Bezpieczeństwo informacji

   Dział SecurityAlert to baza danych prezentująca zbiór błędów w różnych aplikacjach, począwszy od systemów operacyjnych, po inne różne aplikacje, które można wykorzystać do niecnych celów. Baza ta przedstawia opisy błędów, które zostały podpisane unikalnym numerem CVE. Dzięki temu przedstawione przez nas błędy są autentyczne a ich podatność miała miejsce. Staramy się prowadzić rzetelną i przejrzystą bazę luk. Każda podatność jest opisana według pewnego schematu i posiada swój własny numer „SecurityAlert”, który pomaga w identyfikacji luki w naszym serwisie. Prosimy go używać odwołując się do danej podatności. Także istnieje możliwość odwołania się do błędu poprzez numer CVE. Wtedy odwołanie powinno wyglądać według poniższego schematu:

  http://securityreason.com/polish/securityalert/cvename/CVE-NUMER

  http://securityreason.com/polish/securityalert/SECURITYALERT-ID

Rubryka „Poziom ryzyka” (SecurityRisk) opisuje nam poziom zagrożenia danego błędu. Jak bardzo może on być niebezpieczny dla posiadacza danej aplikacji. Obecnie posiadamy podział na trzy wartości zagrożenia.

- Poziom niski (Low) - używany jest przy podatnościach typu : Cross Site Scripting i pochodne (CSRF), Full path disclosure oraz lokalne wykorzystanie Denial of Service (DoS). Również przy atakach, które ujawniają poufne dane oraz informacje o systemie informatycznym , aplikacji webowej .

- Poziom średni (Medium) - używany jest przy podatnościach typu : SQL Injections, Directory traversal, zdalne wykorzystanie Denial of Service (DoS) oraz przy podatnościach, które umożliwiają zwiększenie uprawnień. Również przy atakach, które umożliwiają przejęcie kontroli nad systemem informatycznym , aplikacji webowej , gdzie wymagana jest interakcja użytkownika.

- Poziom wysoki (High) - używany jest przy podatnościach typu : Remote File Include , Command Injections. Również przy atakach, które umożliwiają przejęcie kontroli nad systemem informatycznym, aplikacji webowej oraz do zdalnego wykonywania komend . Zwykle podatności są wykorzystywane zdalnie bez wiedzy użytkownika oraz nie wymagają interakcji użytkownika.

„Zdalny błąd” (Remote) - Opisuje podatności w których napastnik może zdalnie przejąc kontrole nad daną aplikacją i nie potrzebuje dostępu do systemu czy sieci lokalnej.

„Lokalny błąd” (Local) - Opisuje podatności w których napastnik autoryzowanym użytkownikiem i potrzebuje dostępu do systemu.

„Exploit” (Exploit Given) - Informuje czy w poniższym opisie (advisory) występuje szczegółowa informacja na temat sposobu wykorzystania danej podatności (proof of concept - POC)

Produkt SecurityAlert, został oficjalnie objęty patronatem medialnym przez magazyn "Hakin9".

Common Vulnerabilities and Exposures (CVE) to: Lista standaryzowanych nazw zagrożeń oraz innych ujawnień zabezpieczeń informacji – CVE ma na celu standaryzację nazw wszystkich publicznie ujawnionych zagrożeń oraz ujawnień zabezpieczeń. Więcej

Common Weakness Enumeration (CWE) jest spisem rodzajów słabych punktów w oprogramowaniu, stworzonym aby:

Więcej

Cross-site scripting (XSS) - sposób ataku na serwis WWW polegający na osadzeniu w treści atakowanej strony kodu (zazwyczaj JavaScript), który wyświetlony innym użytkownikom może doprowadzić do wykonania przez nich niepożądanych akcji. Skrypt umieszczony w zaatakowanej stronie może obejść niektóre mechanizmy kontroli dostępu do danych użytkownika. Więcej

SQL injection - luka w zabezpieczeniach polegająca na nieodpowiednim filtrowaniu lub niedostatecznym typowaniu i późniejszym wykonaniu danych przesyłanych w postaci zapytań SQL do bazy danych. Podatne są na niego systemy złożone z warstwy programistycznej (przykładowo skrypt w PHP, ASP, JSP itp.) dynamicznie generującej zapytania do bazy danych (MySQL, PostgreSQL itp.). Wynika on zwykle z braku doświadczenia lub wyobraźni programisty. Więcej

Cross-site request forgery - to metoda ataku na serwis internetowy, która często (m.in. na skutek jednoczesnego wykorzystania) mylona jest z cross-site scripting (XSS) bądź jest uznawana za jej podzbiór. Ofiarami CSRF stają się użytkownicy nieświadomie przesyłający do serwera żądania spreparowane przez osoby o wrogich zamiarach. W przeciwieństwie do XSS, ataki te nie są wymierzone w strony internetowe i nie muszą powodować zmiany ich treści. Celem hakera jest wykorzystanie uprawnień ofiary do wykonania operacji w przeciwnym razie wymagających jej zgody. Więcej

Privilege escalation - to jedna z konsekwencji wykorzystania błędów w aplikacjach lub w systemach operacyjnych, polegająca na zdobyciu uprawnień do zasobów, które w normalnym przypadku są dla atakującego niedostępne. W przypadku systemów wieloużytkownikowych, jedną z form eskalacji uprawnień jest wykorzystanie błędów programistycznych w aplikacjach, które pracują z innymi uprawnieniami niż te, które posiada posługująca się nimi osoba. Są to zwykle usługi systemowe, albo programy, których pliki wykonywalne mają ustawioną flagę setuid lub setgid, a ich właścicielem jest użytkownik o podwyższonych uprawnieniach – zwykle root. Inną, relatywnie często wykorzystywą techniką prowadzącą do eskalacji uprawnień jest wykorzystanie błędów programistycznych w jądrze systemu operacyjnego. Więcej

denial-of-service attack (DoS attack) - atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów. Atak polega zwykle na przeciążeniu aplikacji serwującej określone dane czy obsługującej danych klientów (np. wyczerpanie limitu wolnych gniazd dla serwerów FTP czy WWW), zapełnienie całego systemu plików tak, by dogrywanie kolejnych informacji nie było możliwe (w szczególności serwery FTP), czy po prostu wykorzystanie błędu powodującego załamanie się pracy aplikacji. Więcej

Buffer overflow (Buffer overrun),(BO) - błąd programistyczny polegający na pobraniu do wyznaczonego obszaru pamięci (bufora) większej ilości danych, niż zarezerwował na ten cel programista. Taka sytuacja może często prowadzić do zamazania danych znajdujących się w pamięci bezpośrednio za buforem, a w rezultacie do błędnego działania programu. W wielu sytuacjach, zwłaszcza gdy dane, które wpisywane są do bufora podlegają kontroli osoby o potencjalnie wrogich intencjach, może dojść do nadpisania struktur kontrolnych programu w taki sposób, by zaczął on wykonywać operacje określone przez atakującego. Przyczyną powstawania takich błędów jest najczęściej brak odpowiedniej wiedzy lub należytej staranności ze strony autora oprogramowania Więcej

Integer overflow – błąd programistyczny, spowodowany nieprawidłowym oszacowaniem zakresu wartości, które może przyjąć zmienna w trakcie pracy programu. Możliwą konsekwencją błędu tego typu jest nadpisanie pamięci poprzedzającej bufor lub przepełnienie bufora, co w konsekwencji może prowadzić do przejęcia kontroli nad podatną aplikacją przez osobę trzecią. Więcej

Staramy się dobrze opisać każdy alert, by czytelnik mógł dobrze zrozumieć ten błąd i odpowiednio zinterpretować.