Patcha säkerhetsuppdateringsprocessen

Ny forskning visar att den typiska PC-användaren behöver installera en säkerhetsuppdatering ungefär var femte dag för att säkert kunna använda Microsoft Windows och alla tredjepartsprogram som vanligtvis körs ovanpå den. Som svar säger ett danskt datasäkerhetsföretag att det snart kommer att lansera en gratis ny tjänst som tyst automatiserar installationen av säkerhetsuppdateringar för dussintals av de mest använda mjukvaruprodukterna.





Femdagarssiffran kommer från information som samlats in av Secunia, som granskade statistik från cirka två miljoner användare av sin gratis Personal Software Inspector (PSI)-verktyg, ett program utformat för att varna användare om föråldrad och osäker programvara som körs på deras maskiner. Secunia fann att den typiska Microsoft Windows-användaren har mer än 66 program från mer än 22 olika programvaruleverantörer på sin dator.

Även om den nuvarande versionen av PSI-programvaran innehåller länkar till de senaste uppdateringarna för varje föråldrad applikation, tycker många användare fortfarande att uppdateringsprocessen är för krånglig, säger Thomas Kristensen, Secunias säkerhetschef.

De flesta användare vill inte besväras av alla dessa uppdateringar, säger Kristensen. Även när vi förser dem med rätt nedladdningslänkar för uppdateringarna, säger många användare: 'Nej, jag vill inte klicka på alla dessa saker.' Vi skulle vilja minska antalet användare som slutar lappningsprocessen vid den tidpunkten.



Det finns gott om bevis som tyder på att den genomsnittliga användaren inte kan bry sig om att installera säkerhetsuppdateringar i tid – om inte processen är mer eller mindre automatiserad. I en studie som släpptes förra sommaren visade forskare från Google Switzerland och Schweiziska federala tekniska institutet fann att webbläsare som inkluderade tysta, automatiska uppdateringar – som Mozillas Firefox och Googles Chrome – fungerade mycket bättre och snabbare för att framgångsrikt leverera patchar än den manuella installationsmekanismen som användes av webbläsare från rivaler som Microsoft, Opera och Apple.

När hackare i allt högre grad attackerar säkerhetshål i programvaran innan leverantörer kan skicka patchar för att sätta igen dem, är snabb patchning viktigare än någonsin, säger Wolfgang Kandek, teknisk chef på Qualys , ett datasäkerhetsföretag baserat i Redwood Shores, CA, som hjälper företag att hantera patchdistribution. Kandek säger att Microsoft gjorde stora framsteg med Windows XP Service Pack 2, vilket fick användarna att aktivera automatiska uppdateringar för operativsystemet. Men han tillägger att för få stora mjukvarutillverkare från tredje part inkluderar liknande mekanismer för automatisk uppdatering.

Ta äldre versioner av Adobes programvara, som inte har en uppdateringskomponent, säger Kandek. Användare på dessa kommer bara att stanna på vilken version de än använder och aldrig uppdatera. Alan Paller, forskningschef för Bethesda, MD-baserad UTAN institut , en utbildningsgrupp för datorsäkerhet, säger att Microsoft övervägde att presentera sin Windows Update-tjänst för tredje parts programvaruleverantörer som en uppdateringskanal för många år sedan, men slutligen övergav idén på grund av juridiska ansvarsproblem.



Secunias Kristensen säger att hans företags verktyg kommer att undvika alla ansvarsproblem genom att ladda ner patchar på exakt samma sätt för varje applikation som en vanlig användare skulle göra. Ändå, säger han, kommer sannolikt inte alla mjukvaruleverantörer att göra det enkelt.

Ansvarsproblemen uppstår om vi skulle börja modifiera patchar eller lägga in dem i vårt eget arkiv med uppdateringar, säger Kristensen. En sak vi kan garantera är att det inte kommer att fungera för 100 procent av programvaran. Vi skulle älska att göra det, men det skulle kräva 100 procent samarbete från många leverantörer som inte har en bra historia av detta.

Enligt Paller är Secunias främsta utmaning tilltalande för användare som inte vet tillräckligt om säkerhet för att veta att de behöver distribuera uppdateringar från tredje part. Det är därför jag tror att en sådan här tjänst – om den ska ha en anständig effekt – måste erbjudas genom [internetleverantörerna], säger han. Mitt mål skulle vara att säga att om du ska bli en ISP måste du tillhandahålla en tjänst som denna.



Secunias korrigeringsverktyg kommer troligen att behöva några seriösa tester innan det kan distribueras i en så bred skala. Secunia har redan anpassat företagsversionen av PSI för att distribuera uppdateringar från tredje part, men att göra detsamma för konsumentdatorer skulle vara en mycket större utmaning, särskilt när det gäller att få programvaran att fungera på alla olika implementeringar av främmande språk av dessa tredjepartsprodukter .

Målet är att göra detta skalbart och lagligt, och för att göra det måste vi – åtminstone till en början – prioritera de produkter vi korrigerar baserat på de som är mest installerade, eftersom det inte finns något sätt att vi kommer att kunna göra 13 000 ansökningar på en gång, säger Kristensen.

Secunia siktar på att ha en förhandsversion tillgänglig i april för expert PC-användare, och en betaversion för mer offentlig konsumtion några månader efter det.



Dölj