2011 harmadik negyedévének IT biztonsági trendjei
21 perc olvasás
Milyen fontos, netán trendjelző események játszódtak le a nyár végén, az ősz elején az informatikai biztonság területén? Milyen új fenyegetésekkel kell számolnunk, s hogyan igyekeznek védekezni ellenük állami és szervezeti szinten, illetve az otthonokban?
Milyen fontos, netán trendjelző események játszódtak le a nyár végén, az ősz elején az informatikai biztonság területén? Milyen új fenyegetésekkel kell számolnunk, s hogyan igyekeznek védekezni ellenük állami és szervezeti szinten, illetve az otthonokban?
Beszámolónkban nemcsak ezekre a kérdésekre igyekszünk válaszolni, hanem – a VirusBuster Kft. víruslaboratóriumának észlelései alapján – áttekintést nyújtunk a 2011. július-szeptember időszak leggyakoribb számítógépes károkozóiról, illetve azok legjelentősebb webes forrásairól is.
Negyedéves összefoglalónk főbb témái:
1. Államok rémálmai
2. Bűn…
3. … és bűnhődés
4. Spamesnek áll a világ?
5. Kiemelkedő kártevők
6. Folt hátán folt
Az anyag elkészítéséhez felhasználtuk a Puskás Tivadar Közalapítványon belül működő CERT-Hungary Központ adatait, illetve a szerteágazó nemzetközi kapcsolataink révén begyűjtött információkat is. Bízunk benne, hogy összefoglalónkban mind a szervezeti, mind az egyéni felhasználók találnak számukra hasznos információt.
1. Államok rémálmai
Izgalmas előadást tartott szeptember elején Londonban Michael Chertoff, az Egyesült Államok korábbi belbiztonsági minisztere. Kifejtette: a világháló előretörése „kétségtelenül növekvő kockázatot jelent". „Minél fejlettebb a technológia, annál inkább számíthatunk arra, hogy rendkívül veszedelmes behatolók látogatnak kiberterünkbe" – jelentette ki.
Az amerikai belbiztonsági minisztérium jelenlegi vezetői láthatóan osztják Chertoff aggodalmát. Júliusban arra figyelmeztettek: annyi részlet került napvilágra az eredetileg feltehetőleg iráni nukleáris létesítmények megrongálására kifejlesztett Stuxnet féregről, hogy hackerek viszonylag könnyen elkészíthetik a kártevő valamilyen hasonmását. Márpedig akinek ilyen eszköz van a birtokában, az erőművek, vízszolgáltatási létesítmények és más, a kritikus infrastruktúra részét képező objektumok ellen is bevetheti azt. Nemzetállamok, szervezett bűnöző csoportok, de akár Amerikában élő egyének is „célba vehetik az Egyesült Államok információs infrastruktúrájának elemeit, s így létfontosságú rendszereket állíthatnak le vagy tehetnek tönkre" – fogalmaztak a minisztérium tisztségviselői.
Volt olyan szakértő is, aki nemrég azzal riogatott: ha valaki egy börtön rendszerébe csempészne valamilyen Stuxnet-szerű férget, azzal kikapcsolhatná a riasztókat, sőt ajtókat, kapukat nyithatna ki. Könnyű átlátni, hogy ennek közbiztonsági, de politikai síkon milyen következményei lehetnek.
Nemcsak a nagyhatalmak vezetőit és szakértőit foglalkoztatják ilyen gondolatok. Hasonló problémákat feszegettek szeptember végén a budapesti Arena Plazában is, az immár hetedszer – és nagy sikerrel – megrendezett Informatikai Biztonság Napja (ITBN) egyes előadásain. Így nagy érdeklődés kísérte Angyal Zoltánnak, a Puskás Tivadar Közalapítvány hálózatbiztonsági igazgatójának, a CERT-Hungary Központ vezetőjének prezentációját. Szervezetük munkájáról szólva a szakember a kritikus információs infrastruktúra védelmét és a nemzetközi kapcsolatok építését, illetve ápolását nevezte a két legfontosabb feladatnak. Megtudhattuk azt is, hogy tavaly az év szinte minden napjára jutott hazánkban egy incidens – a CERT-nek 2010-ben összesen 306 esettel kellett megküzdenie.
Egy nagyhatalomnak persze nagyságrendekkel több támadással kell számolnia. Vegyük például Kínát, amelyet a világsajtóban az elmúlt hónapokban nem egyszer vádoltak kiberakciók szervezésével. Ám az ottani CERT 2010-et áttekintő jelentése szerint az ázsiai ország kormánya maga is a hackerek kereszttüzében állt. Az augusztusban közzétett dokumentumban az áll: az incidensek száma megközelítette a félmilliót. A támadásokat többnyire trójaiakra építették, s az országon kívülről indították – 14,7 százalékukat az Egyesült Államokból, 8 százalékukat pedig Indiából.
Persze egy kiberháborúban pont az okozhatja a legtöbb fejtörést a stratégáknak: ki is valójában a támadó? A mai napig csak találgatni lehet, milyen szervezet állt amögött a – szakmai körökben Shady RAT néven elhíresült – kémtámadás-sorozat mögött, amely 2006 közepétől 28 hónapon át folyt. Elemzők szerint a kártevőkre épített akciók jegyei arra utalnak, hogy egy nemzetállam kívánt információhoz jutni – mégpedig igen sok helyről. A támadások nem kevesebb, mint 14 országra terjedtek ki. Az áldozatok listája rendkívül változatos: ott találjuk az amerikai szövetségi kormányt, a kanadai, a vietnámi és a tajvani kormányt, az ENSZ-t. Támadás ért 13 katonai szállítót, három építőipari, négy informatikai, valamint több műholdas távközlési céget, sőt, öt sportszervezetet is.
Azt sem tudni bizonyossággal, ki a felelős azért a gigatámadásért, amelyet Dél-Korea szenvedett el júliusban. Az, hogy kínai IP címekről indították az akciót, önmagában nem bizonyít semmit. De mi is történt? Nos, az országban rendkívül népszerű Nate portált, valamint a Cyworld közösségi hálózatot törték fel ismeretlen tettesek. A Cyworldnek 35 millió felhasználója van, s potenciálisan valamennyiük neve, telefonszáma, e-mail címe a hackerek kezére kerülhetett. Más szóval a támadók a 49 milliós Dél-Korea gyakorlatilag teljes internetező táborát egy csapásra „kiütötték".
Ilyen adatok hallatán nem meglepő, ha egy tanulmányban azt olvassuk: a számítógépes bűnözés már nagyobb tényező a világ gazdaságában, mint a kábítószer-kereskedelem. A marihuána-, a heroin- és a kokain-piacot összességében 388 milliárd dollárra becsülik. Ugyanakkor a kibertámadások világszerte 114 milliárd dollár közvetlen kárt okoztak, amihez ha hozzávesszük a nyomozásra és helyreállításra fordított idő 274 milliárdra becsült értékét, összesen 391 milliárd dollárt kapunk.
Becslések szerint minden másodpercben 14-en – napi több mint egymillióan – esnek valamilyen informatikai incidens áldozatául. Az emberek túlnyomó többsége mégsem látja a kockázatot. Jóllehet egy kutatásban a megkérdezettek 74 százaléka tudott a kiberbűnözésről, 41 százalékuknak nem volt naprakészen tartott védelmi szoftvere, s 61 százalékuk egyszerű, állandó jelszavakkal dolgozott.
A közelmúlt eseményei arra is rávilágítottak, hogy az IT nemcsak a kártevők vagy kibertámadások révén érinti mindannyiunk biztonságát. Emlékezetes, hogy a tavaszi arab forradalmakat jórészt a Facebookon szervezték. Nos, a nyár végi angliai zavargások szítóinak is megvolt a maguk informatikai háttere: a Blackberry okostelefon, illetve a rajta működő (zártkörű) üzenetküldő szolgáltatás, a Messenger.
Pár éve még üzletemberi státusszimbólum volt a RIM cég kézikészüléke. Napjainkra ez a helyzet ugyancsak megváltozott: egy közelmúltban végzett felmérés szerint a brit tinédzserek 37 százalékának a Blackberry az első számú kommunikációs eszköze. Így aztán nem csoda, hogy a rendbontás által különösen sújtott Tottenham parlamenti képviselője egyenesen azt kérte a RIM-től: éjszakára állítsa le a Blackberry Messengert. Erre ugyan nem került sor, ám a cég együttérzését fejezte ki az áldozatok iránt és együttműködést ígért a hatóságoknak. Egy ilyen ígéret nagyon is jól jön a rendőröknek, hiszen a RIM átadhatja nekik – dekódolva – az üzenetforgalmat.
Dekódolni azért kell, mert a Blackberry szolgáltatásnak része az erős titkosítás. Ami az üzletembereknek jól jött, az azonban a világ egyes tájain gondok forrása. Az indiai távközlési minisztérium például már régóta követel a RIM-től hozzáférést az ottani Blackberry forgalomhoz, nemzetbiztonsági érdekekre hivatkozva. Tény, hogy a kontinensnyi országban 500-600 ezerre teszik a RIM készülékeinek számát, s mindannyian emlékezhetünk az ott elkövetett véres terrorcselekményekre. A gyártó több megoldást javasolt, de Indiát egyelőre egyik sem elégítette ki. A hatóságok várhatóan azt követelik majd, hogy a cég állítson fel Indiában szervert, amelyet aztán szükség esetén lehallgathatnak.
Az ötlet nem eredeti: Szaúd-Arábiában ugyanilyen érvek alapján pontosan erre kötelezték a RIM-et. Az Egyesült Arab Emirátusokban viszont egyenesen betiltották a szolgáltatást. A sorba szeptemberben beállt Dél-Afrika, amely ugyancsak hozzá kíván férni az üzenetforgalomhoz.
2. Bűn…
Az előzőekből is kiderült: a kibertámadások nem állnak meg egy pillanatra sem. Az akciók többségét az anyagi haszonszerzés motiválja, de nem kevés az üzleti és hatalmi érdekből, ideológiai alapon vagy személyes indulatból elkövetett támadás sem. Minél híresebb, nagyobb az áldozat, annál nagyobb port kavar az eset.
Hogy személyekkel – sztárokkal – kezdjük, júliusban David Beckham nemcsak azzal került a lapok címoldalára, hogy megszületett az első lánya. Az is bejárta a világsajtót, hogy a világhírű labdarúgó website-ját feltörték, s a látogatót egy ebeledel-reklámposzter elfogyasztásán fáradozó kutya képe fogadta. Nem járt jobban Lady GaGa sem, akinek a webhelyéről viszont csodálók ezreinek nevét és e-mail címét szippantották ki a támadók, akik bizonyítékul zsákmányuk egy részét ki is tették a site-ra.
Gazdasági és politikai szempontból persze lényegesen nagyobb súlya van a vállalatok, szervezetek, kormányszervek ellen elkövetett támadásoknak. Míg az előző negyedévnek ilyen tekintetben a Sony volt a főszereplője, most egy másik japán társaságra irányult ez a nem éppen felemelő reflektorfény. A szigetország legjelentősebb katonai szállítójáról, a Mitsubishi Heavy Industriesről van szó, amelynek tíz telephelyére hatoltak be – többek között egy kobei tengeralattjáró-gyárba és egy nagojai üzembe, ahol rakéta-alkatrészek készülnek. Az egyelőre ismeretlen tettesek nyolcféle kártevővel összesen 45 szervert és 38 PC-t fertőztek meg.
Hogy ne ugorjunk túl nagyot, folytassuk a Toshibával! Ennek a cégnek az egyik amerikai szerverét törték fel, ahonnan 7500 ügyfél elérhetőségeit és jelszavát szerezték meg. Szerencsére hitelkártya-adatokhoz nem fértek hozzá.
Egy kicsit tovább lépve Ázsiában, nem hagyhatjuk ki a Hong Kong-i tőzsde esetét. A kontinens harmadik legnagyobb börzéjén egy augusztusi napon kibertámadás miatt fel kellett függeszteni több cég papírjainak a kereskedését.
A Pfizernek a Facebook-oldala esett a magát The Script Kiddies néven jegyző hackercsoport áldozatául. Ugyanez a banda korábban betört a Fox News Twitter-fiókjába, s onnan Barack Obama elnök meggyilkolásáról terjesztett rémhíreket.
Spammel szórták meg hackerek a Travelodge nagy-britanniai ügyfeleit. Az utazási szolgáltató biztosította az érintetteket: pénzügyi adatokhoz nem férhettek hozzá a támadók.
Ugyancsak neveket, e-mail címeket zsákmányoltak azok, akik a Nokia egyik közösségi site-jára hatoltak be. Igaz, nem akárkik kontakt-adatait szerezték meg: az információk ugyanis az okostelefon-alkalmazásfejlesztőkre vonatkoztak.
Nem maradt ki az elmúlt negyedév áldozatainak köréből a nyílt szoftver világa sem. A hivatalos Linux kernel szervezet (Linux Kernel Organization) bejelentette: támadók augusztusban több, az operációs rendszer karbantartását, illetve letöltését lehetővé tevő szervert is megfertőztek. A kártevő gyökérszintű hozzáférést szerzett, módosította a rendszer-szoftvert, naplózta a felhasználók tranzakcióit és jelszavát.
3. … és bűnhődés
Bár az előző szakaszban többször emlegettünk ismeretlen tetteseket, azért a bűnüldöző szervek munkájának megvan az eredménye. Nagy sikernek könyvelhették el például az amerikai hatóságok, hogy kézre kerítették Sanford Wallace-t, aki öt hónap leforgása alatt körülbelül félmillió Facebook-fiókot tört fel, s szerezte meg belőlük a kontakt-adatokat, amelyekre aztán 27 millió kéretlen reklámot küldött ki. A visszaeső spammert három éve a MySpace-en elkövetett hasonló akcióért 230 millió dollár kártérítésre ítélték, két éve pedig a Facebooknak ítélt meg tőle a bíróság 711 millió dollárt. Mindebből aligha fizetett ki egy centet is…
Ugyancsak visszaeső került rendőrkézre Japánban. A 28 éves Masato Nakatsuji ráadásul még próbaidejét töltötte azért, mert kártevőt indított útnak a szigetországban népszerű Winny fájlmegosztón. Akkor – 2008-ban – megfelelőbb törvény hiányában szerzői jog megsértése címén ítélték két évi szabadságvesztésre, aminek a végrehajtását három évre felfüggesztették. Azóta – idén júniusban – viszont megszületett a számítógépes vírusok írását büntető paragrafus. Így a férfit most már ennek alapján ítélheti el a bíróság, mégpedig kísértetiesen ugyanazért, mint három esztendeje: a Winnyre rászabadított kártevője ezúttal egy polip képére cserélte le az áldozatok állományait.
Eközben a brit rendőrök három adathalász elfogásának örülhettek. Májusban mindhárman beismerő vallomást tettek, most mégsem maguktól járultak a hatóságokhoz. A vád szerint a trió 900 bankszámlát és 10 ezer hitelkártyát tört fel, s összesen 570 ezer fontot zsákmányolt. Cserébe most összesen 13 évet tölthetnek rács mögött.
Említettük korábban a nyár végi angliai zavargások ügyét. Igaz, nem Blackberryvel, hanem az immár klasszikusnak számító Facebookon buzdított rendbontásra a 20 éves Jordan Blackshaw és a 22 éves Perry Sutcliffe-Keenan. A bíróság nem bánt kesztyűs kézzel a fiatalemberekkel: négy-négy évre ítélte őket. „Ha visszagondolunk a pár nappal ezelőtti eseményekre, arra, hogyan használták a technológiát izgatásra, bűncselekményeket elkövető csoportok szervezésére, akkor könnyen megérthetjük a ma kiosztott négyéves ítéleteket" – hangoztatta Phil Thompson főfelügyelő-helyettes.
Tanulságos egy mexikói tárgyalás is. Nem kevesebbel, mint terrorizmussal és szabotázzsal vádol az ügyész egy 47 éves matematikatanárt és egy 57 éves újságírót. A duó azt írta augusztus végén a Twitteren: kábítószer-maffiózok fegyverrel támadtak egy helyi általános iskolára. Mindebből egy szó sem volt igaz, de a rémült szülők az iskola felé száguldva összesen 26 közlekedési balesetet okoztak. Ugyanolyan pánikot keltettek tehát, mint 1938-ban Amerikában Wells a Világok harca című regényének túl jól sikerült rádióváltozata – érvelt az ügyész. Akkor az emberek azt hitték, csakugyan marslakók érkeztek a földre.
Bűn és bűnhődés egyaránt megjelenik, csapás és ellencsapás váltja egymást abban a rabló-pandúr történetben, amelynek egyik főszereplője a magát nemes egyszerűséggel Anonymousnak nevező hackercsoport, a másik pedig a fél világ rendőrsége. Az Anonymous a Szcientológiai Egyház elleni – 2008-ban végrehajtott – támadásával kezdte „pályafutását", igazából azonban tavaly került az érdeklődés homlokterébe, amikor egymás után vette célba azokat a pénzügyi szolgáltatókat, amelyek nem engedtek adományt küldeni az amerikai diplomáciai táviratokat kiszivárogtató WikiLeaksnek.
Persze a társaság tevékenysége igencsak szerteágazó. Hosszú hadjáratot folytattak a fájlmegosztókat kritizáló szórakoztatóipari cégek – leginkább a Sony – ellen. Céltáblájukon volt/vannak az elnyomó rezsimek – korábban Tunézia és Egyiptom, illetve jelenleg is Szíria – pontosabban az ottani webes infrastruktúra elemei. Ellenségnek tekintik a tagjaikat letartóztató államok (például Spanyolország vagy Törökország) kormányát és rendőrségét. Nem kímélik az állami biztonsági szállítókat és más nagy cégeket sem.
Csak a harmadik negyedév krónikájából idézve, megtámadták a Monsanto mezőgazdasági óriást, 8 gigabájtnyi dokumentumot emeltek el az olasz kritikus IT infrastruktúráért felelős kormányszerv, a CNAIPIC rendszeréből, betörtek egy amerikai kormányzati szállító, a Mantech hálózatába, megszerezték 45 ezer ecuadori rendőrtiszt adatait (az ottani kormány fenyegetéseit megbosszulandó), s ha ennyi nem lenne elég, lejárató tartalmat csempésztek a szíriai hadügyminisztérium site-jára.
Mit csinált eközben az ellenfél? Július elején közös olasz-svájci akcióval 15 Anonymous-tagsággal vádolt hackert vettek őrizetbe. Két héttel később az Egyesült Államokban tartóztattak le 16 gyanúsítottat, akik vélhetőleg részt vettek a PayPal elleni tavaly decemberi támadásban. Ugyanakkor brit földön egy tizenévest, Hollandiában pedig négy személyt helyeztek vád alá.
Válaszul a letartóztatásokra, augusztus első napjaiban az Anonymous 10 gigabájtnyi amerikai rendőrségi adatot tett közzé. A csomagba 11 állam 76 rendőrségi site-jából kerültek személyi információk, azonosítók. Nem hiányoztak besúgók és hitelkártyák adatai sem.
Augusztus végén aztán a brit rendőrök három letartóztatást foganatosítottak, legutóbb, szeptember végén pedig Amerikában emeltek vádat egy trió ellen. Ez utóbbi Anonymous-sejt akár 15 év börtönt is kaphat.
A történet folytatására bizonyára nem kell sokáig várni…
4. Spamesnek áll a világ?
Szokás szerint ebben a negyedévben is minden szenzációszámba menő hírt meglovagoltak a spammerek. Amy Winehouse halála után áradtak azok az üzenetek, amelyek az énekesnő kábítószerezését megörökítő videóval kecsegtettek. Gátlástalan bűnözők videofelvételt ígértek a norvégiai vérengzésről is. Nem kerülte el ez a fajta megemlékezés szeptember 11-ét sem, melynek kapcsán többek között „Bin Laden életben van", „Nyomozási eredmények", „Ledőlő tornyok" tárgyú kéretlen levelek szennyezték a világhálót.
Jóllehet az előbb épp olyasmiről beszéltünk, amit a bűnözők évek óta űznek, a Cisco szakértői júliusban kiadott tanulmányukban rámutatnak: a tömeges „egyen-spammelés" helyett a levél-lovagok mindinkább kisebb volumenű, ámde célzott akciókkal igyekeznek bevételhez jutni. Mint a jelentés szerzői, a személyre szabott támadások üzleti kihatása 2010-ben megháromszorozódott. Ilyen akció áldozata lett egyebek mellett az RSA, a Google vagy a Sony.
Szorul a hurok a tömeges levélszórás körül azért is, mert nagyjából egy év leforgása alatt négy botnetet („zombi" gépekből szervezett, bűnözők által felügyelt robothálózatot) sikerült lekapcsolni. Előbb a Waledac, majd a Rustock botnetet iktatta ki – hatósági közreműködéssel – a Microsoft, aztán az amerikai bűnüldöző szervek csaptak le a Coreflood elnevezésű hálózatra, szeptember végén pedig a Kelihos botnetet tették harcképtelenné. Ez utóbbi ismét a Microsoft érdeme, s egyebek között 21 domain letiltásával járt. Érdekesség, hogy egyikük, a cz.cc egy Csehországban működő ingyenes domainregisztrációs szolgáltatást takart.
A redmondi óriás ráadásul 250 ezer dolláros jutalmat ajánlott föl annak, aki a Rustock üzemeltetőinek nyomára vezeti a rendőrséget. Fénykorában ez a hírhedt botnet jó egymillió gépet tartott rabszolgasorban, s minden idők legnagyobb spamforrása volt.
Jó képet kaphatunk a spamhelyzetről a Commtouch adatai alapján.
5. . Kiemelkedő kártevők
Természetesen a kártevők áradata a mögöttünk álló negyedévben sem apadt. Ha azonban fontos trendeket szeretnénk kitapintani, akkor nem is annyira a „hagyományos" számítógépek, hanem inkább kistestvéreik, a korszerű okostelefonok, táblagépek felé kell fordulnunk, amelyek rohamos térhódítása kapcsán mind több szakértő fejezi ki aggodalmát a mobilhálózatok biztonsága miatt. „Tovább súlyosbítja a problémát a mobil architektúrák konvergenciája és felhasználói táboruk növekedése. Az interneten 1,5 milliárdnyian vannak világszerte, a mobilosok számát viszont már 5 milliárdra teszik. A bűnözők a profitot keresik. Ha egyszer a mobiltelefonok jelentik a legnagyobb számítástechnikai platformot, akkor nyilván rendszeresen célkeresztbe kerülnek" – jellemezte a helyzetet Patrick Traynor, a Georgiai Műszaki Egyetem (Georgia Tech) tanára.
Van szakértő, aki azt jósolja: az Android operációs rendszeren támadó kártevők száma a következő fél évben hatvanszorosára nő. Ma 200 körüli fajt ismerünk – ha az előrejelzés beválik, akkor jövő márciusban már 12 ezer miatt fájhat a fejünk. Zártsága miatt az Apple iOS platformja kevésbé van veszélyben, de elemzők az iPhone, iPod és iPad felhasználókat óvják attól, hogy hamis biztonságérzetbe ringassák magukat.
De térjünk vissza a számítógépek világába! Következzenek a VirusBuster havi kártevő-toplistái 2011 legutóbbi negyedévéről. Az alábbi tortadiagramok azt mutatják, hogy az egyes hónapokban melyek voltak a leggyakoribb károkozók a magyar neten.
Az sem érdektelen, hogy a weben barangolva hol kell leginkább fertőzéstől vagy adathalászattól tartanunk. Napjaink elterjedtebb kártevőit alkotóik weboldalakon keresztül (is) folyamatos frissítik. A kártevők felismerésének biztosítása érdekében más víruslaborokhoz hasonlóan a VirusBuster is folyamatosan nyomon követi ezeket a webhelyeket. A gyakori frissítések miatt természetesen csak generikus felismerési módszerekkel kezeljük őket, az utánkövető feldolgozás nem szolgálná a felhasználók érdekeit.
A következő táblázatunk július-szeptember legaktívabb kártevőszóró domainjeit foglalja össze.
|
|
Domain |
Fájlok száma |
|
1. |
origin-ics.hotbar.com |
1225 |
|
2. |
origin-ics.fivemillionfriends.com |
760 |
|
3. |
origin-ics.clickpotato.tv |
513 |
|
4. |
afggxcyayus.com |
66 |
|
5. |
85.17.200.9 |
64 |
|
6. |
182.18.185.81 |
62 |
|
7. |
dl.dropbox.com |
51 |
|
8. |
d1.youxi.31dj.com |
42 |
|
9. |
origin-ics.brightbreeze.com |
36 |
|
10. |
jabqnhijyus.com |
29 |
6. Folt hátán folt
A Secunia biztonságtechnikai cég közelmúltban közzétett adatai szerint az elmúlt 12 hónapban a sérülékenységeken belül 24-ről 30 százalékra nőtt a kritikus – rendszerhozzáférést lehetővé tevő – rések aránya. Érthető tehát, hogy a cégek fizetni is hajlandók azoknak a kutatóknak, akik közvetlenül őket értesítik egy-egy felfedezett sebezhetőségről.
A Mozilla és a Google után július végén a Facebook is bejelentette: jutalmat ad a sérülékenységek bejelentőinek. A legkisebb díj 500 dollár, de egy különösen fontos hiba ennek a tízszeresét is hozhatja a kutató konyhájára.
Augusztusban aztán a webes arcképcsarnok nyilvánosságra hozta jutalomprogramja első három hetének mérlegét. Eszerint 16 ország szakembereinek összesen 40 ezer dollárt fizettek ki. Közöttük volt olyan, aki egymaga hat rést jelentett be, s ezért 7 ezer dollár ütötte a markát. Hasonló programjának elindítása óta a Google eddig 300 ezer dollárral jutalmazta a site-jain talált biztonsági problémák felfedezőit.
Ugyancsak augusztusban, de másfajta elismerést hirdetett meg a Microsoft. A 200 ezer dolláros Blue Hat (=kék kalap) díjat az kapja, aki a legjobb „új, futási idejű technológiát dolgozza ki a memóriasérülékenységek kiaknázásának kivédésére". Az „ezüstérem" 50 ezer dollárt ér, míg a harmadik helyezett 10 ezer dollár értékű MSDN Universal előfizetést kap.
Foltoznivaló tehát volt 2011 harmadik negyedévében is bőven. Az alábbiakban csak az időszakban kibocsátott legfontosabb biztonsági frissítésekről adunk áttekintést, időrendben.
Július
- Havi foltozó keddjén négy javítócsomagot bocsátott ki a Microsoft. Közülük egy kritikus, három pedig fontos besorolást kapott. A foltok a Windowshoz és az Office-hoz készültek, s összesen 22 hibát orvosoltak.
- Az iOS, az iWork és a Safari különböző verzióit frissítette az Apple.
- Menetrendszerű negyedéves biztonsági frissítési napján számos termékéhez bocsátott ki foltot az Oracle. Az adatbázis-kezelőn kívül javítást kapott a Fusion Middleware, az Enterprise Manager Suite, az E-Business Suite, az Oracle Supply Chain, a Peoplesoft Enterprise család és az Oracle Sun Product Suite.
Augusztus
- Rendszeres havi frissítési ciklusa keretében a Microsoft 13 javítócsomaggal jelentkezett. Kritikus minősítést kettő, fontosat kilenc, mérsékelten fontosat ismét két frissítés kapott. Az összesen 22 folt a Windows, az Internet Explorer, az Office, a .NET keretrendszer, valamint a fejlesztői eszközkészlet (Developer Tools) réseire került.
- Biztonsági frissítést kapott több Adobe termék, így a Shockwave Player, a Flash Media Server, a Flash Player, a Photoshop CS5 és a RoboHelp. Az utóbbi szoftver javítását fontosnak, az első ötét kritikusnak minősítette a gyártó.
- Foltot bocsátott ki a QuickTime-hoz az Apple.
- Több biztonsági problémát javítottak az Apache webszerveren.
Szeptember
- A negyedév utolsó foltozó keddjén öt – egytől egyig fontos besorolású – biztonsági frissítés látott napvilágot a Microsoftnál. Az érintett termékek: Windows, Office, valamint a cég szerverszoftvere.
- Menetrendszerű negyedéves frissítést bocsátott ki PDF-szoftvereihez – a Readerhez és az Acrobathoz – az Adobe. A cég ezen kívül foltozta a Flash Playert is.
- Biztonsági frissítést kaptak az Apple Mac OS X operációs rendszerének egyes változatai, így a legfrissebb kiadás, a Lion is.
- Szakítva negyedéves ciklusával, rendkívüli frissítést bocsátott ki egy szolgáltatásmegtagadási támadást lehetővé tevő rés eltakarására Apache webszerveréhez az Oracle.
- Megújította Chrome böngészőjét a Google. A frissített változat védelmet nyújt a BEAST, vagyis egy – egyelőre szerencsére csak demonstráció formájában létező – SSL protokoll elleni támadási módszer ellen. A javítás azért fontos, mert site-ok milliói az SSL-re építették az adatok titkosítását.
