Bezpieczni w sieci z OSE: podatności i luki bezpieczeństwa

Tak jak każdy ma swoją piętę achillesową, tak i systemy informatyczne miewają słabe punkty. Dowiedzcie się więcej o podatnościach i przekonajcie się, że aktualizacje sprzętu i oprogramowania naprawdę mają duże znaczenie!

W serii „Bezpieczni w sieci z OSE” co drugi czwartek już od niemal trzech lat podpowiadamy Wam, jak unikać zagrożeń w wirtualnej przestrzeni, jak na nie reagować i co robić, by korzystanie z internetu było bezpieczne i przyjemne. Ostatnio pisaliśmy o kodach QR, wyciekach danych, cyfrowych porządkach i oszustwach w sieci. Dziś powiemy więcej o podatnościach, czyli lukach w oprogramowaniu, które pozwalają cyberprzestępcom na wykonanie działań, których nie przewidział twórca danego programu, aplikacji lub urządzenia. Przygotujcie swoje smartfony, tablety i laptopy – gwarantujemy, że po lekturze tego artykułu sprawdzicie dostępne aktualizacje!

Podatność, czyli co?

Według definicji European Union Agency for Cybersecurity (ENISA) podatność to istniejąca słabość dotycząca projektu lub błąd w implementacji, który może prowadzić do nieoczekiwanego, niepożądanego zdarzenia zagrażającego bezpieczeństwu systemu komputerowego, sieci, aplikacji lub protokołu (enisa.europa.eu).

Wśród luk bezpieczeństwa możemy wyróżnić podatności sprzętowe (wynikające np. z błędnych algorytmów szyfrowania urządzeń), w oprogramowaniu, w sieci (np. spowodowane atakiem man-in-the-middle, polegającym na podsłuchiwaniu i modyfikowaniu wiadomości) oraz organizacyjne (na poziomie bezpieczeństwa firm). Dopóki taka luka nie zostanie naprawiona, atakujący może niekorzystnie wpływać na dany system czy sprzęt. Czas od momentu pojawienia się podatności to „załatania” tej luki nazywamy oknem bezpieczeństwa.

Z podatnościami nierozłącznie wiąże się też exploit, czyli program, wykorzystujący istniejące błędy w oprogramowaniu i umożliwiający atakującemu przejęcie kontroli nad urządzeniem. Szczególnie niebezpieczne są exploity typu zero-day – dotyczące takich luk, które nie są jeszcze znane twórcom produktu ani jego użytkownikom, a więc nie można im przeciwdziałać. Ataki z ich wykorzystaniem mają zatem większą szansę powodzenia.

Antidotum na podatności – aktualizacje

Aby zapobiegać skutkom luk bezpieczeństwa (czyli mitygować ich ryzyko), musicie przede wszystkim czuwać nad tym, by systemy operacyjne i programy na urządzeniach, z których korzystacie, były aktualne. Jeżeli dostaniecie powiadomienie o nowej wersji systemu – natychmiast wykonajcie aktualizację. Najnowsze wersje oprogramowania zwykle naprawiają błędy zauważone np. w trakcie testów penetracyjnych, a tym samym skuteczniej chronią Was przed atakami!

Dlaczego to ważne? Wykorzystanie podatności może mieć poważne skutki, jak choćby wyciek danych czy uzyskanie nieautoryzowanego dostępu do systemu przez oszusta, prowadzące np. do ingerencji w kod oprogramowania. Zdecydowanie lepiej jest poświęcić chwilę na aktualizację, niż borykać się z takimi konsekwencjami!

CERT Polska vs podatności

Warto wiedzieć, że istnieje międzynarodowy program wspierający ujawnianie luk bezpieczeństwa w oprogramowaniu komputerowym – CVE, czyli Common Vulnerabilities and Exposures. Każdy, kto znajdzie podatność bezpieczeństwa, może zgłosić ją do CNA (CVE Numbering Authority): organizacji, które nadają CVE, służące identyfikacji i katalogowaniu publicznie ujawnionych podatności. Od sierpnia 2023 r. taką funkcję pełni także CERT Polska – jako jedyna instytucja w kraju i jeden z siedmiu CERT-ów w Europie.

Wspomniana baza CVE jest bezpłatna i dostępna dla wszystkich. Pomaga organizacjom z całego świata w rozpoznawaniu nowych luk bezpieczeństwa i informowaniu o ich wystąpieniu. Można ją znaleźć na stronie cve.mitre.org.

Jak zgłosić podatność? Najpierw należy skontaktować się bezpośrednio z właścicielem podatnego systemu lub dostawcą oprogramowania. Jeśli to niemożliwe, lukę należy zgłosić do właściwego CSIRT-u (CSIRT MON lub CSIRT GOV, w zależności od zakresu odpowiedzialności) lub CERT Polska/CSIRT NASK za pomocą formularza.

Chcecie dowiedzieć się więcej o polityce zgłaszania podatności do CERT Polska i zasadach działania programu CVE? Zajrzyjcie na stronę cert.pl/cvd.

22.02.2024

Najnowsze artykuły