih su i Bugtraq ID (koji koristi mailing lista Bugtraq) te OSVDB (eng. Open Source Vulnerability Database) ID (oznaka unutar OSVDB baze).
Sve informacije prikupljene o sigurnosnim ranjivostima pohranjuju se u velike baze podataka pod vodstvom neke organizacije. Jedna od najpoznatijih je CVE Mitre baza koja sadrži sustavno kategorizirane ranjivosti po CVE identifikatorima kako bi se olakšalo dijeljenje podataka. Razlikuje se od ostalih baza jer ne sadrži informacije o razini rizika, načinu uklanjanja prijetnji ili detaljnim tehničkim informacijama. Ona pruža samo standardni identifikacijski broj, oznaku statusa, kratki opis i reference na dodatne informacije. Osim organizacije Mitre, vlastite baze podataka razvile su i mnoge druge organizacije poput OSVDB, Secunia, SecurityFocus i CERT.
Velika količina podataka o sigurnosnim ranjivostima zahtijevala je razvijanje standardnih oznaka za jednostavniju identifikaciju i praćenje ranjivosti. Osim ranije spomenutog CVE standarda uveden je standard CWE (eng. Common Weakness Enumeration) koji omogućuje grupiranje srodnih ranjivosti u grupe. Pruža jedinstvenu skupinu sigurnosnih ranjivosti programa omogućujući efektivnije rasprave, opise te odabir sigurnosnih alata koji mogu detektirati neku ranjivost. Standard CPE (eng. Common platform enumeration) je strukturirana shema za imenovanje informatičko tehničkih sustava, platformi i programskih paketa. Temeljen je na generičkoj sintaksi za URI (eng. Uniform Resource Identifiers) nizove. Omogućuje jedinstveno označavanje platformi na kojima su otkrivene sigurnosne ranjivosti. Još dva standarda značajna su za proces praćenja ranjivosti su standard CCE (eng. Common Configuration Enumeration) koji definira jedinstvene identifikatore za probleme u konfiguraciji sustava i standard CEE (eng. Common Event Expression) koji standardizira način opisa, zapisa i razmjene događaja na računalima.
U postupku praćenja sigurnosnih ranjivosti sigurnosne organizacije suočavaju se s raznim problemima, a jedan od osnovnih je vezan uz analizu podataka. Kako je broj novih sigurnosnih ranjivosti u stalnom porastu, sigurnosne organizacije suočene su s teškim zadatkom. One moraju provjeriti točnost svih prijavljenih informacija prije njihove javne objave. Često se javlja zabrinutost radi javne objave ranjivosti, načina zlouporabe te popisa ugroženih sustava i proizvoda. Razlog tome je što takve podatke napadači mogu iskoristiti za traženje ranjivih sustava ili stvaranje alata za iskorištavanje propusta. Ipak, javnim objavljivanjem ranjivosti korisnike ugroženih proizvoda upozorava se na postojanje sigurnosnih problema te navodi na traženje rješenja. Zbog toga, većina sigurnosnih organizacija provodi praksu u kojoj prije objave informacija obavještava proizvođača kako bi izdao potrebnu programsku nadogradnju. Poseban problem predstavljaju tzv. zero-day ranjivosti, tj. ranjivosti u programima koje nisu poznate proizvođačima tih istih programa. Budući da za takve ranjivosti ne postoji adekvatno programsko rješenja, njihova zlouporaba može imati ozbiljne posljedice za korisničke sustave.
Broj informacija u bazama podataka svakodnevno je u porastu zbog otkrivanja novih ili nadopune informacija o postojećim ranjivostima. Prema tome, u budućnosti se može očekivati razvoj novih baza i standarda za otkrivanje ranjivosti, njihovu analizu, praćenje te objavu. Njihov cilj će biti bolje povezivanje informacija, kao i bolja konzistentnost i konvergencija baza, standarda i alata. Također, u budućnosti se očekuje podizanje svijesti korisnika o prijetnjama koje nose sigurnosne ranjivosti te mogućnostima koje nudi njihova javna objava. Osim bolje suradnje s korisnicima, predviđa se uključivanje cjelokupne sigurnosne zajednice (raznih organizacija, istražitelja, proizvođača i sl.) u postupak otkrivanja, ispravljanja i objave ranjivosti.
Izradu dokumenta "Izvori informaicja o sigurnosnim ranjivostima" financirao je Nacionalni CERT, i možete ga pročitati na službenim stranicama CERT-a.
|
