quinta-feira, 26 de agosto de 2010

Vulnerabilidades descobertas crescem 36% em 2010

 

Ola Bacanas,

por Mathew J. Schwartz | InformationWeek

26/08/2010

Levantamento da IBM revela que ataques "escape to hypervisor" é uma crescente preocupação em virtualização

As vulnerabilidades descobertas chegaram a níveis recordes, com 4.396 novas falhas documentadas no primeiro semestre de 2010 - um avanço de 36% em relação ao mesmo período do ano passado. Os dados são do relatório IBM X-Force, publicado na quarta-feira (25/08).

Aplicações baseadas na web concentram a maioria (55%) das vulnerabilidades descobertas.

Ataques ofuscados, que permitem aos invasores instalarem códigos maliciosos passando por ferramentas de segurança tradicionais, cresceram 52% no mesmo período. Ataques envolvendo Javascript são os mais populares, informa a IBM, já que permite aos hackers "lançarem seus ataques com documentos e páginas web".

Entretanto, três dos cinco ataques online mais populares mapeados pela companhia no primeiro semestre envolvem PDF.

A boa notícia em segurança para este ano é que os ataques phishing registraram significante queda, ainda que o principal objetivo dessas ações - roubo de dados financeiros - continue a mesma. Ao avaliar os ataques phishing via e-mail, a IBM revela que os principais alvos são: instituições financeiras (59%), cartões de crédito (28%), agências governamentais (11%), pagamentos online (6%) e vendas públicas (5%).

Atualmente, vulnerabilidades envolvendo virtualização atingem apenas uma pequena parcela de todos os códigos. Mas a IBM diz que esta situação tem causado preocupação com segurança em ambientes virtualizados, uma vez que "35% das vulnerabilidades que impactaram sistemas de servidores virtuais afetaram o hypervisor". O hypervisor é responsável por prover a plataforma onde o sistema operacional roda.

Ao atacar o hypervisor ou assumir o controle de um dos sistemas virtuais e usar a vulnerabilidade "escape to hypervisor", um hacker pode ter acesso a qualquer sistema rodando no mesmo PC ou servidor.

Nenhum comentário:

Postar um comentário