Producenci oprogramowania nie są w stanie stworzyć produktu bez luk, przynajmniej według
raportu stworzonego przez firmę Secunia. Raport diagnozuje występowanie luk bezpieczeństwa w oprogramowaniu Microsoftu oraz firm trzecich na przestrzeni lat 2005 - pierwsza połowa 2010.
Secunia specjalizuje się w dziedzinie bezpieczeństwa oprogramowania i produkcji narzędzi do wykrywania i powiadamiania o lukach bezpieczeństwa w aplikacjach, zarówno Microsoftu, jak i aplikacji firm trzecich (firm produkujących oprogramowanie, ale nie systemy operacyjne).
Z raportu wynika, że wbrew powszechnej opinii, to nie Microsoft jest producentem oprogramowania z największą liczbą luk. Jest jednak w pierwszej dziesiątce firm, które produkują najbardziej „dziurawe” oprogramowanie, a należą do nich także m.in. Apple, Oracle, IBM, Adobe, Sun, Mozilla Foundation, Google. Według raportu oprogramowanie tych 10 firm odpowiada za 38% luk występujących na rynku.
Ponadto raport ukazuje alarmujący wzrost luk bezpieczeństwa w oprogramowaniu firm trzecich. W 2009 roku na 50 programów zainstalowanych przez typowego użytkownika komputera, z których 26 było produkcji Microsoftu, a 24 firm trzecich, oprogramowanie tych drugich zawierało 3,5-krotnie więcej luk. Według prognoz w 2010 roku stosunek ten może wzrosnąć do 4,4.
Raport odnotowuje też wzrost ilości wykrytych luk w oprogramowaniu - od roku 2007 do 2009 liczba ta prawie się podwoiła z 220 do 420. W roku bieżącym liczba ta może wynieść 760. Patrząc jednak na oprogramowanie i systemy operacyjne Microsoftu (XP i Vista), wzrost nie jest tak znaczny – za większość luk odpowiadają firmy trzecie.
Inną przewagą oprogramowania Microsoftu nad aplikacjami firm trzecich są częste i automatyczne aktualizacje. Dzięki temu, mimo że potencjalnych luk jest sporo, przestępca chcący je wykorzystać ma na to dosyć ograniczony czas – pomiędzy wykryciem luki, a jej załataniem.
Niestety malejący udział luk bezpieczeństwa w oprogramowaniu Microsoft w ogólnej ich liczbie nie jest spowodowany polepszaniem się jakości programów tego konkretnego producenta, ale globalnym wzrostem ilości „dziurawych” programów. Oto główne przyczyny takiego stanu rzeczy:
- wiele programów firm trzecich nie posiada wygodnego mechanizmu aktualizacji
- w wielu przypadkach oprogramowanie firm trzecich jest aktualizowane rzadko lub niekompletnie
- brak świadomości koniecznej okresowej aktualizacji oprogramowania
- część użytkowników postrzega produkty firmy Microsoft za główny cel ataku cyber-przestępców, nie zauważając oprogramowania firm trzecich jako źródła potencjalnego zagrożenia
Z punktu widzenia cyberprzestępcy wykorzystywanie programów firm trzecich jest bardziej korzystne i w najbliższym czasie takie pozostanie. Nadal niewielu producentów ma wystarczające fundusze, aby na bieżąco naprawiać błędy i likwidować potencjalne zagrożenia.
Czynnikiem przemawiającym na niekorzyść systemów operacyjnych Microsoftu jest rodzaj luk bezpieczeństwa. W przypadku oprogramowania firm trzecich odsetek luk „extremely critical” (luka umożliwiająca zdalne przejęcie kontroli nad komputerem, w chwili obecnej aktywnie wykorzystywana przez cyberprzestępców) wynosi 0,2%, natomiast w przypadku oprogramowania Microsoft wynosi on aż 7,6%.
Zwiększenie bezpieczeństwa
Na zwiększenie bezpieczeństwa największy wpływ ma oczywiście zmniejszenie ilości luk oraz skrócenie czasu potrzebnego za załatanie tych wykrytych. Niestety raport firmy Secunia pokazuje, że w ostatnich latach producenci oprogramowania okazali się niezdolni do zlikwidowania luk, i nic nie wskazuje na to, żeby w najbliższym czasie sytuacja miała się zmienić.
Z kolei w procesie naprawiania wykrytych luk najważniejsza jest prostota procesu aktualizacji. Pozwala to użytkownikom szybko i łatwo instalować poprawki, skracając czas, w którym cyberprzestępca może próbować wykorzystać podatność na atak.
Niestety, wygląda na to, że w najbliższym czasie, mimo zwiększenia wydatków producentów na bezpieczeństwo oprogramowania, określenie „bezpieczny system operacyjny” pozostanie oksymoronem.