Без перемен? Или все же к лучшему?

Недавняя новость от Secunia в кратком изложении, по большому счету, не сказала ничего нового. Windows довольно давно уже не является главным источником уязвимостей и, соответственно, угроз...

К примеру, один из отчетов той же Secunia за 2010 г. говорит следующее: «из 50 программ, установленных на среднестатистическом Windows-компьютере, 26 принадлежат сторонним разработчикам и в них найдено в 3.5 раза больше уязвимостей, чем в оставшихся 24». С тех пор, пожалуй, ситуация усугубилась, но не то чтобы слишком.

Однако в полном отчете Secunia содержится масса более интересных данных. О многом говорят даже абсолютные цифры: за 2012 г. Secunia зафиксировала 9776 уязвимостей в 2503 продуктов от 421 вендора. За последние 6 лет это самое большое число уязвимостей, хотя растет данный показатель не каждый год. С другой стороны, количество уязвимых программ и создавших их компаний – наименьшие за все время, причем тенденция к уменьшению стабильна последние три года. О чем это говорит?

Очевидно, что все крупнейшие поставщики ПО, начиная с Adobe, Apple, IBM, Microsoft, Oracle присутствуют в данном списке, а более мелкие вряд ли настолько массово взялись за ум, что перестали вообще допускать ошибки. Соответственно, напрашивается мысль о консолидации отрасли. Или тоже о консолидации, но несколько иной – а именно, усилий злоумышленников, о чем сегодня твердят многие эксперты по безопасности.

Вот распределение уязвимостей, найденных за 2012 г. в 50 самых популярных программах (30 из которых принадлежат Microsoft):

Возглавляют список, и с большим отрывом, Chrome, Firefox и iTunes. Windows 7 только на седьмом месте, Internet Explorer – на девятом. Между ними: Flash, Java, AIR – суть браузерные плагины. То есть вектор атак однозначен и он диктует специфические методы взлома и пр.

Я бы кстати, не спешил огульно сравнивать браузеры по числу обнаруженных уязвимостей. Во-первых, большую их часть находят сами разработчики, во-вторых, для успешной атаки сегодня надо обойти защитные механизмы не только браузера, но и ОС. Именно об этом говорили  победители недавних соревнований Pwn2Own, на которых, к примеру, Chrome удалось взломать в Windows 7, но не в Chrome OS.

В действительности, то ли 80, то ли 84% (почему-то данные в отчете и инфографике на сайте Secunia разнятся) уязвимостей становились известны одновременно с выпуском заплаток. А в 2011 г. – только 72%, так что динамика обнадеживающая. В свое время Microsoft одной из первых подала пример инициативой Trustworthy Computing (добившись, как видим, существенных результатов) и, видимо, многие другие компании также скорректировали собственные процессы разработки с целью повышения безопасности ПО.

Оставшиеся 20 или 16% уязвимостей, правда, исправляются сравнительно долго (почти все больше месяца), но для них нередко предлагаются временные решения, либо они относятся к совершенно устаревшему ПО, поддержку которого вендор уже прекратил.

Для 50 самых популярных программ в 2012 г. было обнаружено только 8 уязвимостей нулевого дня (т. е. таких, которые активно эксплуатировались бы злоумышленниками до своего обнаружения и исправления), против 14 и 12 в 2011 и 2010 гг. соответственно.

Таким образом, в целом картина, нарисованная Secunia, вроде бы не так плоха. Но это только на первый взгляд, если отвлечься от тенденций. На самом деле количество уязвимостей, обнаруживаемых в популярном ПО, увеличивается. При этом, выпуск обновления – это одно, а его установка на компьютерах – это другое. Microsoft сделала большое дело, доведя до ума Windows Update и выпустив корпоративные средства управления этой службой, начиная с групповых политик и заканчивая WSUS и Windows Intune. К сожалению, уже понятно, что для обычных (десктопных) Windows мы не дождемся аналогичной системы, которая охватывала бы и стороннее ПО, хотя для мобильных платформ это уже стало нормой. Таким образом, рассчитывать можно только на альтернативные решения и, как нетрудно догадаться, Secunia – один из их поставщиков.

Информацию об использовании ПО для своих отчетов Secunia собирает с помощью программы Personal Software Inspector (PSI), которая бесплатна для персонального использования. Она умеет идентифицировать ПО, вплоть до контроля за установкой новых приложений, периодически проверяет наличие обновлений для него, и во многих случаях способна устанавливать их автоматически. В отличие от других подобных программ, она уделяет внимание исключительно безопасности, к примеру, пока Microsoft поддерживает Silverlight 4, обновление до Silverlight 5 предлагаться не будет. Актуальная версия – PSI 3, но я продолжаю использовать PSI 2, которая, как ни странно, более стабильно работает в Windows 8.

Естественно, персональный инструмент не годится для бизнес-среды. Поэтому Sucunia выпускает также корпоративные (платные) продукты, а последней новинкой стала разработка Secunia SmallBusiness – веб-решения, рассчитанного на обслуживание до 50 компьютеров. Подписался на бета-версию, будет что-то полезное – поделюсь.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365