IBM: пользователи недооценивают число дыр в ПО
Эксперт по вопросам компьютерной безопасности IBM Гантер Оллманн утверждает, что пользователи недооценивают численность уязвимостей, которые ежегодно выявляются в программных продуктах.
Оллманн со ссылкой на отчет Internet Security Systems отмечает, что в минувшем году публично была обнародована инфа эдак о 7250 новых дырах в программных пакетах. При всем при том на самом деле, по словам Оллманна, в 2006 году в ПО были выявлены без малого 140 тысяч новых дыр. Таким образом, до пользователей дошли сведения только о 5,48% обнаруженных уязвимостей.
Специалист IBM выделяет немного основных причин, по которым цифра найденных дыр до того весьма отличается от числа уязвимостей, информация о которых была обнародована публично. Зачастую, отмечает Оллманн, поставщик программного продукта, обнаруживший брешь самостоятельно, устраняет ее без громкой огласки. Помимо того, зачастую специалисты считают, что найденные дыры не представляют особой опасности, а вследствие этого приподнимать из-за них гул не стоит. Наконец, большую количество ежегодно выявляемых дыр обнаруживают тестеры, работающие по контрактам с поставщиками программных продуктов. Как правило, информация о таких уязвимостях остается закрытой.
По оценкам Оллманна, в прошлом году до рядовых пользователей не дошла информация грубо о 132 тысячах дыр. Оллманн ещё подчеркивает, что число потенциально слабых мест в одном приложении зависит от сложности и размера программы. Так, приводит образец Оллманн, команда из четырех мужчина за пять дней работы выявила в одном из коммерческих продуктов безотлагательно 600 дыр. Таким образом, администраторы сетей, чья стратегия защиты базируется на установке патчей лишь для публично обнародованных уязвимостей, по сути дела оставляют свои системы открытыми для атак.