Более 40% сайтов промышленных компаний уязвимы для хакерских атак

Александр Панасенко 08 Августа 2017 - 17:46

...

Более 40% сайтов промышленных компаний уязвимы для хакерских атак

Более половины современных сайтов содержат критически опасные уязвимости, которые позволяют злоумышленникам проводить различные атаки, включая отказ в обслуживании и кражу персональных данных. Такие выводы содержатся в исследовании компании Positive Technologies на основе работ по анализу защищенности веб-приложений за 2016 год.

Как следует из отчета, практически все исследованные веб-приложения (94%) позволяют осуществлять атаки на пользователей, и неудивительно ― половина уязвимостей, вошедших в десятку самых распространенных, используются именно для таких атак. Доступ к персональным данным был получен в 20% приложений, обрабатывающих такие данные (включая сайты банков и государственных организаций).

Больше всего веб-приложений с уязвимостями высокого уровня риска найдено среди сайтов телекоммуникационных компаний (74%). Если же оценивать уровень защищенности в зависимости от возможных последствий, то хуже всего ситуация в промышленности (43% сайтов отличаются крайне низкой степенью защищенности) и в электронной коммерции (34%).

Исследователи отмечают, что уязвимости публичных сайтов по-прежнему являются популярным способом проникновения во внутреннюю инфраструктуру компании: каждое четвертое веб-приложение позволяет проводить такие атаки. Кроме того, четверть веб-приложений содержат уязвимости, позволяющие стороннему злоумышленнику получить доступ к базам данных.

Еще одно важное наблюдение ― веб-приложения, находящиеся в процессе эксплуатации, оказались более уязвимыми, чем тестовые: критически опасные уязвимости выявлены в 55% продуктивных систем и в 50% тестовых систем.

«Это свидетельствует о том, что необходимо проводить анализ защищенности не только в процессе разработки, но и после внедрения в эксплуатацию, ― комментирует Евгений Гнедин, руководитель отдела аналитики информационной безопасности Positive Technologies. ― Для защиты уже эксплуатируемых приложений рекомендуется использовать межсетевые экраны уровня приложений (web application firewalls)».

В исследовании также представлено сравнение эффективности различных методов анализа защищенности приложений («белый ящик» против «черного ящика») и приведены примеры выявления уязвимостей автоматизированным анализатором кода PT Application Inspector.

«Анализ исходного кода показывает намного более высокие результаты, чем исследование защищенности без доступа к коду приложения, ― отмечает Евгений Гнедин. ― Кроме того, тестирование исходного кода в процессе разработки позволяет значительно повысить защищенность конечного приложения. Для анализа исходного кода на различных стадиях разработки целесообразно применять автоматизированные средства, поскольку это позволяет выявить максимальное число ошибок в кратчайшее время».

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 26 Декабря 2024 - 20:33

Android Трояны Домашние пользователи Доктор Веб

Схема с кражей денег при помощи NFC добралась до России

Аналитики антивирусного вендора «Доктор Веб» обнаружили новую версию банковского трояна NGate для Android. Зловред позволяет злоумышленникам снимать деньги со счетов потенциальных жертв в любых банкоматах без контакта со скомпрометированным устройством.

NGate появился еще в 2023 году. Первыми его жертвами стали клиенты чешских банков. Злоумышленники в ходе атаки комбинировали социальную инженерию, фишинг и использование вредоносного кода.

В итоге киберпреступники получали доступ к возможностям скомпрометированного устройства в удаленном режиме. Данная кампания была пресечена правоохранительными органами Чехии, однако её адаптировали для России.

Запускает цепочку компрометации звонок от мошенников. Они заманивают жертву обещаниями социальных выплат или неких финансовых выгод, для получения которых необходимо установить приложение со специального сайта. Приложения маскируются под банковские или клиент Госуслуг.

NGate представляет собой модификацию приложения с открытым исходным кодом NFCGate, которое изначально предназначено для отладки протоколов передачи данных через интерфейс NFC.

Злоумышленники воспользовались возможностью захвата NFC-трафика приложений и передачи его на удаленное устройство, которым может выступать не только сервер, но и любой смартфон.

Авторы зловреда модифицировали код, добавив к нему интерфейсы с айдентикой финансовых организаций, и включили режим ретрансляции NFC-данных. В состав приложения также включили библиотеку nfc-card-reader, которая позволяет удаленно получить номер карты и срок ее действия.

После запуска приложения жертве, якобы для верификации себя в качестве клиента, предлагается приложить платежную карту к смартфону, ввести ПИН-код и подождать, пока псевдоприложение распознает карту.

В это время происходит считывание данных с карты и передача их злоумышленникам. Как обратили внимание в «Доктор Веб», атакуемый смартфон не требует root-доступа.

Пока жертва удерживает карту, приложенную к смартфону, злоумышленник уже будет запрашивать выдачу наличных в банкомате. Возможно использование украденных реквизитов для покупок: в момент, когда нужно будет приложить карту, мошенник просто предъявит свой телефон, который передаст цифровой отпечаток банковской карты жертвы. Подтвердить операцию он сможет полученным раннее ПИН-кодом.

Вместе с тем зловред успешно детектируется антивирусами для Android. Вендор также рекомендует устанавливать приложения только из официальных магазинов и тщательно следить за посещаемыми сайтами.

Аналогичную кампанию обнаружил в ноябре 2024 года банк ВТБ.