Vulnérabilités des logiciels

Il a été plus de trois décennies solides depuis la révolution informatique a débuté en droit earnest.The hoquet initiales et les enchevêtrements de développement aurait été obtenu par moment, on aurait pu penser. Mais le fantôme a en effet revient hanter les logiciels sous la forme des vulnérabilités des logiciels, une épine dans la chair grande des systèmes d'exploitation et softwares.e autre? Malheureusement, il est clair que de nombreux systèmes d'exploitation, middleware et les applications sont toujours en proie à toutes sortes de vulnérabilités.

Au cours des 9 premiers mois, de nombreuses organisations informatiques statistiques ont rapporté des vulnérabilités 2982, soit une moyenne de plus de dix vulnérabilités par jour. Ce nombre total est de plus de dix fois le nombre de vulnérabilités signalées pour l'année entière en 1998 et près de trois fois le nombre de vulnérabilités dans l'année 2000. Les rapports dans les bases de données des vulnérabilités décrivent parfois des erreurs dans les systèmes d'exploitation eux-mêmes, mais plus souvent, ils décrivent les erreurs d'application grâce à laquelle l'intégrité du système d'exploitation peut être compromise.

Le vraiment obstiné et intransigeant pourrait faire valoir que les problèmes d'application tels que tampon de débordement ne sont préoccupation de la contre-argument system.The d'exploitation, c'est que tout le blâme pour les erreurs d'application pourrait se trouver avec les ingénieurs et développeurs de logiciels qui ont créé le logiciel, la capacité d'un erreur d'application de compromettre un système d'exploitation est un défaut dans le Operatin en premier lieu, le système lui-même. Le nombre de vulnérabilités d'un système d'exploitation sont un rappel clair des faiblesses inhérentes à ce système.

Les systèmes d'exploitation avec le moins de vulnérabilités en 2003 sont OpenVMS HP, IBM OS/400 et IBM zOS. Ces trois éléments sont tous les propriétaires et ils ont tous la sécurité qui est entièrement intégré, appliqué non pas comme une sorte de réflexion après coup. Certes, ils viennent avec une étiquette de prix décent, mais ils peuvent être vaut bien l'argent quand le résultat est des problèmes de sécurité moins, moins d'arrêts imprévus et moins d'arrêts pour patching.The caractéristique importante l'autre de ces systèmes d'exploitation est la langue dans laquelle ils sont écrits . Les deux sont à la fois d'IBM écrit en assembleur et OpenVMS utilise une gamme d'une dizaine de langues, dont l'un est C.

Langages C et même qui utilisent le passage par la valeur des techniques sont exceptionnellement enclins à débordement de mémoire tampon et le potentiel implique pour les utilisateurs non autorisés d'exécuter soit leur propre code malicieux ou d'autres programmes qui s'exécutent avec des privilèges d'accès amélioré. Éviter l'usage de ces langues au niveau des points les plus vulnérables, à savoir l'utilisateur E / S et E / S réseau, semble être sage. Linux, Unix et Windows sont presque entièrement écrit en C, et la plupart de leur middleware et les applications est également dans ces langues vulnérables, il devrait donc pas s'étonner qu'ils sont relativement moins sûr que OpenVMS, OS/400 et zOS.

Le système d'exploitation autre qui a eu très peu de vulnérabilités est OS d'Apple 9. Encore une fois il s'agit d'un système d'exploitation propriétaire et les décisions et l'intégration de repos de sécurité avec une organisation qui n'a pas à se préoccuper de la compatibilité avec d'autres fournisseurs.

Apple a récemment déménagé à un système d'exploitation basé sur Unix, OS X, et les 24 vulnérabilités signalées pour les utilisateurs it.Linux sont généralement très rapide d'affirmer que Linux a moins de vulnérabilités que les produits de Microsoft. Le noyau Linux lui-même a peu de vulnérabilités, mais des versions telles que celles de Mandrake, Redhat, Sun et SuSE ont beaucoup plus que Windows, même si le nombre de vulnérabilités pour Windows sont ajoutés à des vulnérabilités de Microsoft Outlook, Internet Explorer et l'accès.

Les fans de Linux font souvent remarquer les rapports de presse comme une preuve que Linux a moins de problèmes. Certes, une vulnérabilité dans un produit tel que Outlook ou Explorer peut causer des problèmes beaucoup plus nombreux que les vulnérabilités de Linux, mais ce n'est que grâce à l'étendue de l'utilisation des produits Microsoft. Il est responsable de la majorité des logiciels d'application qui s'exécute sur ses différentes versions de Windows et ainsi, peu importe où le logiciel erronée pourrait être situé ne dispose que d'elle-même à blâmer.

Dans Windows XP SP2, Microsoft est finalement faire les améliorations de sécurité qui auraient dû être en place plus de cinq ans. Il s'agit notamment d'avoir une meilleure sécurité réseau par défaut et en simplifiant la mise à jour automatique de leur logiciel, quelque chose qui devrait très rarement être nécessaire si le logiciel a été correctement écrit en premier lieu.

Microsoft est également peaufiner la protection sur la libération récente code.The créé dynamiquement de Linux 2.6 a également introduit quelques améliorations de sécurité, encore une fois plutôt en retard si Linux espère toujours d'être une alternative sérieuse. En particulier, la nouvelle version inclut la possibilité de définir des privilèges en détail plus fin plutôt que le simple regroupement de «utilisateur» et «root», mais c'est quelque chose que les formes les plus exclusifs d'Unix ont eu pendant de nombreuses années.

Windows et Unix propriétaire sont à la fois plus sûr que Linux, mais les systèmes d'exploitation les plus sécurisés continuent d'être certains systèmes propriétaires de HP et IBM. Certains peuvent se référer à ces systèmes plus sûrs que les systèmes existants, mais si le legs signifie sûr et fiable, il semble que l'héritage doit être l'option préférée. Vulnérabilités des logiciels d'aujourd'hui sont à l'origine pensée grave chez les utilisateurs et les développeurs. Une des solutions doit être trouvée pour ce problème récurrent.

Il doit certainement être la tâche principale de développeurs et d'ingénieurs logiciels du monde entier à travailler pour le succès et porter des solutions efficaces à ces problèmes persistants.