Security Lab

Позорные патчи

Позорные патчи
Как только софтопроизводитель выпускает патч безопасности для своей системы, журналисты тут же выпускают новость типа «Множественные уязвимости в ...». И у пользователей вместо чувства глубокого удовлетворениянаступает ущерб деловой репутации.

Как же остаться безнаказанным за своё доброе дело?

Совсем не делать патчей – это на сегодняшний день не вариант. Точнее, вариант лишь для одной группы товаров, для которых потребитель не ждёт поддержки; например, бортовых компьютеров автомобилей.

Выпускать секретные патчи удаётся лишь для секретных программ. Сектор сверхприбыльный, но при этом сверхузкий.

Выпуск заплатки можно отсрочить, подгадав так, чтобы новость осталась малозаметной на фоне более ярких событий. Метод сомнительный, ибо каждый день отсрочки – это новые взломы и заражения.

Автоматическая установка обновлений – вот неплохое решение. При этом анонса не производится, т.е. никаких рассылок типа «у нас обнаружена уязвимость, скачайте патч», каковые рассылки могут прочитать посторонние. Не нужно сообщать о сути обновления, что это было: заплатка на дыру в безопасности, дополнительная функциональность или просто новые иконки с тенями.

Вот только законы в разных странах по-разному относятся к такому молчаливому обновлению софта. Где-то можно попасть на уголовную ответственность за вредоносные программы. Где-то утаивание уязвимостей карается отзывом сертификата кошерности. Можно нарваться и на публичный скандал. Поэтому какое-то невнятное уведомление в уголке экрана пользователю обычно высвечивают.

Ещё производителям приходится работатьс организациями, ведущими публичный учёт уязвимостей. Чтоб очередная дырка была помечена как закрытая, приходится официально указывать, в каком обновлении это сделано.

утечки оценка рисков вредоносные программы
Alt text

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.

InfoWatch

Блог компании infowatch infowatch.livejournal.com