Parcheo del proceso de actualización de seguridad

Investigaciones recientes muestran que el usuario típico de PC necesita instalar una actualización de seguridad aproximadamente cada cinco días para poder usar Microsoft Windows y todos los programas de terceros que normalmente se ejecutan sobre él de forma segura. En respuesta, una empresa danesa de seguridad informática dice que pronto presentará un nuevo servicio gratuito que automatiza silenciosamente la instalación de actualizaciones de seguridad para docenas de los productos de software más utilizados.





La cifra de cinco días proviene de la información recopilada por Secunia, que analizó minuciosamente las estadísticas de unos dos millones de usuarios de su Inspector de software personal (PSI), un programa diseñado para alertar a los usuarios sobre software obsoleto e inseguro que se ejecuta en sus máquinas. Secunia descubrió que el usuario típico de Microsoft Windows tiene más de 66 programas de más de 22 proveedores de software diferentes en su computadora.

Aunque la versión actual del software PSI incluye enlaces a las últimas actualizaciones para cada aplicación desactualizada, muchos usuarios todavía encuentran el proceso de actualización demasiado engorroso, dice Thomas Kristensen, director de seguridad de Secunia.

La mayoría de los usuarios no quieren ser molestados con todas estas actualizaciones, dice Kristensen. Incluso cuando les proporcionamos los enlaces de descarga adecuados para las actualizaciones, muchos usuarios dicen: 'No, no quiero hacer clic en todas estas cosas'. Nos gustaría reducir la cantidad de usuarios que abandonaron el proceso de parcheo en ese punto.



Existe una amplia evidencia que sugiere que el usuario promedio no puede molestarse en instalar actualizaciones de seguridad de manera oportuna, a menos que el proceso sea más o menos automatizado. En un estudio publicado el verano pasado, investigadores de Google Suiza y el Instituto Federal Suizo de Tecnología descubrió que los navegadores que incluían actualizaciones automáticas silenciosas, como Firefox de Mozilla y Chrome de Google, funcionaban mucho mejor y más rápido para entregar parches con éxito que el mecanismo de instalación manual utilizado por los navegadores de rivales como Microsoft, Opera y Apple.

Cuando los piratas informáticos atacan cada vez más los agujeros de seguridad del software antes de que los proveedores puedan enviar parches para taparlos, el parcheo oportuno es más vital que nunca, dice Wolfgang Kandek, director de tecnología de Qualys , una empresa de seguridad informática con sede en Redwood Shores, CA, que ayuda a las empresas a gestionar la implementación de parches. Kandek dice que Microsoft hizo grandes avances con Windows XP Service Pack 2, que incitó a los usuarios a activar las actualizaciones automáticas para el sistema operativo. Pero agrega que muy pocos fabricantes importantes de software de terceros incluyen mecanismos de actualización automática similares.

Tomemos versiones anteriores del software de Adobe, que no tienen un componente de actualización, dice Kandek. Los usuarios de estos simplemente permanecerán en la versión que estén usando y nunca se actualizarán. Alan Paller, director de investigación de Bethesda, MD, con sede SIN Instituto , un grupo de capacitación en seguridad informática, dice que Microsoft consideró lanzar su servicio Windows Update a proveedores de software de terceros como un conducto de actualización hace muchos años, pero finalmente abandonó la idea debido a preocupaciones de responsabilidad legal.



Kristensen de Secunia dice que la herramienta de su empresa evitará cualquier problema de responsabilidad al descargar parches exactamente de la misma manera para cada aplicación como lo haría un usuario regular. Aún así, dice, es probable que no todos los proveedores de software se lo pongan fácil.

Los problemas de responsabilidad surgen si comenzamos a modificar los parches o los colocamos en nuestro propio repositorio de actualizaciones, dice Kristensen. Una cosa que podemos garantizar es que no funcionará para el 100 por ciento del software. Nos encantaría hacer eso, pero eso requeriría la cooperación del 100% de muchos proveedores que no tienen un buen historial de esto.

Según Paller, el principal desafío de Secunia es atraer a los usuarios que no saben lo suficiente sobre seguridad para saber que necesitan implementar actualizaciones de terceros. Por eso creo que un servicio como este, si va a tener un impacto decente, debe ofrecerse a través de los [proveedores de servicios de Internet], dice. Mi objetivo sería decir que si vas a ser un ISP, debes brindar un servicio como este.



Es probable que la herramienta de parche de Secunia necesite algunas pruebas serias antes de que pueda implementarse a una escala tan amplia. Secunia ya ha adaptado la versión corporativa de PSI para implementar actualizaciones de terceros, pero hacer lo mismo para las computadoras de los consumidores sería un desafío mucho mayor, particularmente para hacer que el software funcione en todas las diversas implementaciones de idiomas extranjeros de estos productos de terceros. .

El objetivo es hacer que esto sea escalable y legal, y para hacerlo necesitaremos, al menos al principio, priorizar los productos que parcheamos en función de los que están más instalados, porque no hay forma de que podamos hacer 13,000 aplicaciones a la vez, dice Kristensen.

Secunia tiene como objetivo tener una versión preliminar disponible en abril para usuarios expertos de PC, y una versión beta para mayor consumo público unos meses después de eso.



esconder