Назад | Перейти на главную страницу

Удобный источник информации об известных эксплойтах (не теоретических)

Простите, если этот вопрос задавался раньше или не по теме.

Последние пару исправлений безопасности, которые я установил, были обнаружены при чтении новостных статей, в которых публично обсуждаются уязвимости системы безопасности, относящиеся к программному обеспечению на моих серверах. Вот два примера таких эксплойтов, которые я прочитал из статьи.

Излишне говорить, что мне не приятно, что я обнаружил, что эти эксплойты существуют на Slashdot, во всех местах. Я исправил их, но хотел бы иметь какой-нибудь простой способ получать уведомления или место, где я могу легко найти известные эксплойты, которые относятся ко мне.

Я уже и так переживаю серьезные негативные моменты, поэтому регулярное обновление исправлений безопасности по мере их выпуска полностью и несомненно невозможно. я необходимость игнорировать «теоретические уязвимости», пока они не станут практическими.

У кого-нибудь из вас есть хорошая информация о том, где найти такой источник информации?

Если да, то есть ли у таких сервисов возможность предупреждать вас о появлении исправления для известного эксплойта в интересующем вас программном обеспечении?

РЕДАКТИРОВАТЬ:

Не уверен, о чем идет речь, мне не ясно? Мой вопрос ОТ? Я просто хочу сказать, что никоим образом не имею в виду, что исправление теоретических уязвимостей - плохая идея или пустая трата времени.

Я просто констатирую удручающую реальность моей ситуации, когда я работаю в крошечной компании в ужасной экономике, где от меня ожидают работы 6 человек. Реальность невыплаты заработной платы, как это происходит в следующем месяце, скорее приведет к краху моей компании, чем теоретические уязвимости безопасности, которые у меня нет времени устранять.

Я бы предостерег от игнорирования уязвимостей просто потому, что у них нет общедоступного кода эксплойтов - в то время как те, которые публикуются на slashdot, хорошо заметны, важные исправления программного обеспечения выпускаются постоянно, с доступным общедоступным кодом эксплойта и без него. В основном без.

Однако имейте в виду, что как только выпускается патч для уязвимости, даже если о ней сообщается в частном порядке, кошка выходит из мешка - атаки часто могут быть реконструированы на основе изменений в патче.


При всем вышесказанном я, безусловно, понимаю, что пытаться не отставать от патчей для всего интересующего вас программного обеспечения утомительно. Есть масса ресурсов.

Один из вариантов - позволить вашим системам следить за вещами самостоятельно - обновления по электронной почте от WSUS в мире Microsoft и менеджеры пакетов в Linux являются хорошим ресурсом, но часто оставляют вам пробелы - WSUS не дает вам стороннее программное обеспечение и обновления пакетов могут опаздывать и не распространяться на программное обеспечение, которое не было установлено из диспетчера пакетов.

Если вы будете следить за каналами объявлений поставщиков, это даст вам гораздо лучшую картину, но вам потребуется некоторое исследование каждого из них.

Для тех, кого вы цитировали:

Также есть опция пожарного шланга RSS-каналы CVE, но, вероятно, это не совсем то, что вы ищете в уведомлениях, но CVE, безусловно, является отличным ресурсом для поиска информации о конкретном продукте, а оценка CVSS, которую они предоставляют, является хорошим источником для определения серьезности уязвимостей. .

Честно говоря, поиск «кода в дикой природе», вероятно, заходит слишком далеко в кроличью нору для ваших нужд. Я бы рекомендовал доверять вашим поставщикам или привлекать новых поставщиков, но если вы настроены решительно, то вот пара ресурсов: Полное раскрытие список и Использовать БД.

Шаг 1. Подпишитесь на список рассылки -announce и / или -security для всего, что вы установили на указанном сервере. Таким образом, вы получите уведомление, как только разработчики обнародуют его. Они должны быть довольно небольшими по объему, и по моему опыту, если здесь объявляется об уязвимости, вам, вероятно, следует принять меры.

Шаг 2: подпишитесь на список рассылки bugtraq: http://www.securityfocus.com/archive. Bugtraq - лучшее место, которое я могу придумать, чтобы не отставать от уязвимостей по мере их появления. Это может быть проблемой, поскольку это шумный список рассылки. Тем не менее, возможно, стоит отслеживать и этот список.

Вы все неправильно поняли. Вы потратите больше времени, пытаясь впитать и отфильтровать любые новости или сайты с уязвимостями во что-то связное, чем если бы вы просто выполняли обновления. То, о чем вы просите, просто не делается в отрасли, и поэтому нет простого источника, отфильтрованного по «что вам нужно». Кроме того, существует реальный, уродливый факт, что плохие парни не говорят нам, когда они принимают известную теоретическую угрозу и превращают ее в живую атаку.

Что вы должны спросить, так это то, как администратор полностью подводных систем может вернуться на правильный путь, обновив все свои машины, службы и приложения. Это то, что многие из нас должны были сделать! ;-)

Хороший список известных уязвимостей - это Список уязвимостей SecurityFocus. Актуальные эксплойты в дикой природе часто перечислены на Лента новостей Security Focus и Каналы Packetstorm.

Однако я согласен с другими в том, что сосредоточение внимания только на публично известных уязвимостях - пустая трата времени - реальную опасность представляют уязвимости, которые известны злоумышленникам, но не публике.

Все, что вы можете сделать, это убедиться, что все ваше программное обеспечение остается в актуальном состоянии, и неукоснительно следовать лучшим методам ведения журналов и безопасности.