Власти США выпустили инструкции для противодействия хакерам

28 июня 2011 года

Департамент внутренней безопасности США (DHS) опубликовал в интернете инструкции по противодействию киберпреступникам, которые призваны повысить уровень информационной безопасности на всех потенциальных объектах атак хакеров: от веб-сервисов до систем управления электростанциями, сообщает сайт проекта Common Weakness Scoring System, курируемого департаментом.

Опубликованные рекомендации включают в себя 25 наиболее часто встречающихся уязвимостей в коде различного программного обеспечения (ПО), которые хакеры используют в своих целях. DHS опубликовал инструкции по устранению этих уязвимостей, а также рекомендации по приобретению компаниями и различными некоммерческими организациями, оперирующими конфиденциальной информацией, программных продуктов для обеспечения информационной безопасности. В департаменте надеются, что их инициатива позволит корпорациями и организациям эффективнее бороться с киберугрозами.

Список из 25 самых распространенных угроз был составлен в институте SANS - авторитетной некоммерческой организации, деятельность которой посвящена изучению проблем информационной безопасности. В SANS в частности изучают уязвимости, которые уже были использованы хакерами в ходе прежних атак. Большинство из них вошли в список, опубликованный DHS.

Угрозой номер один в списке названы SQL-инъекции - вредоносный код, который использует ошибку веб-мастера, создавшего сайт, и дает злоумышленнику возможность манипулировать сайтом и его базами данных по собственному усмотрению. Этот вид атаки чаще всего использовала в своей деятельности хакерская группа LulzSec, взявшая на себя ответственность за взлом сайтов компании Sony, Nintendo, а также сайта Сената США и атаку на сайт ЦРУ.

Кроме того, в списке содержится информация об угрозе, с помощью которой был атакован онлайн-сервис банковской группы Citigroup. Эта атака стоила клиентам Citi 2,7 миллиона долларов.

Список инструкций DHS включает в себя специфические рекомендации по защите ПО для банков, интернет-магазинов, а также промышленности.

"Избегать простейших, самых очевидных ошибок при создании программного кода - очень важно, поскольку часто именно из-за них хакерам удается использовать так называемые уязвимости "нулевого дня" (уязвимость в ПО, которую хакеры находят раньше, чем его авторы - Ред.)", - сказал The New York Times глава исследовательского отдела SANS Алан Паллер (Alan Paller).

По словам эксперта, чтобы повысить защищенность критически важного программного обеспечения, нужно избегать таких ошибок уже на этапе создания ПО. Инструкции, разработанные SANS для DHS, служат как раз этим целям - напомнить разработчикам об ошибках, которые часто остаются без должного внимания и в итоге приводят к большим потерям от хакерских атак.