Ukryte aktualizacje Google - jak im się to udaje?

Aktualizacje zabezpieczeń aplikacji firmy Google są instalowane na bieżąco, podczas gdy łaty oprogramowania innych producentów zwykle są po prostu ignorowane bądź odrzucane. Jak Google to robi?

Aktualizacje często bywają ingorowane

Aplikacje firmowane przez koncern Google nie pojawiają się na listach najczęściej atakowanego oprogramowania - głównie dlatego, że koncern może dostarczać poprawki dla Chrome'a (i innych swoich produktów) w pełni automatycznie, bez wiedzy użytkownika. To świetne rozwiązanie - ale nikt poza Google nie jest w stanie go wprowadzić.

Z danych firmy Kaspersky Lab wynika, że aplikacje firmy Adobe oraz Java są obecnie najczęściej atakowanym oprogramowaniem (10 najczęściej wykorzystywanych przez przestępców exploitów przeznaczonych jest właśnie dla nich). I to mimo tego, że ich autorzy stosunkowo szybko łatają wszystkie nowe błędy - problem polega na tym, że użytkownicy nie instalują aktualizacji.

Stare luki na celowniku

W raporcie "State of the Web" firmy Zscaler możemy przeczytać, że 56% wykorzystywanych w firmach kopii Adobe Readera to nieaktualne, dziurawe i podatne na ataki wersje. Nie dotyczy to zresztą tylko Readera - przestępcy już dawno zorientowali się, że mogą latami atakować użytkowników przez stare luki, bo i tak nikt ich nie łata. Ze statystyk Microsoftu wynika, że jedynie 3% exploitów dla MS Office wykorzystuje błędy wykryte w ciągu 12 minionych miesięcy - w 97% przypadków exploit skierowany jest przeciwko lukom znanym co najmniej od roku. Co więcej - 56% udanych ataków na MS Office 2003 kończy się sukcesem tylko dlatego, że oprogramowanie to nie było uaktualnione ani razu od dnia instalacji.

Polecamy: Bezpieczeństwo sieci - sprawdź swoją wiedzę

Dla administratorów standardem są użytkownicy, których systemy ustawicznie wyświetlają komunikaty o konieczności zainstalowania nawet kilkudziesięciu poprawek. Zapytani o to, dlaczego właściwie wciąż ich zainstalowali, użytkownicy odpowiadają zwykle: A to trzeba to robić? Owszem, trzeba...

Jak to robi Google?

W tej sytuacji wiele osób zastanawia się z pewnością, dlaczego więcej firm nie korzysta z rozwiązania wykorzystywanego przez Google - tzn. dlaczego poprawki do ich produktów nie są automatycznie dostarczane, bez pytania o zgodę użytkownika (Chrome działa tak w Windows i Mac OS - w Linuksie za aktualizację odpowiadają standardowe narzędzia systemowe).

Polecamy: Bezpieczne biurko

Głównym powodem wydaje się to, że Chrome jest silnie uniezależniony od systemu operacyjnego i jakiekolwiek aktualizacje dla niego nie są w stanie zakłócić funkcjonowania Windows czy Mac OS X. Niewiele firm ma taki komfort; z pewnością nie ma go Microsoft - w przypadku produktów firmy zainstalowanych w środowisku korporacyjnym przed wdrożeniem poprawek zwykle konieczne są testy. I nie chodzi tu o to, że Microsoft ma jakiś problem z poprawkami - bo to zdarza się sporadycznie - ale o to, że producent popularnego oprogramowania po prostu nie jest w stanie przetestować każdej potencjalnej konfiguracji software'owej i dlatego niekiedy musi to zrobić we własnym zakresie klient.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200