Эксперт по вопросам компьютерной безопасности IBM Гантер Оллманн утверждает, что пользователи недооценивают количество уязвимостей, которые ежегодно выявляются в программных продуктах. Оллманн со ссылкой на отчет Internet Security Systems отмечает, что в минувшем году публично была обнародована информация примерно о 7250 новых дырах в программных пакетах. Однако на самом деле, по словам Оллманна, в 2006 году в ПО были выявлены почти 140 тысяч новых дыр. Таким образом, до пользователей дошли сведения лишь о 5,48% обнаруженных уязвимостей. Специалист IBM выделяет несколько основных причин, по которым число найденных дыр столь сильно отличается от числа уязвимостей, информация о которых была обнародована публично. Зачастую, отмечает Оллманн, поставщик программного продукта, обнаруживший брешь самостоятельно, устраняет ее без громкой огласки. Кроме того, нередко специалисты считают, что найденные дыры не представляют особой опасности, а поэтому поднимать из-за них шум не стоит. Наконец, большую часть ежегодно выявляемых дыр обнаруживают тестеры, работающие по контрактам с поставщиками программных продуктов. Как правило, информация о таких уязвимостях остается закрытой. По оценкам Оллманна, в прошлом году до рядовых пользователей не дошла информация примерно о 132 тысячах дыр. Оллманн также подчеркивает, что число потенциально слабых мест в одном приложении зависит от сложности и размера программы. Так, приводит пример Оллманн, команда из четырех человек за пять дней работы выявила в одном из коммерческих продуктов сразу 600 дыр. Таким образом, администраторы сетей, чья стратегия защиты базируется на установке патчей лишь для публично обнародованных уязвимостей, фактически оставляют свои системы открытыми для атак.
Подробности