IBM: пользователи недооценивают количество дыр в ПО
Эксперт по вопросам компьютерной безопасности IBM Гантер Оллманн утверждает, что пользователи недооценивают количество уязвимостей, которые ежегодно выявляются в программных продуктах.
Оллманн со ссылкой на отчет Internet Security Systems отмечает, что в минувшем году публично была обнародована информация примерно о 7250 новых дырах в программных пакетах. Однако на самом деле, по словам Оллманна, в 2006 году в ПО были выявлены почти 140 тысяч новых дыр. Таким образом, до пользователей дошли сведения лишь о 5,48% обнаруженных уязвимостей.
Специалист IBM выделяет несколько основных причин, по которым число найденных дыр столь сильно отличается от числа уязвимостей, информация о которых была обнародована публично. Зачастую, отмечает Оллманн, поставщик программного продукта, обнаруживший брешь самостоятельно, устраняет ее без громкой огласки. Кроме того, нередко специалисты считают, что найденные дыры не представляют особой опасности, а поэтому поднимать из-за них шум не стоит. Наконец, большую часть ежегодно выявляемых дыр обнаруживают тестеры, работающие по контрактам с поставщиками программных продуктов. Как правило, информация о таких уязвимостях остается закрытой.
По оценкам Оллманна, в прошлом году до рядовых пользователей не дошла информация примерно о 132 тысячах дыр. Оллманн также подчеркивает, что число потенциально слабых мест в одном приложении зависит от сложности и размера программы. Так, приводит пример Оллманн, команда из четырех человек за пять дней работы выявила в одном из коммерческих продуктов сразу 600 дыр. Таким образом, администраторы сетей, чья стратегия защиты базируется на установке патчей лишь для публично обнародованных уязвимостей, фактически оставляют свои системы открытыми для атак.
