Firma Secunia znana z między innymi aplikacji sprawdzającej aktualność zainstalowanego oprogramowania w systemie, wydała raport podsumowujący pierwsze półrocze tego gorącego roku. Raport zawiera wiele interesujących informacji na temat tego jakie aplikacje trzecie mogą stanowić zagrożenie dla użytkownika, jak wiele podatności danego dostawcy oprogramowania zostało odkrytych itp.
Z raportu dowiadujemy się w dużym skrócie, że:
- w przeciągu dwóch lat 2007 – 2009 liczba podatności trafiających w użytkownika końcowego wzrosła z 220 do 420
- bazując na informacjach z pierwszej połowy 2010 roku, najpewniej liczba ta dobrnie do 760 za rok 2010
- w pierwszej połowie roku odkryto już 380 podatności czyli 89% tego co zostało odkryte w całym 2009 roku
- zwyczajowo końcowy użytkownik z zainstalowanymi 50 programami posiada o 3.5 raza więcej podatności w 24 zewnętrznych programach (od średnio 14 różnych firm) niż w 26 aplikacjach firmy Microsoft, trend ten na pewno wzrośnie – dowodzi to tego, że mechanizm aktualizacji Microsoftu działa o wiele sprawniej niźli zewnętrznych dostawców oprogramowania
- pierwsza 10 tka miejsc z największą liczbą luk należy do: Apple, Oracle, Microsoft, HP, Adobe Systems, IBM, VMware, Cisco, Google, Mozilla Organization
- tych 10 firm odpowiada średnio za 38% problemów
- ponad połowa użytkowników posiada zainstalowanych ponad 66 programów od ponad 22 różnych firm
- musi zwiększyć się świadomość użytkowników, że największe niebezpieczeństwo czycha nie ze strony systematycznie aktualizowanego oprogramowania firmy Microsoft, a ze strony oprogramowania firm trzecich, które generalnie posiada złe mechanizmy aktualizacji
- dodatkowym środkiem zaradczym mogłoby być jednolite środowisko do aktualizowania aplikacji firm trzecich i jest to rozwiązanie aktualnie testowane przez firmę Secunia
Warto zajrzeć w tabelkę (kliknijcie w obraz aby powiększyć) z raportu, w której znajdują się aplikacje firm trzecich oraz firmy Microsoft wraz z popularnością oraz liczbą podatności. Jest to ciekawa tabela choćby dlatego, że bardzo wyraźnie można zaobserwować ciekawe zależności. Na drugim miejscu pod względem liczby znalezionych błędów w oprogramowaniu firmy Microsoft znajduje się Excel Viewer, jest on jednak zainstalowany wyłącznie na 2% komputerów. W takiej sytuacji jeśli ktoś zliczy liczbę błędów przykładowo dla wszystkich produktów Microsoftu i stwierdzi, że im liczba ta jest większa tym produkty tej firmy są mniej bezpieczne dla podkreślam końcowego użytkownika – można bardzo szybko zauważyć, iż nie będzie to prawdą. Dlatego, że dla mnie bezpieczeństwo to także prawdopodobieństwo wystąpienia danej podatności, udanego ataku itp, a nie wyłącznie sucha liczba podatności. Jeszcze jakieś szybkie spostrzeżenia? A może ktoś uważa zupełnie inaczej?