Δήλωση του ENISA σχετικά με την πρόσφατη ευπάθεια του Internet Explorer

Σε σχέση με τις προειδοποιήσεις της Microsoft την Κυριακή για την εκμετάλλευση μιας προηγουμένως άγνωστης ευπάθειας σε όλες τις υποστηριζόμενες εκδόσεις του Internet Explorer, η οποία επηρεάζει όλες τις υποστηριζόμενες εκδόσεις του IE και τους δίνει τη δυνατότητα σφετερισμού των ευπαθών ηλεκτρονικών υπολογιστών, ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) σχολιάζει:

  • Διευκρινίζουμε ότι ο ENISA δεν είναι μια επιχειρησιακή Ομάδα αντιμετώπισης έκτακτων αναγκών στην πληροφορική (CERT) αλλά ένα όργανο εμπειρογνωμοσύνης, που μπορεί, ωστόσο, να παρέχει συνοπτικές αναλύσεις και σχόλια για την κατάσταση
  • Πρόκειται για μια σοβαρή επίθεση 0-day κατά της κοινωνίας, μια επίθεση που είναι σε εξέλιξη και που καταδεικνύει αφ' ενός ότι δεν υπάρχει 100% ασφάλεια και αφ' ετέρου το πόσο ευπαθής μπορεί να είναι η κοινωνία αν η ασφάλεια δεν εξετάζεται εξαρχής. Ως εκ τούτου, υποστηρίζουμε την «ασφάλεια εκ σχεδιασμού» από την αρχή της διεργασίας ανάπτυξης λογισμικού εκ μέρους του κλάδου.
  • Πρόκειται για μια σοβαρή απειλή για τους χρήστες του IE, καθώς δεν υπάρχει εύκολη λύση για να επιδιορθωθεί και για να γίνει ενημέρωση του κώδικα
  • Οι χρήστες που θέλουν να αποφύγουν τον προαναφερθέντα κίνδυνο θα πρέπει να χρησιμοποιήσουν προσωρινά κάποιο άλλο πρόγραμμα περιήγησης μέχρις ότου επιλυθεί αυτό το κενό στην ασφάλεια
  • Οι χρήστες θα πρέπει να διατηρούν τα συστήματά τους ενημερωμένα και με ενημερωμένη έκδοση κώδικα
  • Πολλοί χρήστες έχουν εγκατεστημένα διάφορα προγράμματα περιήγησης, οπότε μάλλον θα τους είναι εύκολο να αλλάξουν πρόγραμμα. Αν δεν έχουν άλλα προγράμματα εγκατεστημένα, αυτός είναι ένας καλός λόγος να το πράξουν για τις περιπτώσεις που μπορεί να χρειαστεί.
  • Αν αυτό δεν είναι δυνατό, οι χρήστες του IE πρέπει να διασφαλίσουν ότι έχουν εγκατεστημένο το EMET 4.1 ή 5.0, και ότι όλες οι λύσεις μετριασμού έχουν ενεργοποιηθεί, καθώς και ότι έχουν απενεργοποιήσει το VML και το Flash.
  • Πρέπει να ενεργοποιηθεί η λειτουργία ενισχυμένης προστασίας στον IE. Το EPM εισήχθη στον IE10
  • Οι χρήστες πρέπει πάντα να περιηγούνται στο Internet από το πλαίσιο περιορισμένου χρήστη και ποτέ από τον λογαριασμό διαχειριστή συστήματος
  • Ένα από τα μεγαλύτερα προβλήματα με αυτή την ευπάθεια είναι ότι οι χρήστες των Windows XP θα είναι εκτεθειμένοι, καθώς δεν θα υπάρξει ενημερωμένη έκδοση κώδικα για τα XP (τέλος ζωής)
  • Καθώς αυτό επηρεάζει περίπου το 26% της συνολικής αγοράς προγραμμάτων περιήγησης, καταδεικνύεται έτσι πόσο ζωτικής σημασίας είναι για τη σημερινή κοινωνία και οικονομία η ασφάλεια στον κυβερνοχώρο.
  • Σύμφωνα με την εταιρεία ασφαλείας FireEye, μια γνωστή ομάδα εγκληματιών του κυβερνοχώρου έχουν ήδη διενεργήσει στοχευμένες επιθέσεις κατά ατόμων και οργανώσεων.
  • Καθώς αυτή η ευπάθεια γίνεται γνωστή, όπως και τα εργαλεία και η επίθεση, μπορεί να εξαπλωθεί στο προσεχές μέλλον.
  • Το μερίδιο αγοράς του προγράμματος περιήγησης IE έχει μειωθεί από 40% πριν από μερικά χρόνια σε περίπου 25% τώρα.
  • Ωστόσο, τα προγράμματα περιήγησης που χρησιμοποιούνται περισσότερο στην Ευρώπη είναι το Mozilla και το Google Chrome, ενώ μερικοί θύλακες με μεγαλύτερη χρήση του IE συναντώνται συγκεκριμένα στη Δανία, τη Γροιλανδία, ορισμένα μέρη της Ιταλίας, την Ολλανδία και το Μονακό. Παρόλα αυτά, ο IE προτιμάται από αρκετά μεγάλο μερίδιο των χρηστών στην ΕΕ, οπότε χρειάζεται προσοχή.
  • Ο IE είναι κυρίως το προτιμώμενο πρόγραμμα περιήγησης π.χ. στην Κίνα, την Αγκόλα και τη Γροιλανδία.[1]

Ο Εκτελεστικός διευθυντής του ENISA καθηγητής Udo Helmbrecht σχολίασε:

  • «Πρέπει να επενδύσουμε περισσότερο στην πρόληψη και την ετοιμότητα που συνδέονται με την ασφάλεια στον κυβερνοχώρο, και να εφοδιάσουμε τα όργανα της ΕΕ με τους σωστούς πόρους, αν πρόκειται να προστατεύσουμε την οικονομία και τη σύγχρονη κοινωνία της Ευρώπης.

Θεωρούμε την πρόσβαση στον κυβερνοχώρο δεδομένη, αλλά 40 χρόνια αφότου εφευρέθηκε και εδώ και 20 χρόνια που εξαρτόμαστε από το διαδίκτυο έχουμε να μάθουμε ακόμα πολλά για την ασφάλεια αν θέλουμε να μπορούμε να απολαμβάνουμε τα οφέλη του διαδικτύου».

Ο ENISA παραπέμπει στη Microsoft για περαιτέρω ενημερώσεις, αλλά μέχρι τότε, οι τελικοί χρήστες πρέπει να είναι προσεκτικοί: η επένδυση στην ασφάλεια στον κυβερνοχώρο αργότερα συνεπάγεται μεγαλύτερο κόστος, και θα πρέπει να κάνουμε ό,τι μπορούμε για να αντιμετωπίσουμε το ζήτημα αυτό τώρα.

Μετάφραση. Η μόνη επίσημη έκδοση είναι η αγγλική.

http://www.enisa.europa.eu/media/enisa-in-greek/

www.enisa.europa.eu


[1] http://commons.wikimedia.org/wiki/File:Countries_by_most_used_web_browser.svg

Γενικές πληροφορίες:

Για συνεντεύξεις επικοινωνήστε με τον: Ulf Bergström, Προϊστάμενο μονάδας επιχειρηματικής επικοινωνίας και Εκπρόσωπο Τύπου, +30 6948 460 143

For all media inquiries please contact press@enisa.europa.eu

Tags:

Documents & Links