ПО в этом году стало более защищенным
02-04-2012
Согласно предварительным данным компаний, собирающих информацию об уязвимостях, количество публично раскрытых уязвимостей в этом году сократилось по сравнению с предыдущим, и намного меньше ошибок были использованы для проведения атак.
Компания Symantec, например, ожидает в этом году увидеть падение общего числа публично раскрытых уязвимостей на 30%, а критических уязвимостей – на 10%. Ежегодно компания фиксирует около 4 500 – 5 500 уязвимостей, однако в 2010 году их количество достигло рекордных 6 253. Меньше всего уязвимостей было замечено за последние 6 месяцев этого года.
Ту же самую тенденцию проследили и команды по исследованию безопасности X-Force компании IBM.
Одной из возможных причин снижения могло стать то внимание, которое компании вроде Microsoft и Adobe сосредоточили на безопасной разработке, что могло вылиться в значительное сокращение уязвимостей, которые легко обнаружить. Об этом сказал Джошуа Тэлбот, начальник службы безопасности компании Symantec: «Если атакующий в курсе, что данная платформа имеет средства защиты, и что эксплуатировать уязвимость на ней будет сложно, он может решить отказаться от своей затеи», - объяснил Тэлбот.
Вдобавок к этому, хакер может отказаться от своего намерения если знает, что Windows, Linux, Mac OS, равно как и многие приложения, которые работают на этих платформах, были перестроены с добавлением в них функций безопасности, которые усложняют задачу эксплуатирования уязвимости. Пока атакующие продолжали заниматься уязвимостями в Adobe Acrobat, Java и MS Office, исследователи безопасности направили свои усилия на аудит более нишевого ПО вроде систем промышленного контроля, автомобильных систем и мобильных устройств.
«Сложно с уверенностью сказать, что движет исследователями и хакерами, - сказал Тэлбот. - Но есть разработки, которые затрудняют создание эксплойтов, и которые могли стать для хакеров мотивацией оставлять уязвимости и эксплойты при себе, а не сообщать о них».
Взять, к примеру, Adobe. Исследователи стали заниматься компанией в 2008 году. Количество уязвимостей, о которых было сообщено компании, сократилось в 2009 и достигло пика в 2010. В этом году, однако, компания испытывает значительный спад в уязвимостях. Количество сообщений об ошибках в Flash Player сократилось на половину, а в Acrobat – на две трети. Об этом рассказал Брэд Аркин, главный директор по безопасности в Adobe: «Для нас важно повысить стоимость обнаружения эксплойта, сделав его более дорогим, - отметил Аркин. - Мы очень сосредоточенно над этим работаем».
Эту тенденцию в своих данных заметила и Microsoft. В 2011 году число критических уязвимостей в компании достигло минимального значения за последние 6 лет. К тому же, компания в этом году выпустила 99 бюллетеней, которых в прошлом году было выпущено 106. В абсолютных цифрах это означает, что в этом году было меньше всего критических уязвимостей с 2005 года.
«Тот факт, что год за годом мы наблюдаем снижение процента критических проблем и бюллетеней, говорит о прогрессе, который делают продуктовые группы, создавая более защищенное ПО», - написал в блоге Майк Риви, главный директор Microsoft Security Response Center, комментируя данные.
С того самого момента, когда компания создала подразделение Trustworthy Computing в январе 2002, она начала заниматься искоренением уязвимостей в своей продукции, улучшением процесса разработки, и защите своих операционных систем и приложений от воздействия эксплойтов. Последние данные говорят о том, что компания преуспела.
Хотя фокус на безопасности основных платформ и приложений и укрепил ПО, сделав его более устойчивым к действию эксплойтов, исследователи уже пошли дальше и стали заниматься системами, которым недостает строгой проверки. Это и встраиваемые автомобильные системы, и системы промышленного контроля, и медицинские приборы. По мере того, как все больше подобных устройств будут получать доступ в интернет, хакеры будут искать способы их атаковать. Об этом сказал Вольфганг Кендек, технический директор по управлению уязвимостями из Qualys. «Учитывая тот темп, с которым мы подключаем все больше и больше устройств к интернету, думаю, недостатка в уязвимостях у нас не будет», - сказал он.
Источник: Xakep.ru.
