Новости / май 2022
Баги наращивают значимость

90% заказчиков "РТК Солар" столкнулись с ростом рисков быть атакованными. Наиболее распространенными типами атак являются DDoS и эксплуатация разного рода уязвимостей в используемом ПО.
© ComNews
26.05.2022

Рост напряженности привел к усилению разного рода негативной активности в отношении российских предприятий, учреждений и организаций. Как отметил менеджер по развитию бизнеса Solar AppScreener Владимир Высоцкий на вебинаре "Новые вызовы безопасной разработки в новых реалиях", 90% заказчиков реально столкнулись с усилением атак. Наиболее распространенными являются DDoS и непрямые атаки, прежде всего связанные с дефейсами сайтов. И это далеко не самый опасный сценарий эксплуатации разного рода уязвимостей в ПО.

Как напомнил Владимир Высоцкий, существует два класса уязвимостей: неумышленные ошибки и внедренные намеренно (они же недекларируемые возможности, или НДВ). Бывают и пограничные варианты. Тут Владимир Высоцкий привел пример мобильного приложения одной из сетей быстрого питания, где разработчики просто забыли убрать в релизной версии функцию сбора данных о заказах, которая использовалась на стадии тестирования.

И поиск уязвимостей становится востребован все больше. Этому способствует целый ряд факторов. В частности, с февраля текущего года заметно активизировалось включение НДВ в свободно распространяемые библиотеки и ПО с открытым кодом. Владимир Высоцкий сослался на проект сообщества "Техдирский клуб", участники которого собирают проекты, включающие неприемлемые компоненты.

https://www.comnews.ru/content/219459/2022-03-28/2022-w13/pakostnikov-vyveli-chistuyu-vodu

Таких проектов уже более 240. Обладающих по-настоящему деструктивными функциями среди них считаное количество, а преобладают те, которые выводят разного рода политические лозунги или медиаконтент. Причем эти средства срабатывают только тогда, когда запуск кода производится на территории России или Белоруссии.

Вручную обнаружить такого рода НДВ довольно сложно и трудоемко. При этом, как подчеркнул Владимир Высоцкий, сделать это намного проще, чем найти неумышленную уязвимость, которые намного более опасны. Тут хорошим примером является Log4j, обнаруженная в декабре 2021 г. и которая использовалась во множестве приложений. В итоге ситуация принципиально не поменялась. Подтверждением тому стало включение в российский ГОСТ по безопасной разработке требования по сканированию кода. В новой версии ГОСТа, которая находится в стадии согласования, данная норма сохранится. И с 2023 г. соответствие этому ГОСТу станет обязательным для ПО, которое будет работать на объектах критической информационной инфраструктуры. Также такое требование предъявляет к разработчикам Центральный банк России и ряд крупных компаний - например, Россети.

Новости из связанных рубрик