211service.com
Patchen des Sicherheitsupdate-Prozesses
Jüngste Untersuchungen zeigen, dass der typische PC-Benutzer etwa alle fünf Tage ein Sicherheitsupdate installieren muss, um Microsoft Windows und alle darauf üblichen Programme von Drittanbietern sicher zu verwenden. Als Reaktion darauf sagt ein dänisches Computersicherheitsunternehmen, dass es in Kürze einen kostenlosen neuen Dienst vorstellen wird, der die Installation von Sicherheitsupdates für Dutzende der am häufigsten verwendeten Softwareprodukte im Hintergrund automatisiert.
Die Fünf-Tage-Zahl stammt aus Informationen, die von Secunia gesammelt wurden, die Statistiken von etwa zwei Millionen Nutzern ihres kostenlosen Persönlicher Software-Inspektor (PSI)-Tool, ein Programm, das Benutzer auf veraltete und unsichere Software aufmerksam macht, die auf ihren Computern ausgeführt wird. Secunia stellte fest, dass der typische Microsoft Windows-Benutzer mehr als 66 Programme von mehr als 22 verschiedenen Softwareherstellern auf seinem Computer hat.
Auch wenn die aktuelle Version der PSI-Software für jede veraltete Anwendung Links zu den neuesten Updates enthält, empfinden viele Anwender den Update-Prozess dennoch als zu umständlich, sagt Thomas Kristensen, Chief Security Officer von Secunia.
Die meisten Benutzer möchten nicht mit all diesen Updates belästigt werden, sagt Kristensen. Selbst wenn wir ihnen die richtigen Download-Links für die Updates zur Verfügung stellen, sagen viele Benutzer: „Nein, ich möchte nicht auf all diese Dinge klicken.“ Wir möchten die Anzahl der Benutzer reduzieren, die das Programm beenden der Patch-Prozess zu diesem Zeitpunkt.
Es gibt zahlreiche Hinweise darauf, dass der durchschnittliche Benutzer sich nicht die Mühe machen kann, Sicherheitsupdates rechtzeitig zu installieren – es sei denn, der Prozess ist mehr oder weniger automatisiert. In einer im letzten Sommer veröffentlichten Studie haben Forscher von Google Schweiz und der Eidgenössische Technische Hochschule fanden heraus, dass Browser mit stillen, automatischen Updates – wie Mozillas Firefox und Googles Chrome – bei der erfolgreichen Bereitstellung von Patches viel besser und schneller funktionierten als der manuelle Installationsmechanismus, der von den Browsern von Konkurrenten wie Microsoft, Opera und Apple verwendet wurde.
Wenn Hacker zunehmend Software-Sicherheitslücken angreifen, bevor Anbieter Patches liefern können, um sie zu schließen, ist rechtzeitiges Patchen wichtiger denn je, sagt Wolfgang Kandek, Chief Technology Officer bei Qualys , ein Computersicherheitsunternehmen mit Sitz in Redwood Shores, CA, das Unternehmen bei der Verwaltung der Patch-Bereitstellung unterstützt. Kandek sagt, dass Microsoft mit Windows XP Service Pack 2 große Fortschritte gemacht hat, das Benutzer dazu aufforderte, automatische Updates für das Betriebssystem zu aktivieren. Er fügt jedoch hinzu, dass zu wenige große Softwarehersteller von Drittanbietern ähnliche Auto-Update-Mechanismen verwenden.
Nehmen Sie ältere Versionen der Software von Adobe, die keine Update-Komponente haben, sagt Kandek. Benutzer auf diesen bleiben einfach bei der Version, die sie verwenden, und aktualisieren sie nie. Alan Paller, Forschungsdirektor des Bethesda, MD-based OHNE Institut , eine Schulungsgruppe für Computersicherheit, sagt, Microsoft habe vor vielen Jahren erwogen, seinen Windows Update-Dienst Drittanbietern als Update-Kanal anzubieten, habe die Idee jedoch letztendlich aus haftungsrechtlichen Gründen aufgegeben.
Kristensen von Secunia sagt, dass das Tool seines Unternehmens jegliche Haftungsprobleme vermeidet, indem Patches für jede Anwendung genauso heruntergeladen werden, wie es ein normaler Benutzer tun würde. Dennoch, sagt er, werden es wahrscheinlich nicht alle Softwareanbieter einfach machen.
Die Haftungsprobleme entstehen, wenn wir damit beginnen, die Patches zu modifizieren oder sie in unser eigenes Repository mit Updates zu stellen, sagt Kristensen. Eines können wir garantieren, dass es nicht für 100 Prozent der Software funktioniert. Wir würden das gerne tun, aber das würde eine 100-prozentige Zusammenarbeit von vielen Anbietern erfordern, die diesbezüglich keine gute Vorgeschichte haben.
Laut Paller besteht die größte Herausforderung von Secunia darin, Benutzer anzusprechen, die nicht genug über Sicherheit wissen, um zu wissen, dass sie Updates von Drittanbietern bereitstellen müssen. Deshalb denke ich, dass ein Service wie dieser – wenn er eine anständige Wirkung haben soll – über die [Internet Service Provider] angeboten werden muss, sagt er. Mein Ziel wäre es zu sagen, wenn Sie ein ISP werden möchten, müssen Sie einen solchen Service anbieten.
Das Patch-Tool von Secunia wird wahrscheinlich einige ernsthafte Tests erfordern, bevor es in einem so breiten Maßstab eingesetzt werden kann. Secunia hat die Unternehmensversion von PSI bereits angepasst, um Updates von Drittanbietern bereitzustellen, aber das Gleiche für Verbrauchercomputer wäre eine weitaus größere Herausforderung, insbesondere wenn die Software auf allen verschiedenen fremdsprachigen Implementierungen dieser Drittanbieterprodukte funktioniert .
Das Ziel ist, dies skalierbar und legal zu machen, und dazu müssen wir – zumindest zunächst – die Produkte, die wir patchen, basierend auf den am weitesten verbreiteten Produkten priorisieren, da wir auf keinen Fall in der Lage sein werden, 13.000 Bewerbungen auf einmal, sagt Kristensen.
Secunia strebt an, im April eine Preview-Version für erfahrene PC-Benutzer zur Verfügung zu stellen und eine Beta-Version für den öffentlichen Konsum einige Monate später.