Уязвимости АС

С.А. Печень 2005 spechen@sv.ukrtelecom.net

On 4 June 1996, the maiden flight of the Ariane 5 launcher ended in a failure. Only
about 40 seconds after initiation of the flight sequence, at an altitude of about 3700
m, the launcher veered off its flight path, broke up and exploded.
The failure of the Ariane 501 was caused by the complete loss of guidance and
attitude information 37 seconds after start of the main engine ignition sequence (30
seconds after lift-off). This loss of information was due to specification and design
errors in the software of the inertial reference system.
The internal SRI* software exception was caused during execution of a data
conversion from 64-bit floating point to 16-bit signed integer value. The floating
point number which was converted had a value greater than what could be
represented by a 16-bit signed integer.
*SRI stands for Système de Référence Inertielle or Inertial Reference System.
причина падения ракеты
«Рокот»(2005/10/25)
Ракета-носитель "Космос-3М"
после старта(10.10.2005)
 08.05 // Удалось восстановить информацию с разрушенного
космического шаттла
• В 2003 году при возвращении на Землю шаттл "Колумбия" потерпел катастрофу.
Кадры с обломками, горящими в атмосфере, обошли все мировые телеканалы.
• Часть обломков корабля были впоследствии обнаружены. Среди них оказался и 400-
мегабайтный жёсткий диск Seagate, содержавший данные физического эксперимента,
проводившегося на орбите. Это может показаться невероятным (учитывая условия,
через которые прошёл этот жёсткий диск), но специалистам из фирмы Kroll Ontrack
удалось восстановить 90% данных с устройства. Впоследствии данные были переданы
учёным, ожидавшим их ещё пять лет назад, которые, наконец, завершили своё
исследование и опубликовали его результаты в апрельском номере Physical Review.
• Это достижение в очередной раз поднимает вопрос: какое воздействие необходимо
произвести на носитель информации, чтобы гарантировать невозможность
восстановления данных с него?

http://blocksandfiles.com/article/5056
Табло котировок на токийской
фондовой бирже(2005/11/01)
 Здание СБУ Украины
www.sbu.gov.ua(2005/11/01)
Украинская таможня отказалась
от компьютеров(2005/11/01)
 The Patriot Missile Failure

On February 25, 1991, during the Gulf War, an American Patriot Missile
battery in Dharan, Saudi Arabia, failed to track and intercept an incoming
Iraqi Scud missile. The Scud struck an American Army barracks, killing
28 soldiers and injuring around 100 other people.
A report of the General Accounting office, GAO/IMTEC-92-26, entitled
Patriot Missile Defense: Software Problem Led to System Failure at
Dhahran, Saudi Arabia reported on the cause of the failure.
 Термины

• Уязвимостью (vulnerability) - любая

характеристика информационной системы,
использование которой нарушителем
может привести к реализации угрозы.
• В качестве нарушителя может выступать
любой субъект корпоративной сети,
который попытался осуществить попытку
несанкционированного доступа к ресурсам
сети по ошибке, незнанию, или со злым
умыслом.
Различные названия одной и той же уязвимости
 Common Vulnerabilities and
Exposures
Для устранения неразберихи с именованием
уязвимостей и атак в 1999 году компания MITRE
Corporation (http://www.mitre.org) предложила решение,
независимое от различных производителя средств поиска
уязвимостей. Это решение было реализовано в виде базы
данных CVE (Common Vulnerability Enumeration), которая
затем была переименована в Common Vulnerabilities and
Exposures. Так, например, описанные в таблице 1
различные названия одной и той же уязвимости получили
единый код CVE-1999-0067.
 Обзор уязвимостей за первое
полугодие 2008 года

Общие данные по Количество

уязвимостям
уязвимостей с эксплойтами 835
уязвимостей без эксплойтов 689

удаленных уязвимостей 1459

локальных уязвимостей 65
Всего уязвимостей 1524

Лента bugtrack
Xaker.ru,
Основные типы уязвимостей,I полугодие 2008 г.
Основные типы уязвимостей Количество
Web-ориентированные уязвимости 646
Выполнение произвольного кода 346
Отказ в обслуживании 196
Доступ к конфиденциальной информации 107
Обход ограничений безопасности 90
Доступ к файловой системе 64
Эскалация привилегий 58
Спуфинг 17
Итого 1524
Классическая модель
управления рисками
10 самых распространенных паролей

http://www.intechnology.org/top-10-most-common-passwords/