Káoszt okoz a sok patch
A Secunia biztonsági cég szerint sürgősen egy olyan széles körben elfogadott frissítési módszertant kellene kidolgozni, amely segítséget nyújtana a hibajavítások egységes kezelésében.
Kategóriák: IT-védelem, Biztonság
Szerző: Kristóf Csaba
2010. március 09.
A Secunia PSI (Personal Software Inspector) nevű, ingyenes alkalmazása az elmúlt években egyre nagyobb népszerűségre tett szert a felhasználók körében, akik a szoftver segítségével meggyőződhetnek arról, hogy a számítógépeiken futó programok közül melyek szorulnak javításra. A PSI széleskörű elterjedése arra is lehetőséget ad, hogy az alkalmazás által szolgáltatott, anonim adatok révén érdekes összefüggésekre lehessen rámutatni.
A Secunia a PSI révén gyűjtött adattömegből leválogatta azokat, amelyek január utolsó hetében keletkeztek, és ezeket a szokásosnál jobban szemügyre vette. Az elemzések során kiderült, hogy a PSI felhasználóinak PC-jén átlagosan 66 különféle szoftver található, amelyek 22 különböző fejlesztőcégtől származnak. Elmondható, hogy a biztonsági frissítések kezelését jelentősen megnehezítik ezek a heterogén szoftverkörnyezetek. A Secunia szerint egy otthoni felhasználónak évente átlagosan 75 hibajavítást kellene telepítenie a számítógépére, ami sok időt és odafigyelést igényel. Mindez azt is jelenti, hogy körülbelül öt naponta kellene befoltozni egy-egy szoftvert.
"Nem lehet elvárni a felhasználóktól, hogy megismerjék az összes frissítési mechanizmust, és túl sok időt töltsenek a hibajavításokkal." - mondta Thomas Kristensen, a Secunia műszaki igazgatója. A szakember tapasztalatai szerint kevés felhasználó fordít kellő figyelmet és időt a frissítésekre, aminek következtében sok számítógép kiszolgáltatott a támadásokkal szemben.
A Secunia szoftverhasználatra vonatkozó felméréséből az a következtetés is leszűrhető, hogy egy átlagos felhasználónak 22 különböző frissítési eljárást kell alkalmaznia, ami nagyon sok. Ezért a biztonsági cég arra kérte a legjelentősebb szoftverfejlesztő vállalatokat, hogy közösen alakítsanak ki egy olyan patch-elési eljárást, amely egységesen és ezáltal egyszerűen használható. Azonban a Secunia javaslata nem igazán került megfontolásra a fejlesztők körében, sőt sokan azonnal lesöpörték az ötletet az asztalról. Ezért a Secunia úgy határozott, hogy a tettek mezejére lép.
A PSI jelenlegi változata - amelyet 2007 óta több mint két millióan töltöttek le - arra alkalmas, hogy kimutassa a számítógépeken a sebezhető szoftvereket. A hibajavítást a felhasználóra bízza. A Secunia azonban már dolgozik a PSI 2.0-ás verzióján, amely a fejlesztők tervei szerint képes lesz az alkalmazások 70-80 százalékának automatikus javítására is. A PSI 2.0 első tesztverziója heteken belül elérhetővé válhat, míg a végleges változat megjelenése az év vége felé várható. A cég ígérete szerint a PSI 2.0 is ingyenesen lesz használható.
A PSI online változata az Isidor Biztonsági Központ weboldaláról is elérhető, és ingyenesen használható a sebezhetőségek gyors felderítéséhez.
A hír a Computerworld biztonság rovatában jelent meg.
A Secunia a PSI révén gyűjtött adattömegből leválogatta azokat, amelyek január utolsó hetében keletkeztek, és ezeket a szokásosnál jobban szemügyre vette. Az elemzések során kiderült, hogy a PSI felhasználóinak PC-jén átlagosan 66 különféle szoftver található, amelyek 22 különböző fejlesztőcégtől származnak. Elmondható, hogy a biztonsági frissítések kezelését jelentősen megnehezítik ezek a heterogén szoftverkörnyezetek. A Secunia szerint egy otthoni felhasználónak évente átlagosan 75 hibajavítást kellene telepítenie a számítógépére, ami sok időt és odafigyelést igényel. Mindez azt is jelenti, hogy körülbelül öt naponta kellene befoltozni egy-egy szoftvert.
"Nem lehet elvárni a felhasználóktól, hogy megismerjék az összes frissítési mechanizmust, és túl sok időt töltsenek a hibajavításokkal." - mondta Thomas Kristensen, a Secunia műszaki igazgatója. A szakember tapasztalatai szerint kevés felhasználó fordít kellő figyelmet és időt a frissítésekre, aminek következtében sok számítógép kiszolgáltatott a támadásokkal szemben.
A Secunia szoftverhasználatra vonatkozó felméréséből az a következtetés is leszűrhető, hogy egy átlagos felhasználónak 22 különböző frissítési eljárást kell alkalmaznia, ami nagyon sok. Ezért a biztonsági cég arra kérte a legjelentősebb szoftverfejlesztő vállalatokat, hogy közösen alakítsanak ki egy olyan patch-elési eljárást, amely egységesen és ezáltal egyszerűen használható. Azonban a Secunia javaslata nem igazán került megfontolásra a fejlesztők körében, sőt sokan azonnal lesöpörték az ötletet az asztalról. Ezért a Secunia úgy határozott, hogy a tettek mezejére lép.
A PSI jelenlegi változata - amelyet 2007 óta több mint két millióan töltöttek le - arra alkalmas, hogy kimutassa a számítógépeken a sebezhető szoftvereket. A hibajavítást a felhasználóra bízza. A Secunia azonban már dolgozik a PSI 2.0-ás verzióján, amely a fejlesztők tervei szerint képes lesz az alkalmazások 70-80 százalékának automatikus javítására is. A PSI 2.0 első tesztverziója heteken belül elérhetővé válhat, míg a végleges változat megjelenése az év vége felé várható. A cég ígérete szerint a PSI 2.0 is ingyenesen lesz használható.
A PSI online változata az Isidor Biztonsági Központ weboldaláról is elérhető, és ingyenesen használható a sebezhetőségek gyors felderítéséhez.
A hír a Computerworld biztonság rovatában jelent meg.