Хакер #305. Многошаговые SQL-инъекции
Компания Aberdeen Group, специализирующаяся на
консультационных услугах в сфере
компьютерной безопасности, опубликовала
весьма интересный отчет о безопасности
различных компьютерных платформ. В нем, в
частности, указывается, что пальма
первенства по количеству дыр и уязвимостей
в программных продуктах постепенно
переходит от корпорации Microsoft к
разработчикам ПО с открытым исходным кодом.
На такие выводы аналитиков Aberdeen Group
натолкнуло изучение рекомендаций
организации CERT (Computer Emergency Response Team) за
последние пару лет. Как оказалось,
наибольшее количество сообщений об
уязвимостях в Windows пришлось на 2001 г. В то же
время, за первые десять месяцев года
нынешнего более половины (точнее, 16 из 29)
предупреждений CERT касались Linux. Количество
сообщений CERT о троянских программах для
Windows снизилось с шести до нуля. В случае с Linux
число троянов немного увеличилось: за
первые десять месяцев 2002 г. были выпущены
два предупреждения CERT против одного за весь
2001 г. Кроме того, постепенно растет число
предупреждений о дырах в программных
продуктах для других вариантов UNIX, включая
MacOS X, внутреннего ПО сетевого оборудования
и систем защиты информации.
В Aberdeen Group выражают сомнение в том, что
разработчики ПО с открытым кодом
действительно быстрее и эффективнее
устраняют дыры в своих продуктах. Например,
в случае с Linux борьбу с дырами усложняет
наличие большого числа дистрибутивов, для
каждого из которых часто требуются
собственные заплатки. В открытых продуктах
редко встречаются системы автоматического
обновления, ставшие уже привычными для
продуктов той же Microsoft и позволяющие
оперативно и в автоматическом режиме
ликвидировать уязвимые места в программном
обеспечении. Все это значительно осложняет
борьбу с дырами в Linux и других UNIX-подобных
системах.
Аналитики Aberdeen Group полагают, что
поставщики решений на основе открытого ПО
должны лучше следить за безопасностью
своих продуктов и совершенствовать
технологии их оперативного обновления. В
свою очередь, для всей отрасли программного
обеспечения, как с открытым, так и с
закрытым кодом, необходимой является
выработка единых стандартов обеспечения
безопасности и единой системы сертификации
продуктов на предмет соответствия таким
стандартам.
Специалисты CERT, впрочем, полагают, что в
Aberdeen Group сделали слишком далеко идущие
выводы из их рекомендаций. Политика CERT
заключается в выпуске предупреждений лишь
о самых опасных дырах и вредоносных
программах, независимо от того, содержатся
ли они в открытом или закрытом ПО. При этом
CERT охватывает около пятой части всех
подобных инцидентов. В организации также
подчеркивают, что дыры обязаны своему
появлению не тому, что программа
разрабатывается сообществом open source или
крупной компанией, а ошибкам и недоработкам
программистов.