Kilka firm odpowiada za większość dziur w aplikacjach

Z raportu firmy Secunia za 2010 rok wynika, że kilkunastu dużych producentów oprogramowania odpowiada za ponad połowę wszystkich dziur wykrywanych w aplikacjach.

Secunia jest jedną z firm zbierających i publikujących informacje o nowych dziurach w aplikacjach, a co roku publikuje zestawienie i opis aktualnych trendów w bezpieczeństwie aplikacji. Według ubiegłorocznego raportu zaledwie czternastu producentów oprogramowania odpowiada za ponad połowę wszystkich dziur opublikowanych w ciągu ostatnich dwóch lat. Są to następujące firmy: Adobe Systems, Apache Software Foundation, Apple, Cisco, Google, HP, IBM, Kernel.org, Microsoft, Mozilla Organization, Novell, Oracle, RealNetworks i VMware (alfabetycznie).

Na liście tej warto zwrócić uwagę na silną reprezentację oprogramowania open-source (Linux, nie do końca wiadomo dlaczego opisany przez Secunię jako Kernel.org) oraz Mozilla. Przy firmie Oracle warto pamiętać, że wraz z niedawnym przejęciem Suna przejęła ona także całe bogactwo inwentarza, w tym dziury, które inaczej policzonoby na konto Suna (np. w Javie). Według Secunia inwestycje w bezpieczeństwo oprogramowania w każdej z tych organizacji będa mieć największe przełożenie na wypadkowe bezpieczeństwo użytkowników prywatnych i biznesowych.

Zobacz również:

  • Z jakimi cyberzagrożeniami i podatnościami będziemy się mierzyć w 2022 roku?

Niepokojący może być fakt, że większość wszystkich opublikowanych dziur (58%) to dziury "wysoce" lub "średnio krytyczne" (i 5% "nadzwyczaj krytyczne"). Dziury możliwe do wykorzystania zdalnie ("remote") to również większość - 84% (tu warto jednak zwrócić uwagę, że zgodnie z przyjętym systemem klasyfikacji "dziurą zdalną" jest zarówno krytyczny błąd w usłudze DCE RPC, jak i rozmaite ataki przez źle sformatowane pliku Worda czy Excela).

Większość opublikowanych błędów umożliwiała zdalne wykonanie kodu w zaatakowanej aplikacji lub systemie ("system access"), odmowę usług ("DoS"), ujawnienie wrażliwych infomacji ("exposure of sensitive info"), naruszenie integralności danych ("manipulation of data") oraz webowe ataki Cross Site Scripting

Secunia analizuje również dane zbierane przez program PSI (Personal Software Inspector) - jest to darmowa dla niekomercyjnych zastosowań aplikacja pod Windows, informująca użytkownika o aktualizacjach bezpieczeństwa dostępnych dla zainstalowanych w systemie aplikacji (a dla części aplikacji automatycznie je pobierająca). Dane pochodzące z PSI wykazują istnienie dość silnej monokultury - osiem programów pochodzących z trzech firm jest zainstalowane na komputerach aż 80% użytkowników (MSIE, .NET Framework, Sun/Oracle Java, Adobe Reader i Adobe Flash). Wskazuje to jednoznacznie najbardziej atrakcyjne - z punktu widzenia cyberprzestępców - cele ataków.

Interesujące są również dane na temat pochodzenia podatności w analizowanych systemach - to znaczy, czy większe sumaryczne zagrożenie dla użytkownika stanowią dziury w systemie czy też w aplikacjach innych producentów? Otóż wynika z nich, że przeciętny użytkownik jest o wiele bardziej zagrożony przez dziury w innych aplikacjach niż w systemie operacyjnym - jest ich ponad pięciokrotnie więcej. Jest to z jednej strony pewien sukces Microsoftu, który dzięki Windows Update przyzwyczaił użytkowników do automatycznej i stosunkowo łatwej instalacji poprawek, a z drugiej pokazuje istotną lukę jaką jest jednolita metoda aktualizacji pozostałych aplikacji danego użytkownika. PSI częściowo tę lukę zapełnia, trudno jednak w tej sytuacji przecenić kompleksowe mechanizmy aktualizacji całego systemu znane choćby z różnych dystrybucji Linuksa.

Z danych Secunii wynika bowiem, że 25-50% użytkowników poszczególnych aplikacji typu Java czy Flash nie instalowało aktualizacji ręcznie (robiło to dla nich PSI). Autorzy raportu zaznaczają także, że przeciętny użytkownik Windows musi przyswoić sobie 14 różnych systemów automatycznej aktualizacji oprogramowania wbudowanych w większość popularnych programów, co jest niewątpliwym utrudnieniem nawet jeśli intereakcja użytkownika ogranicza się do zaakceptowania aktualizacji. Mnogość pytań o poprawki może skutkować wyłączaniem automatycznej aktualizacji przez mniej technicznie wyedukowanych użytkowników.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200