40% flere sårbarheder i 2014 end i 2013

Den danske it-sikkerhedsspecialist Secunia kigger tilbage på 2014, og det så ikke for godt ud med it-sikkerheden

19. december 2014 Lars Bennetzen Sikkerhed, Tophistorier, Udvalgte artikler
it-sikkerhed

Det danske it-sikkerhedsfirma Secunia har kigget lidt tilbage på 2014 ret sikkerhedsmæssigt. Specielt har de kigget på de tre måneder i 2014, hvor vi så det største antal af sårbarheder i nyere tid, nemlig august, september og oktober.

Tech-Test har fået lov til at kigge i rapporten, og vi iler med at bringe informationerne videre til vores læsere.

Inden skal du dog lige have tre spændende fakta, som Secunia har fundet ud af:

Info

Antallet af nye sårbarheder i top 20 produkter i de tre måneder:

1,841

Info

Producenten med flest sårbare produkter i de tre måneder

IBM

Info

Produktet med flest sårbarheder:

Google Chrome

Sådan så 2014 ud sikkerhedsmæssigt

Sårbarheder rammer ikke kun Windows, Java og Flash, selvom de får hovedparten af opmærksomheden. Secunia gør i deres rapport, Vulnerability Update, opmærksom på at alle systemer har sårbarheder, men at vi bare primært hører om de højt profilerede.

it-sikkerhed

Sårbarhederne har haft et godt år i 2014, nok var vi flere der havde en idé om at det var lidt værre end i 2013, men her på redaktionen blev vi overraskede over, at Secunia har fundet ud af, at antallet af sårbarheder i 2014 steg med 40%, hvormed det samlede antal nåede på på 1.841.

And while many of them had patches available on the day of disclosure, a lot of them did not.

Secunia Vulnerability Update No. 1

Sårbarhederne blev fundet i en lang række forskellige produkter brugt i virksomheder. Om sårbarhederne udgør en trussel mod din virksomhed, kan Secunia ikke sige noget om – det handler om, hvordan du bruger dine programmer og it-systemer.

Sårbarheden ingen opdagede

I august var der ni sårbarheder i Open SSL, ikke noget som kan betragtes som kritisk eller problematisk under normale omstændigheder – problemet er blot, at det ikke er almindelige omstændigheder.

Det situationen handler om, er det som Secunia kalder for “Open SSL Take 3,” hvilket vi vender tilbage til lige om et øjeblik.

Først skal vi lige kigge på de tre store sårbarheder vi så i Open SSL i 2014.

  1. Heartbleed/OpenSSL
  2. Shellshock/Bashbug
  3. POODLE

De to første sårbarheder fik en imponerende gang mediedækning, og det var godt. For den megen omtale betød også at systemerne blev opdateret.

Heartbleed

Da Heartbleed ramte, havde 100 producenter en opdatering klar til over 600 produkter i løbet af de første 40 dage. Det samme så vi da Shellshock ramte os – 600 produkter blev opdateret i løbet af 40 dage, og i de næste par uger, blev yderligere 200 produkter identificeret som sårbare.

Så langt så godt, medierne var over udviklingen og producenterne havde travlt med at opdatere systemerne, så de ikke endte på forsiden af verdens medier. Men da POODLE ramte var der radiotavshed.

 

Medierne havde mistet interessen, og konsekvensen var tydelig. Mindre end 20 producenter tog sig tid til at opdatere og patche omkring 50 produkter.

Consequently, not only are there products that are vulnerable and unpatched because of “OpenSSL Take 3”, but they are also undisclosed. And that is really bad!

Secunia Vulnerability Update No. 1

IBMs produkter fulde af sårbarheder

IBMs produkter er, som alle, sårbare. I 2013 kunne Secunia konstatere, at der var 4.000 sårbarheder i IBM-produkter, hvilket betød at IBM-produkter stod for 25% af alle de sårbarheder der blev identificeret i 2013.

Sårbarheder

I følge Secunia har intet ændret sig i 2014. IBM har stadig mange produkter liggende i top 20, en position der i høj grad skyldes at IBM ynder at bundle deres produkter med software fra tredjepart der meget ofte har sårbare biblioteker så som Java og OpenSSL.

Det betyder, at hver gang der findes en enkelt sårbarhed, så skal de tilhørende produkter opdateres. Først af IBM og senere af slutbrugerne.

Anyone running IBM products knows that in the weeks and months following an Oracle Patch Day, they need to get busy patching their IBM applications. All in all, a very time consuming process.

Secunia Vulnerability Update No. 1
About Lars Bennetzen 4193 Articles
Lars Bennetzen har været it- og gadget-journalist siden 1992, og arbejdet som redaktør på PC World, Ingeniøren, Jern- og Maskinindustrien, Procesteknik og Ugens Erhverv. I 2006 blev Lars Chefredaktør på Alt om DATA, og bestyrede det gode gamle it-blad gennem de næste 6 år. I 2012 blev Lars selvstændig og stiftede firmaet Blackbelt Communications og i 2015 startede han Tech-Test. Lars fungerer også som kommunikationskonsulent, taler, moderator og gadgetekspert.

Relaterede Artikler

Nyheder

Næsten 90 % af alle virksomheder udsat for e-mailsvindel i 2019

11. februar 2020 Lars Bennetzen Nyheder, Nyhedsbrev, Sikkerhed, Tophistorier
Cybersikkerhedsleverandøren Proofpoints rapport State of the Phish viser også, at der mangler viden blandt medarbejderne, både når det kommer til at følge de gældende retningslinjer og hvordan truslerne opdages. For eksempel oplyste 40 % af de adspurgte medarbejdere, at de genbruger adgangskoder, og 50 % oplyste, at de ikke har nogen adgangskode på hjemmenetværket, og hver tredje medarbejder vidste ikke, hvad en VPN-forbindelse er, eller hvordan VPN fungerer. Hele 90 % oplyste, at de bruger deres arbejdscomputere og -telefoner til privat brug, hvilket fører til yderligere udfordringer – ikke mindst på grund af den manglende viden blandt medarbejderne. Hele 40 % af de adspurgte medarbejder kendte ikke til begrebet phishing, og knap 70 % havde ikke hørt om ransomware. Phishing og de fleste forsøg på onlinesvindel bygger oftest på det, vi kalder ”social engineering”. Social engineering er forskellige teknikker, der manipulerer modtageren til at udføre handlinger eller videregive fortrolige oplysninger, eller mere direkte svindel såsom godkendelse af betalinger eller give adgang til forretningskritiske systemer. Den bedste måde at beskytte sig på, er at lære mere om risici og uddanne medarbejderne i god informationssikkerhed. Målsætningen skal være, at samtlige medarbejdere i følsomme stillinger kan identificere mulige trusler, og at de forstår vigtigheden og værdien i at rapportere dem til de ansvarlige Fredrik Möller, regionschef for Norden hos Proffpoint Rapporten viser også, at virksomheder, der aktivt uddanner deres medarbejderne i informationssikkerhed, har oplevet målbare forbedringer – 78 % oplyste, at virksomhederne, som resultat af forebyggende arbejde, er blevet mindre modtagelige for phishingangreb. …. (læs mere her)
Nyheder

Bitdefender eksperter lukker kriminel handelsplads sammen med Europol & FBI

24. juli 2017 Lars Bennetzen Nyheder, Nyhedsbrev, Sikkerhed, Tophistorier
Bitdefenders tekniske researchere har i en årrække samarbejdet med Europol og andre myndigheder med at afsløre og samle de tekniske beviser mod kriminelle online-handelspladser som Hansa og AlphaBay. Her blev der i stor stil solgt narkotika, ulovlige stoffer, hælervarer, skydevåben samt ondsindet software, malware, til forskellige former for cyber crimes. Selve operationen er resultatet af mere end et års efterforskning. Tekniske beviser afslører bagmænd Mange kriminelle aktiviteter er på det seneste flyttet over på Hansa-platformen, efter at den lige så kriminelle AlphaBay blev lukket for en måned siden. Det vurderes, at AlphaBay alene – der var det største kriminelle webside – har tjent mere end 1 milliard US dollars på at sælge samme type illegale varer som Hansa. “Europol har i en årrække deltaget i efterforskningen af kriminelle aktiviteter på “the dark web” sammen med Bitdefender, der bl.a har rådgivet Europol Cybercrime Centre (EC3). Europol kunne dermed give de hollandske myndigheder de beviser der førte direkte ind i Hansa allerede i 2016,” beskriver Europol i en pressemeddelelse. “Det har været en fantastisk indsats fra de internationale myndigheder, og vi er stolte over, at have deltaget sammen med vores partnere i Europol”, skriver Catalin Cosoi, Chief Security Strategist hos Bitdefender i en pressemeddelelse. “Vi er glade for at kunne tilbyde vores teknologi og tekniske ekspertise til at bekæmpe cyber-crime og dermed gøre verden til et bedre sted at leve.” Levede i luxus i Thailand I Europols pressemeddelelse oplyses det, at efter at de hollandske myndigheder fik de tekniske beviser, førte videre …. (læs mere her)
Business

Phishing populært i messenger-apps

15. juli 2021 Lars Bennetzen Business, Nyheder, Nyhedsbrev, Sikkerhed, Tophistorier
Messenger-apps er blevet så populære, at de i 2020 gav baghjul til de sociale netværk, som det mest populære kommunikationsværktøj. I 2023 forventes antallet af brugere af messenger-apps at vokse til 40 procent af verdens befolkning, nemlig 3,1 milliarder mod de 2,7 milliarder, der brugte dem i 2020. Når så mange bruger messenger-apps til at kommunikere med andre, så tiltrækker det selvfølgelig også de it-kriminelle. Siden Kaspersky tilføjede den nye funktion Safe Messaging til Kaspersky Internet Security for Android har de kunnet tracke svindelforsøg mod deres brugere. De brugere, der har givet Kaspersky tilladelse til det, er blevet forhindret i at åbne ondsindede links modtaget i deres messenger-apps og via SMS. I løbet af december 2020 og maj 2021 blokerede Kaspersky i alt 91.242 phishing-links i beskeder på WhatsApp, Viber, Telegram og Hangouts. Det største antal phishing-forsøg skete på verdens mest populære messenger-tjeneste WhatsApp, hvor 89,6 procent af alle forsøg på phishing blev stoppet. Med et stort spring nedad finder vi Telegram, Viber og Hangouts med hhv. 5,7%, 4,9% og under 1% af de registrerede og blokerede phishing-forsøg. Phishing forsøg i messenger-apps er et af de mest populære værktøjer blandt svindlerne. Det skyldes til dels tjenesternes store popularitet, men også at it-kriminelle kan misbruge applikationernes indbyggede funktionalitet i deres angreb. Det kan være svært at afgøre, om der rent faktisk er tale om et phishing-link eller ej, da et enkelt forkert tegn i linket enten er phishing eller blot en fejl. Agtpågivenhed kombineret med anti-phishing-teknologi er vejen frem i kampen …. (læs mere her)