La tecnologia dell'informazione ha avuto un aumento o una diminuzione della sicurezza con l'introduzione di funzionalità di aggiornamento automatico?

Naviga le tue risposte
2

Per ovvi motivi, insegniamo agli utenti

Always update... updates are good... never forget updates, et cetera!

Oltre al pericolo di pubblicità malevola che fa uso di quella che mostra agli utenti che devono "aggiornare" , voglio che questa domanda si concentri specificamente sulle funzionalità di aggiornamento automatico nel software.

Molte applicazioni hanno introdotto funzionalità di aggiornamento automatico, in cui gli utenti fondamentalmente non devono più fare nulla, al fine di ottenere il loro software completamente rinnovato o aggiornato o completamente riempito con (indesiderabili) nuove funzionalità. Come professionista della sicurezza, il mio primo sentimento a riguardo sarebbe "Grande, questo rende il mondo un po 'più sicuro" soprattutto perché togli l'interazione umana che spesso causa il fallimento a causa della pigrizia, dimenticando di aggiornare, dimenticando persino di controllare gli aggiornamenti o qualsiasi altra cosa motivo "umano" che causa la mancanza di aggiornamento e inizia a correggere automaticamente le vulnerabilità conosciute.

Le persone ricevono tonnellate di diversi aggiornamenti delle app mobili, aggiornamenti del sistema operativo e aggiornamenti delle applicazioni desktop. Non tutto questo aggiornamento aumenta il rischio di sicurezza introducendo probabilmente vulnerabilità ad alto ritmo su vasta scala?

Quindi, da un lato si ha l'estremo di nessun auto-aggiornamento, d'altra parte si ha uno scenario in cui per lo più tutto viene aggiornato automaticamente. Considero il lato negativo degli auto-updaters che possono introdurre rapidamente nuove vulnerabilità.

Sarebbe interessante vedere una sorta di analisi statistica che mostra una possibilità di entrambi gli scenari.

    
posta Bob Ortiz 04.08.2016 - 16:05
fonte

3 risposte

8

Gli aggiornamenti automatici migliorano notevolmente la sicurezza correggendo eventuali vulnerabilità non zero-day.

La maggior parte delle vulnerabilità viene resa nota al pubblico dopo dopo che una patch è stata rilasciata. Anni fa, quando gli auto-aggiornamenti non erano la norma, gli hacker black-hat usavano per decodificare gli aggiornamenti di sicurezza, scoprire quali vulnerabilità hanno risolto, hanno scritto degli exploit e li hanno distribuiti agli utenti target che non si sono preoccupati di installare aggiornare. Questo ci ha dato epidemie come Win32.Sasser che si propagavano attraverso una vulnerabilità che era già stata riparata quando il worm appariva, ma molte persone non hanno installato la patch.

Ma al giorno d'oggi, il rilascio di un aggiornamento di sicurezza significa che in poche ore nessuno sarà più vulnerabile. Non è semplicemente il tempo sufficiente per creare un exploit e distribuirlo.

L'alta frequenza delle patch significa anche che le persone che cercano vulnerabilità zero-day (il che significa: trovare le vulnerabilità da soli prima che gli sviluppatori lo facciano) puntano a un obiettivo mobile. Una vulnerabilità potrebbe essere risolta anche mentre sta ancora lavorando al loro exploit (a volte anche involontariamente).

    
risposta data 04.08.2016 - 16:35
fonte
1

Questa è una di quelle domande che incoraggia il dibattito più di quanto consenta una risposta concisa. Come riconosci nella tua domanda, esistono argomentazioni per entrambe le parti, ma è assolutamente evidente che i professionisti IT preferiscono gli aggiornamenti automatici. Significa che il tuo computer potrebbe costantemente avere qualche vulnerabilità? Assolutamente. Metti la tua fiducia negli sviluppatori di un'applicazione che controllano accuratamente ogni modifica apportata a un programma o sistema operativo.

Gli aggiornamenti automatici sono ridicoli a un certo livello? Assolutamente. L'app di sintonizzazione sul mio telefono non ha bisogno di aggiornamenti costanti. Ma per browser Web, sistemi operativi e software server come Apache?

Sono dell'opinione diffusa che preferirei avere un numero incalcolabile di vulnerabilità sconosciute che si trovano sul mio sistema per una quantità di tempo relativamente infinitesimale di una vulnerabilità rispetto a qualsiasi script-kiddy possa sfruttare da una console metasploit. E se questo significa una battaglia costante tra sviluppatori e hacker, preferisco ancora l'approccio offensivo rispetto all'approccio difensivo.

Nella sicurezza del computer, gli attacchi dinamici possono e avranno sempre successo contro le difese statiche. Oltre a tutto ciò che riguarda l'usabilità e la semplificazione degli utenti, gli aggiornamenti automatici forniscono un certo livello di dinamismo.

    
risposta data 04.08.2016 - 16:34
fonte
1

Penso che questo sia un argomento di discussione altamente soggettivo. La cosa importante da notare qui è che funzionalità come l'aggiornamento automatico sono state progettate tenendo presente la comodità dell'amministratore di sistema / utente (immagina di accedere a ogni singolo sistema sul posto di lavoro per l'installazione degli aggiornamenti) e ogni volta che aggiungi un po 'di comodità ad un sistema la superficie di attacco ingrandisce automaticamente.

Gli aggiornamenti (Manuale / Automatico) possono correggere le vulnerabilità più vecchie, ma allo stesso tempo c'è il rischio che ne vengano introdotte di nuove nel sistema. Il miglior esempio a cui riesco a pensare negli ultimi tempi è Heartbleed. Tutta la versione OpenSSL precedente alla 1.0.1 non è stata interessata dalla vulnerabilità in quanto la funzione heartbeat è stata introdotta nella versione 1.0.1. Il clamore attorno a Heartbleed ci ha messo in una situazione difficile come i nostri clienti per mantenere aggiornati i loro sistemi.

Resta il fatto che negli odierni sistemi eterogenei in cui alcune parti del codice in esecuzione sul tuo PC / server / telefono cambiano su base giornaliera, tutto si riduce al livello di fiducia che hai sugli sviluppatori di app e alla compensazione controlli che potresti aver messo in atto (come parte della tua politica di mitigazione dei rischi aziendali).

    
risposta data 04.08.2016 - 19:58
fonte

Leggi altre domande sui tag

Il completamento automatico="off" è errato per i campi di input del nome utente? Cos'è il Security Theatre?