Bezpieczeństwo w roku 2007
Firma Secunia, zajmująca się zbieraniem, badaniem i weryfikowaniem informacji o lukach w bezpieczeństwie programów przedstawiła raport, jak to było w ubiegłym roku. Poniżej przedstawię wybrane z niego najważniejsze informacje.
Wzrosła liczba ataków zero-day, czyli takich, które są aktywnie wykorzystywane przez włamywaczy zanim informacje o luce ukaże się publicznie. To dość niepokojące, i zresztą możliwe do przewidzenia. Pozytywny skutek może być taki, że ostrzeżenia o lukach będą wydawane wcześniej. Robi tak większość projektów Open-Source, duże firmy stawiają raczej na “odpowiedzialne ujawnianie” (responsible disclosure). Być może rosnąca liczba ataków 0-day zmieni ich nastawienie.
Luki w przeglądarkach webowych - to drażliwy temat, bo wiele osób powołuje się na to, że najwięcej ma ich Firefox (64), potem IE (43), a następnie Safari i Opera po 14. W związku z tym pojawiają się głosy, że Fx jest najbardziej niebezpieczną przeglądarką itd. Kiedy jednak popatrzy się na bardziej szczegółowe zestawienie, okazuje się, że IE był narażony na ataki przez 174 dni w roku, natomiast Fx “tylko” 88. To wciąż sporo, ale w każdym razie mniej. Warto też zauważyć, że wśród pluginów do przeglądarek najwięcej problemów sprawiał ActiveX, ponad 300. Drugi po nim jest QuickTime - 35. Różnica jest ogromna, jeden rząd wielkości!
Luki w systemach operacyjnych - o, to dopiero kij w mrowisko! Ale zobaczmy: Windows - 123 luki, Red Hat Linux - 633… co?! Może to jednak prawda, co mówili ludzie z Microsoftu? Przecież róznica jest ogromna, czyż nie? Mac OS X też nie wygląda najlepiej, 235 luk. Co teraz? Po bliższym zapoznaniu się z metodologią raportu okazuje się, że są to liczby, które uwzględniają także inne komponenty poza samym systemem operacyjnym - w przypadku Linuksa i Maca, natomiast przy Windows prawie nie. Kiedy porównuje się luki w samym systemie, sytuacja wygląda następująco: Windows - 118, Mac - 89, Linux - 4. Ładnie, prawda? A, jak to mówią, statystyka nie kłamie. Czasem tylko można źle zinterpretować pewne dane, albo celowo przedstawić je w innym świetle…
Zainteresowanych tym skrótem wiadomości zachęcam do przeczytania pełnego raportu. Jest tam jeszcze kilka ciekawych informacji, w tym o luce w Windows związanej z obsługą URI, wokół której było głośno przy okazji m. in. Firefoksa i produktów Adobe. Co ciekawe, developerzy Mozilli obeszli problem w 5 dni (tak, 5 dni, poniżej tygodnia!), a na łatkę od Microsoftu trzeba było czekać prawie 4 miesiące. Oczywiście nie ma co się łudzić, że przestępcy próżnowali przez ten czas.
Wpis dla kategorii: Bezpieczenstwo