Касперский рассказал о патчах, громе и мужиках

«На днях мы опубликовали любопытное исследование, которое наглядно подтверждает, что каждый сам кузнец своего счастья и несчастья тоже. Вот например, такая больная тема, как уязвимости в программном обеспечении. Есть софт, в котором баги найдены, софт, в котором баги найдены и пропатчены и софт, в котором баги ещё не найдены. Т.е. уязвимости есть в каждом софте и никуда от этого не деться, поскольку не существует технологии создания абсолютно идеального программного кода. Errare humanum est (с). Ты видишь суслика? Нет? А он есть… (c)

Но! Как бы быстро и эффективно разработчики не патчили свой софт, в конечном счёте температуру по больнице определяют именно пользователи. Точнее — насколько быстро они устанавливают патчи. И вот здесь, увы, ситуация оказывается очень унылая. Выпускай, не выпускай патчи — пользователю, как показало исследование, это фиолетово :( Да, трудно себе представить, чтобы кому-то собственная безопасность была фиолетова, но это так и, причём, в гигантских масштабах.

Вот, например, уязвимость CVE-2010-2568, которую использовал червь Stuxnet. Эту дыру пропатчили семь лет назад, но, несмотря на это, она до сих пор в топе самых «популярных» векторов кибератак у серьёзных киберкриминальных/шпионских групп [...]

Почему она в топе? Неужели эти негодяи не могут накопать новых дыр? А зачем тратить время и деньги, если и эта работает? Ведь «мужик» не ставит патчи — то ли не знает, то ли действительно фиолетово… В общем, так и хочется сказать: не будь «мужиком»! В плохом смысле «мужиком». А с другой стороны, хочется обратиться и к разработчикам софта: на «мужика» надейся, но сам не плошай. Нужны более эффективные механизмы обновления ПО, которые минимизируют вовлечение человеческого фактора...»