Большинство прошлогодних хакерских атак можно было предотвратить. Об этом говорится в опубликованном докладе правительства США, посвященном проблемам виртуальных компьютерных сетей.
К такому выводу пришли исследователи, работающие на правительство США. Совместно с организациями Mitre и SANS, Министерство национальной безопасности этой страны составило список наиболее распространенных недостатков в методах борьбы против хакеров.
Нападение на корпоративные сети компаний Sony, PBS и HGary были основаны на SQL-инъекциях, одном из самых распространенных методах взлома, защититься от которого довольно легко. Взлом игровой сети Sony Playstation Network вызвал колоссальные последствия. Даже майский взлом Citibank, где тоже задействовались инъекции в SQL, можно было легко предотвратить, несмотря на то, что данный тип атаки считается одним из самых опасных.
В правительственном отчете сказано: «SQL-инъекции на протяжении всего 2011 года отправляют в нокаут системы безопасности различной сложности, находя их слабые места. Инъекция команд прямо в операционную систему — это второй по уровню распространения метод взлома. Третий — это классическое переполнение буфера памяти, которое используется злоумышленниками в течение многих лет и до сих пор приносит желаемый результат. Четвертое место в данном хит-параде занял метод межсайтового скриптинга, который является проклятием веб-приложений во всем мире. На пятом и последнем месте находится отсутствие систем авторизации для доступа к критическим настройкам и функциям».
Отчет правительства содержит рекомендации и инструкции для частных и государственных организаций по исправлению уязвимостей в их системах. Правда, некоторые из них относятся к разряду «легче сказать, чем сделать», например, предписание «установить и поддерживать контроль на всех точках входа в ваше виртуальное пространство». Целью данного доклада является убеждение разработчиков программного обеспечения и руководства компаний в необходимости выявления и устранения уязвимостей именно до, а не после взлома.
