Ukryte aktualizacje Google - jak im się to udaje?
- Antoni Steliński,
- 26.08.2011, godz. 08:45
Aktualizacje zabezpieczeń aplikacji firmy Google są instalowane na bieżąco, podczas gdy łaty oprogramowania innych producentów zwykle są po prostu ignorowane bądź odrzucane. Jak Google to robi?
Z danych firmy Kaspersky Lab wynika, że aplikacje firmy Adobe oraz Java są obecnie najczęściej atakowanym oprogramowaniem (10 najczęściej wykorzystywanych przez przestępców exploitów przeznaczonych jest właśnie dla nich). I to mimo tego, że ich autorzy stosunkowo szybko łatają wszystkie nowe błędy - problem polega na tym, że użytkownicy nie instalują aktualizacji.
Stare luki na celowniku
W raporcie "State of the Web" firmy Zscaler możemy przeczytać, że 56% wykorzystywanych w firmach kopii Adobe Readera to nieaktualne, dziurawe i podatne na ataki wersje. Nie dotyczy to zresztą tylko Readera - przestępcy już dawno zorientowali się, że mogą latami atakować użytkowników przez stare luki, bo i tak nikt ich nie łata. Ze statystyk Microsoftu wynika, że jedynie 3% exploitów dla MS Office wykorzystuje błędy wykryte w ciągu 12 minionych miesięcy - w 97% przypadków exploit skierowany jest przeciwko lukom znanym co najmniej od roku. Co więcej - 56% udanych ataków na MS Office 2003 kończy się sukcesem tylko dlatego, że oprogramowanie to nie było uaktualnione ani razu od dnia instalacji.
Polecamy: Bezpieczeństwo sieci - sprawdź swoją wiedzę
Dla administratorów standardem są użytkownicy, których systemy ustawicznie wyświetlają komunikaty o konieczności zainstalowania nawet kilkudziesięciu poprawek. Zapytani o to, dlaczego właściwie wciąż ich zainstalowali, użytkownicy odpowiadają zwykle: A to trzeba to robić? Owszem, trzeba...
Jak to robi Google?
W tej sytuacji wiele osób zastanawia się z pewnością, dlaczego więcej firm nie korzysta z rozwiązania wykorzystywanego przez Google - tzn. dlaczego poprawki do ich produktów nie są automatycznie dostarczane, bez pytania o zgodę użytkownika (Chrome działa tak w Windows i Mac OS - w Linuksie za aktualizację odpowiadają standardowe narzędzia systemowe).
Polecamy: Bezpieczne biurko
Głównym powodem wydaje się to, że Chrome jest silnie uniezależniony od systemu operacyjnego i jakiekolwiek aktualizacje dla niego nie są w stanie zakłócić funkcjonowania Windows czy Mac OS X. Niewiele firm ma taki komfort; z pewnością nie ma go Microsoft - w przypadku produktów firmy zainstalowanych w środowisku korporacyjnym przed wdrożeniem poprawek zwykle konieczne są testy. I nie chodzi tu o to, że Microsoft ma jakiś problem z poprawkami - bo to zdarza się sporadycznie - ale o to, że producent popularnego oprogramowania po prostu nie jest w stanie przetestować każdej potencjalnej konfiguracji software'owej i dlatego niekiedy musi to zrobić we własnym zakresie klient.