Gyurkity Péter
A Windows biztonságosabb az alkalmazásoknál
Ezt a következtetést vonhatjuk le a Secunia biztonsági cég legújabb jelentéséből, immár nem az első alkalommal. A biztonsági résekkel kapcsolatos adatok ugyanis azt mutatják, hogy a külső fejlesztők által elkészített alkalmazások jelentik a legszélesebb támadási felületet, míg a Windows és a Microsoft saját szoftverei ennek elenyésző hányadával bonyolítják életünket. Az elkövetkező években tovább súlyosbodhat a helyzet, mivel a mobil szféra térhódítása és a vállalatok jelenleg tapasztalt magatartása romló tendenciát vetít előre.
A Vulnerability Review 2013 elnevezésű anyag fő állítása, hogy a 2012-ben legnépszerűbbnek számító 50 alkalmazásban felfedezett biztonsági rések 86 százalékban olyan programokban jelentek meg, amelyek külső fejlesztőktől, vagyis nem a Microsofttól származnak. Támadási felületet mindössze 5,5 százalékban nyújtottak maguk az operációs rendszerek, míg a szoftvercég egyéb termékei ebből 8,5 százalékkal vették ki részüket. 2011-ben a harmadik féltől származó programok aránya a sebezhetőségek terén 78 százalék volt, az operációs rendszereknél ez 10, a Microsoft további szoftvereinél pedig 12 százalékot mértek.
A biztonsági problémák alig 5 százalékáért felelős a Windows
A tavalyi év folyamán a megvizsgált 50 legnépszerűbb alkalmazásban összesen 1137 biztonsági rést fedeztek fel, ami önmagában is óriási szám. Öt év alatt ezzel csaknem megduplázódott (98 százalékkal nőtt) a sebezhetőségek száma, ráadásul a Secunia ezek nagy részét, 84,1 százalékát, kritikusnak minősítette. Tovább rontja a képet, hogy az említett 1137 rés mindössze 18 alkalmazáson belül tűnt fel, ez szoftverenként 63 ilyen hibát jelent, míg ha a teljes képet nézzük a tavalyi évről, az összesen megvizsgált 2503 termék 9776 sebezhetőséget vonultatott fel, ami átlagban 4 rést jelent.
Jó hír ezzel szemben, hogy az összes sebezhetőség 84 százalékára már a felfedezés napján elkészült a javítás, a megfelelő frissítéseket a felhasználók és vállalatok már akkor letölthették - 2011-ben ez az arány még csak 72 százalék volt. Aggodalomra ad okot viszont, hogy a vállalatok egy része nem vesz tudomást a problémáról, igyekszik a szőnyeg alá söpörni azt, nem frissítik idejében az általuk alkalmazott szoftvereket, márpedig egyetlen ilyen sebezhetőség elegendő ahhoz, hogy illetéktelenek megkaparintsák a bizalmas információkat és átvegyék a hozzáférést a számítógépek felett. A dokumentum elkészítői hivatkoznak a Gartner kutatócégre, amely szerint 2015-ben már a sikeres támadások 80 százaléka épül majd egy ismert sebezhetőségre, éppen ezért saját ajánlásaik között is ott szerepel a külső alkalmazások időben történő, folyamatos frissítése.
Az 50 leggyakoribb alkalmazás hibáinak zömét egy napon belül javították
Érdemes megemlíteni, hogy a Secunia már a sokadik alkalommal figyelmeztet a fentiekre, 2010-es dokumentumukban például a mostanihoz nagyon hasonló kijelentéseket tettek. Már akkor is a böngészők, az Adobe egyes termékei, illetve az iTunes bizonyultak kedvelt célpontnak, a harmadik féltől származó programok esetében pedig 3,5-szer gyakrabban fordultak elő biztonsági hibák.
A tavalyi listán a Google Chrome végzett az első helyen a maga 291 sebezhetőségével, ezt a Mozilla Firefox követte 257 réssel, utánuk az Adobe Flash Player lett harmadik 67, a Java pedig negyedik 66 ilyen problémaforrással. A Java egyébként heteken keresztül visszatérő téma volt a sajtóban, egymás után több komoly sebezhetőséget fedeztek fel a futtatókörnyezetben, amelyek némelyikét a gyors frissítés dacára sem sikerült azonnal kijavítani. A védekezést ebben az esetben a szoftver kikapcsolása jelentette, már amennyiben az érintett személyek valóban komolyan vették a figyelmeztetést. Jellemző, hogy a tengerentúlon a hivatalos, ilyen és hasonló sebezhetőségekre figyelmeztető portált is támadás érte, ennek következtében pedig napokig nem volt elérhető a kormányzati oldal.
Amellett sem mehetünk el szó nélkül, hogy a Windows 8 megjelenésekor többnyire pozitívan fogadták az új Defender alkalmazást, amely a korábbi változatokkal ellentétben immár a vírusirtás feladatát is magára vállalta. A szoftver többnyire megfelel az átlagfelhasználó igényeinek, sokan már a külső vírusirtók feleslegességéről beszéltek, igaz, itt a vélemények megoszlanak, már csak azért is, mert az azonos adatbázisra épülő Microsoft Security Essentials nem felelt meg a független AV-TEST intézet minimális elvárásainak. Az is jól látható, hogy a biztonsági szoftverek egyre nagyobb hányada szorít helyet saját felületén a külső programok összegzésének, figyelmezteti a felhasználót azok frissítésére. Ezek egyike az új Avast 8, amely szintén külön opciót szentel az egyéb programok állapotának folyamatos felmérésére, már amennyiben igényt tartunk erre.
A mobil szféra, a különböző hordozható eszközök gyors terjedésének tudható be, hogy az Android lassan de biztosan elfoglalja azt a nem éppen kitüntető pozíciót, amelynek a Windows a kilencvenes évek során örvendett. A felhasználói bázis (a laikusok tömegének) kiszélesedésével, a rengeteg eltérő, sokszor nem túl magas színvonalú külső szoftver megjelenésével előtérbe került a biztonság kérdése. Egyre több sebezhetőségre derül fény, amivel párosul a felhasználók és vállalatok nemtörődése, márpedig ez utóbbiak is egyre több területen támaszkodnak a mobil alkalmazásokra és platformokra.
Egyes írásokban már egyenesen az új Windowsként hivatkoznak a Google mobil platformjára, míg mások azt boncolgatják, hogy ez a hasonlat mennyire helytálló. Valószínűnek tűnik, hogy az operációs rendszer idővel összekapja magát, a biztonság terén is egyre hatékonyabb védelmet nyújt majd, ahogy az a Windows esetében is történt, ám ehhez sok-sok munka és idő kell. Jelenleg még a pénzszerzési céllal indított támadások 81,5 százaléka az Android ellen irányul, ami egyben tökéletesen jelzi a platform kiemelt helyét.
A friss pletykák szerint egyébként a Windows 9 2014 novemberében fut majd be, bár ennek bétája már januárban elérhetővé válhat. Azt még nem tudni, hogy pontosan milyen újításokat kínál majd a következő verzió (illetve, hogy ez pontosan miként is viszonyul majd az eddig emlegetett Windows Blue változathoz), ám arra jó esély látszik, hogy további javításokra kerül majd sor a biztonsági funkcióknál, ahogy ezt az elmúlt években megszokhattuk. A Google a maga részéről a májusban esedékes rendezvényén ismerteti az Android következő verzióját, amely nyilván szintén tartogat majd biztonsági jellegű újításokat, hiszen ezt már nemigen kerülhetik meg - meglátjuk, hogy a felhasználók mennyiben használják majd ki ezen fejlesztéseket.
A Vulnerability Review 2013 elnevezésű anyag fő állítása, hogy a 2012-ben legnépszerűbbnek számító 50 alkalmazásban felfedezett biztonsági rések 86 százalékban olyan programokban jelentek meg, amelyek külső fejlesztőktől, vagyis nem a Microsofttól származnak. Támadási felületet mindössze 5,5 százalékban nyújtottak maguk az operációs rendszerek, míg a szoftvercég egyéb termékei ebből 8,5 százalékkal vették ki részüket. 2011-ben a harmadik féltől származó programok aránya a sebezhetőségek terén 78 százalék volt, az operációs rendszereknél ez 10, a Microsoft további szoftvereinél pedig 12 százalékot mértek.
A biztonsági problémák alig 5 százalékáért felelős a Windows
A tavalyi év folyamán a megvizsgált 50 legnépszerűbb alkalmazásban összesen 1137 biztonsági rést fedeztek fel, ami önmagában is óriási szám. Öt év alatt ezzel csaknem megduplázódott (98 százalékkal nőtt) a sebezhetőségek száma, ráadásul a Secunia ezek nagy részét, 84,1 százalékát, kritikusnak minősítette. Tovább rontja a képet, hogy az említett 1137 rés mindössze 18 alkalmazáson belül tűnt fel, ez szoftverenként 63 ilyen hibát jelent, míg ha a teljes képet nézzük a tavalyi évről, az összesen megvizsgált 2503 termék 9776 sebezhetőséget vonultatott fel, ami átlagban 4 rést jelent.
Jó hír ezzel szemben, hogy az összes sebezhetőség 84 százalékára már a felfedezés napján elkészült a javítás, a megfelelő frissítéseket a felhasználók és vállalatok már akkor letölthették - 2011-ben ez az arány még csak 72 százalék volt. Aggodalomra ad okot viszont, hogy a vállalatok egy része nem vesz tudomást a problémáról, igyekszik a szőnyeg alá söpörni azt, nem frissítik idejében az általuk alkalmazott szoftvereket, márpedig egyetlen ilyen sebezhetőség elegendő ahhoz, hogy illetéktelenek megkaparintsák a bizalmas információkat és átvegyék a hozzáférést a számítógépek felett. A dokumentum elkészítői hivatkoznak a Gartner kutatócégre, amely szerint 2015-ben már a sikeres támadások 80 százaléka épül majd egy ismert sebezhetőségre, éppen ezért saját ajánlásaik között is ott szerepel a külső alkalmazások időben történő, folyamatos frissítése.
Az 50 leggyakoribb alkalmazás hibáinak zömét egy napon belül javították
Érdemes megemlíteni, hogy a Secunia már a sokadik alkalommal figyelmeztet a fentiekre, 2010-es dokumentumukban például a mostanihoz nagyon hasonló kijelentéseket tettek. Már akkor is a böngészők, az Adobe egyes termékei, illetve az iTunes bizonyultak kedvelt célpontnak, a harmadik féltől származó programok esetében pedig 3,5-szer gyakrabban fordultak elő biztonsági hibák.
A tavalyi listán a Google Chrome végzett az első helyen a maga 291 sebezhetőségével, ezt a Mozilla Firefox követte 257 réssel, utánuk az Adobe Flash Player lett harmadik 67, a Java pedig negyedik 66 ilyen problémaforrással. A Java egyébként heteken keresztül visszatérő téma volt a sajtóban, egymás után több komoly sebezhetőséget fedeztek fel a futtatókörnyezetben, amelyek némelyikét a gyors frissítés dacára sem sikerült azonnal kijavítani. A védekezést ebben az esetben a szoftver kikapcsolása jelentette, már amennyiben az érintett személyek valóban komolyan vették a figyelmeztetést. Jellemző, hogy a tengerentúlon a hivatalos, ilyen és hasonló sebezhetőségekre figyelmeztető portált is támadás érte, ennek következtében pedig napokig nem volt elérhető a kormányzati oldal.
Amellett sem mehetünk el szó nélkül, hogy a Windows 8 megjelenésekor többnyire pozitívan fogadták az új Defender alkalmazást, amely a korábbi változatokkal ellentétben immár a vírusirtás feladatát is magára vállalta. A szoftver többnyire megfelel az átlagfelhasználó igényeinek, sokan már a külső vírusirtók feleslegességéről beszéltek, igaz, itt a vélemények megoszlanak, már csak azért is, mert az azonos adatbázisra épülő Microsoft Security Essentials nem felelt meg a független AV-TEST intézet minimális elvárásainak. Az is jól látható, hogy a biztonsági szoftverek egyre nagyobb hányada szorít helyet saját felületén a külső programok összegzésének, figyelmezteti a felhasználót azok frissítésére. Ezek egyike az új Avast 8, amely szintén külön opciót szentel az egyéb programok állapotának folyamatos felmérésére, már amennyiben igényt tartunk erre.
A mobil szféra, a különböző hordozható eszközök gyors terjedésének tudható be, hogy az Android lassan de biztosan elfoglalja azt a nem éppen kitüntető pozíciót, amelynek a Windows a kilencvenes évek során örvendett. A felhasználói bázis (a laikusok tömegének) kiszélesedésével, a rengeteg eltérő, sokszor nem túl magas színvonalú külső szoftver megjelenésével előtérbe került a biztonság kérdése. Egyre több sebezhetőségre derül fény, amivel párosul a felhasználók és vállalatok nemtörődése, márpedig ez utóbbiak is egyre több területen támaszkodnak a mobil alkalmazásokra és platformokra.
Egyes írásokban már egyenesen az új Windowsként hivatkoznak a Google mobil platformjára, míg mások azt boncolgatják, hogy ez a hasonlat mennyire helytálló. Valószínűnek tűnik, hogy az operációs rendszer idővel összekapja magát, a biztonság terén is egyre hatékonyabb védelmet nyújt majd, ahogy az a Windows esetében is történt, ám ehhez sok-sok munka és idő kell. Jelenleg még a pénzszerzési céllal indított támadások 81,5 százaléka az Android ellen irányul, ami egyben tökéletesen jelzi a platform kiemelt helyét.
A friss pletykák szerint egyébként a Windows 9 2014 novemberében fut majd be, bár ennek bétája már januárban elérhetővé válhat. Azt még nem tudni, hogy pontosan milyen újításokat kínál majd a következő verzió (illetve, hogy ez pontosan miként is viszonyul majd az eddig emlegetett Windows Blue változathoz), ám arra jó esély látszik, hogy további javításokra kerül majd sor a biztonsági funkcióknál, ahogy ezt az elmúlt években megszokhattuk. A Google a maga részéről a májusban esedékes rendezvényén ismerteti az Android következő verzióját, amely nyilván szintén tartogat majd biztonsági jellegű újításokat, hiszen ezt már nemigen kerülhetik meg - meglátjuk, hogy a felhasználók mennyiben használják majd ki ezen fejlesztéseket.