Hakerzy wybierają IE oraz Readera

[cyt] Symantec zauważa, że przeglądarka Microsoftu padła ofiarą własnego sukcesu. Znaleziono w nich bowiem 45 dziur, jednak były one atakowane znacznie częściej niż 169 luk w Firefoksie. [/cyt] Ano częściej, bo dłużej były dostępne. Tak więc ie padł ofiarą nie własnego sukcesu tylko pppppppooooooooooowwwwwwwwwwooooooooolllllllllllnoooooooooossssssssssscccccccccciiiiiiiiiiii microsoftowego działu łatania bugów (jeśli tak jak w Firefoksie łatka jest "od ręki" i dodatkowo przeglądarka sama się zaktualizuje to tworzenie szkodników pod nią nie ma sensu, bo zanim skończą się pracę nad nim większość jej użytkowników będzie już na niego odporna. Co innego IE. tam mijają miesiące/lata zanim ktokolwiek będzie mógł się uodpornić inaczej niż "ręcznie' zmieniając konfigurację przeglądarki a najlepiej całą przeglądarkę).

A przeczytałeś też to:

"w przypadku IE oraz Firefoksa łata jest gotowa średnio w czasie krótszym niż doba od momentu upublicznienia dziury".

I kto Ci powiedział, że ktokolwiek przygotowuje łaty "od ręki"? Nie ma takiej możliwości, by łata była od razu.

MS wypuszcza łaty raz na miesiąc, z nielicznymi wyjątkami tych najważniejszych. To jednak jest wydłużenie czasu podatności. Ale największym problemem są raczej użytkownicy, którzy nie aktualizują systemu.

<p>Z najnowszego raportu Symanteka dowiadujemy się, że <strong>najczęściej atakowanymi programami są Adobe Reader, Flash oraz Internet Explorer</strong>. Jednocześnie poinformowano, że w 2009 roku liczba szkodliwego kodu wzrosła o 100% w porównaniu z rokiem poprzednim. Zidentyfikowano ponad 240 milionów nowych szkodliwch programów.</p>    <p>Najczęściej wykorzystywaną luką była dziura w SMB2 systemu Windows. Kolejne pod względem popularności były dziury w programach Adobe Reader, Adobe Flash Player oraz w Internet Explorerze 7.</p>    <p>Symantec zauważa, że przeglądarka Microsoftu padła ofiarą własnego sukcesu. Znaleziono w nich bowiem 45 dziur, jednak były one atakowane znacznie częściej niż 169 luk w Firefoksie.</p>    <p><em>To pokazuje, że ataki na oprogramowanie niekoniecznie są związane z liczbą luk, ale z jego popularnością oraz dostępnością szkodliwego kodu</em> - napisali autorzy raportu.</p>    <p>Jednocześnie stwierdzili, że wobec szybko rosnącej liczby dziur znajdowanych w Safari (w roku 2009 odkryto ich 94), Apple bardziej zaangażować się w ich łatanie. Jak bowiem obliczyli, <em>w przypadku IE oraz Firefoksa łata jest gotowa średnio w czasie krótszym niż doba od momentu upublicznienia dziury, ale w przypadku Safari zajmuje to 13 dni</em>.</p>    <p>Specjaliści ostrzegają też, że przestępcy coraz częściej atakują nie same przeglądarki, a rozszerzenia. W ubiegłym roku odkryto 321 dziur w pluginach. Aż 134 występowały w ActiveX, 84 w Java SE i 49 w Adobe Readerze. Jednocześnie zauważono, że liczba dziur odkrywanych w ActiveX spada, za to rośnie w Javie i Readerze, gdyż to oprogramowanie, ze względu na swoją wieloplatformowość, staje się coraz bardziej atrakcyjnym celem ataków.</p>    <p>Gwałtownie rosnąca liczba ataków to wynik pojawienia się bardzo dojrzałego czarnego rynku i cyberprzestępczego podziemia. Symantec zidentyfikował niemal 90 000 unikatowych wersji podstawowych narzędzi pozwalających wykorzystać robaka Zeus podczas ataku. Można je kupić już za 700 dolarów. Niektóre z zestawów cieszą się takim powodzeniem, a ich produkcja jest tak opłacalna, że twórcy oferują... wsparcie telefoniczne swoim klientom.</p>

IE od wielu lat tj wersji 6 ma luki o ktorych wiadomo publicznie i nie sa zalatane wiec o czym ty zenek piszesz ^^

A przeczytałeś też to:

"w przypadku IE oraz Firefoksa łata jest gotowa średnio w czasie krótszym niż doba od momentu upublicznienia dziury".

I kto Ci powiedział, że ktokolwiek przygotowuje łaty "od ręki"? Nie ma takiej możliwości, by łata była od razu.

A to ciekawe. z tego co wiem 2 krytyczne (bo to też ważne, luka która np "wykrzacza' przeglądarkę jest znacznie mniej groźna od takiej które umożliwia wykonanie własnego kodu na komputerze ofiary) luki z tych 45 ciągle są nie załatane, podczas gdy Mozilla połatała wszystko.

ps zdaję sobie naturalnie sprawę że "od ręki" nie oznacza natychmiast ale mimo wszystko jest to czas na tyle krótki że twórcom szkodnikom nie opłaca się tworzyć kodu

pps wiadomo coś o metodologii? jak przeczytałem o microsoftowym czasie tworzenia łatki ucieszyłem się że mam bardzo stabilne (5 nóg, z kółkami ale jednak) krzesło być może wzięto pod uwagę czas od przyznania się producenta to dziury do informacji że jest łatka, w tym przypadku nawet dziura znaleziona paręnaście lat może wcześniej mieć czas załatania liczony w milisekundach.

W oryginale był użyty termin "exposure time", z którym miałem poważne problemy. Uznałem, że najprawdopodobniej idzie tutaj o czas, po rozpoczęciu ataków. Bo jeśli byłby to czas, w którym dowiedział się producent czy informacja o istnieniu luki została upubliczniona, to ani w przypadku MS ani Mozilli ani nikogo innego nie byłoby to pewnie mniej niż doba. A ataki zero-day zdarzają się na tyle rzadko, że rzeczywiście średnio może być tutaj mniej niż doba.

Prawde mowiac uzytkownicy 'zwyczajni' uzywaja od dawna Firefoksa [na ogol], lub Opery. Najsmutniejsze jest jednak to, ze tzw. "calkowicie zieloni" sa niejako 'skazani' na IE[6/7/8] ... nie liczac naturalnie udostepnionej niedawno opcji ekranu wyboru przegladarki. Sa oni zatem najbardziej narazeni na ataki, a telewizyjne akcje marketingowe firmy MS nie wplyna na podniesienie poziomu bezpieczenstwa ich przegladarki ... utwierdza wrecz jej uzytkownikow w przekonaniu, ze wszystko jest w porzadku, a ten produkt jest bezpieczny.

Akurat pojawiło się zestawienie najbezpieczniejszych przeglądarek od Symanteca. Najbezpieczneijsza okazała się Opera, ale ciekawy jest ten fragment:

In 2009, Opera was one of the browsers with the shortest window of exposure before exploits were fixed, averaging less than one day. (Źródło)

Średni czas łatania poniżej jednego dnia. Faktycznie, ciekawe, jaka jest metodyka liczenia i czy każdy stosuję taką samą?

Ot, właśnie Secunia podała informację o wielu wysoce krytycznych dziurach w Chrome. Jednocześnie poinformowano, że są już łaty. Przecież Google nie przygotował ich w ciągu kilku minut, prawda?

Odkryli dziury lub ktoś ich o nich poinformował, zbadali je, przygotowali łaty, przeprowadzili testy i je udostępnili informując jednocześnie o dziurach. Mogło to trwać dwa tygodnie, albo i pół roku, nie wiemy.

I jakie z tego wyciągniemy wnioski? Że Chrome jest łatany szybciej niż Firefox, bo informacja o dziurze w FF przedostała się do opinii publicznej na tydzień przed wypuszczeniem łaty?

IE ma niełatane dziury z prostego powodu, jak zostanie spiratowany to gość nie ma dostępu do aktualizacji i jest łatwą ofiarą dla tych co się znają.

Jednocześnie artykuł informuje że ktoś wie o tych lukach (skoro są policzalne) i nie powiadamia  (kogo trzeba) = korzysta z nich.

IE ma niełatane dziury z prostego powodu, jak zostanie spiratowany to gość nie ma dostępu do aktualizacji i jest łatwą ofiarą dla tych co się znają.

Mylisz się. Ze względów bezpieczeństwa łatki  na dziury krytyczne są dostępne dla wszystkich, piratów też. Swoją drogą piractwo jest na rękę gigantowi z redmont, ludzi nauczą się w domu pirackiego Windowsa, idą do pracy i a firma już musi zapłacić. Gdyby nauczyli się darmowego Linuksa, w firmie też by z niego korzystali (bo ten Windows to jakiś 'dziwny" jest, ani wirtualnych pulpitów ani managera pakietów, interfejs też nie taki) i obroty by spadły.

No, najwyraźniej by się nie nauczyli, bo najwyraźniej im Linux nie odpowiada. Skoro mają oba systemy "za darmo", a wolą narażać się na kłopoty prawne i korzystać z nielegalnej Windy, to chyba jest coś nie tak z Linuksem.

No, najwyraźniej by się nie nauczyli, bo najwyraźniej im Linux nie odpowiada. Skoro mają oba systemy "za darmo", a wolą narażać się na kłopoty prawne i korzystać z nielegalnej Windy, to chyba jest coś nie tak z Linuksem.

Fakt, Linuxowi brak windowsowej popularności i gier które przykuwają do komputera dzieciaka. Potem się przyzwyczajają do filozofii systemu która wydaje się naturalniejsza mimo że nie koniecznie lepsza.

No, najwyraźniej by się nie nauczyli, bo najwyraźniej im Linux nie odpowiada. Skoro mają oba systemy "za darmo", a wolą narażać się na kłopoty prawne i korzystać z nielegalnej Windy, to chyba jest coś nie tak z Linuksem.

po pierwsze jak już wspomniano brak bogatej oferty gier (ale to już efekt "kwadratury koła" nie ma gier bo system mało popularny a system mało popularny bo nie ma gier)

po drugie ciągle jeszcze pokutują nieaktualne od lat twierdzenia że trudny, że sterowników niema (całkowita nieprawda, nie dość że są to jeszcze wbudowane w system, nie trzeba instalować osobno), i że korzystanie z konsoli tekstowej jest niezbędne do posługiwania się tym systemem.

Dokładnie

Problem zatem w odpowiednich działaniach popularyzujących Linuksa, a nie w jego niedociągnięciach, doskonałościach Windows czy spiskach Microsoftu.