Риск использования устаревшего программного обеспечения (часть 1)

Опубликовано: 6 Апреля, 2023

  • Риск запуска устаревшего программного обеспечения (часть 4)

Когда-то считалось разумным и бережливым держаться за вещи, которыми вы владели, как можно дольше , продолжать использовать их до тех пор, пока они не будут израсходованы, выжимать из них каждую последнюю каплю полезности. Мы проехали на наших машинах десять лет и более 100 000 миль. Мы носили нашу обувь до тех пор, пока не появились дырки на подошвах. Мы зашивали прорехи на одежде, перешивали диваны, ремонтировали телевизоры и тостеры, которые перестали работать.

Это было тогда и это сейчас. Сегодня мы живем в обществе одноразового использования, где большинство людей продают свои автомобили каждые два года (или даже один), обновляют свои телефоны, как только они соответствуют требованиям, независимо от того, работает ли старый, отдают одежду на благотворительность, которую мы Я надевал всего один или два раза, чтобы заменить их по последней моде. Вы не сможете найти сапожника, который починит сломанный каблук вашего любимого ботинка, даже если вы захотите. Для большинства вещей по истечении срока гарантии — а они становятся все короче и короче — дешевле (и намного проще) просто купить новый, чем ремонтировать старый.

И тем не менее, многие люди и компании — возможно, из-за подсознательного сопротивления этой тенденции или, возможно, из-за возврата к более простым временам, или, может быть, по другим причинам, которые мы обсудим позже в этой серии статей, — продолжают использовать компьютеры и программное обеспечение, которые достигли своего апогея. окончания их жизненного цикла. Согласно статистике NetMarketShare.com, по состоянию на конец декабря 2015 года 10,93% пользователей все еще используют Windows XP на настольных компьютерах.

Думаете, это просто кучка невежественных домашних пользователей? Итак, согласно отчету Netcraft, по состоянию на август прошлого года на сотнях тысяч серверов по-прежнему работала Windows Server 2003, хотя она уже не поддерживается и больше не получает обновлений безопасности.

В то время как вождение вашего пикапа 1985 года спустя долгое время после того, как одометр перевернулся (дважды), не представляет проблемы ни для кого (кроме, может быть, вас — если он сломается в вашей следующей поездке), продолжая использовать устаревшие компьютерные операционные системы и другое программное обеспечение. может повлиять на других в вашей сети или даже за пределами вашей локальной сети.

Это не становится лучше; становится старше

Некоторые вещи с годами становятся лучше: вино и виски, сигары, некоторые сорта сыра, чугунные сковороды, разумные инвестиции. Компьютеры и компьютерные программы не относятся к таким вещам. Поставщики программного обеспечения создают операционные системы, приложения и утилиты, оптимизированные для аппаратного обеспечения компьютера или устройства, доступного в данный момент. Однако технологии развиваются быстрыми темпами, и то, что еще вчера было самым современным, уже не может идти в ногу с сегодняшним оборудованием.

Однако для достижения этих улучшений производительности и функций аппаратное обеспечение развивается. Новые аппаратные инновации требуют изменений в программном обеспечении, чтобы использовать их в своих интересах (или, в некоторых случаях, даже работать над ними вообще). Разработчики программного обеспечения — мастера приспособляемости (если нет, то они не выживут), поэтому они создают новые версии своих программ для работы на новых машинах. Но что остается их клиентам, которые все еще используют старые версии на старых машинах?

Вы должны быть в состоянии просто сделать это, верно? До тех пор, пока аппаратное обеспечение не будет повреждено или изношено, и пока программное обеспечение делает то, что вам нужно, почему вы должны выкладывать деньги за модные функции, которые вам не нужны? В конце концов, если у вас есть старомодная варочная панель с этими уродливыми спиральными горелками, вы можете продолжать использовать ее, чтобы кипятить воду для пасты и жарить куриную грудку столько, сколько захотите. Никто не будет заставлять вас переходить на современные индукционные элементы с гладким верхом (кроме продавца бытовой техники, если вы рискнете зайти в этот отдел универмага).

Почему же тогда все так обеспокоены тем, чтобы подтолкнуть вас к новейшей версии Windows или последней версии вашего любимого веб-браузера? Одним словом, разница такова: безопасность.

Посмотрите на это так: что, если та старая плита, которой вы пользуетесь, не просто устарела и стала немного менее удобной; а если это угроза безопасности? Что, если бы это была древняя газовая модель с проржавевшей и протекающей газовой линией, а ее контрольная лампа была удалена или перестала работать, без датчика или автоматического отключения в случае утечки газа? В этом случае другие будут иметь право призывать вас к обновлению, потому что существует проблема безопасности, которая не только представляет опасность для вас, но может даже затронуть ваших соседей, если вы ушли и в вашем доме накопилось столько газа, что взорвался.

Я думаю, мы все согласимся с тем, что когда дело доходит до вопросов безопасности, которые могут распространяться на других, мы обязаны помочь защитить «стадо». Многие люди не осознают, что их решимость сохранить старую ОС или приложение может фактически подвергнуть других риску, но это может быть.

Рискованный бизнес запуска старого программного обеспечения

Каковы риски безопасности при использовании менее актуального программного обеспечения? Подумай об этом. Одна из причин, по которой люди так непреклонны в отказе от обновления, заключается в том, что они слишком хорошо знакомы с тем, как работают их старые ОС и приложения. Они знают, как обойти это, и имеют большой опыт в этом. К сожалению, то же самое относится и к хакерам и злоумышленникам. У них было достаточно времени, чтобы хорошо познакомиться с программным обеспечением, которое существует уже много лет, поковыряться в нем и найти его уязвимости. Для создания эксплойтов, чтобы воспользоваться этими дырами в безопасности. Даже для того, чтобы упаковать эти эксплойты в наборы, которые можно распространять среди других людей со злым умыслом, но меньшими техническими навыками.

Это не означает, что в новом программном обеспечении тоже нет уязвимостей. Это всегда так. Будут переносы из более старых версий, которые не были обнаружены, и иногда при улучшении функций, производительности и надежности разработчики даже непреднамеренно вводят новые уязвимости, которых не было в старых версиях.

Однако в целом производители программного обеспечения подходили к каждой новой версии с целью не только добавления функциональности, но и повышения безопасности. Каждая версия Windows, например, включает в себя больше механизмов безопасности, чем предыдущая, и/или улучшает существующие функции безопасности. Посмотрите на различия между Windows 9x, в которой о безопасности почти не задумывались, сосредоточившись на таких вещах, как ActiveDesktop, и Windows XP, когда безопасность и конфиденциальность стали приобретать все большее значение в процессе разработки ОС и веб-браузера с такими функциями, как управление файлами cookie. и особенно брандмауэр подключения к Интернету. В 2002 году была запущена Инициатива надежных вычислений, и Microsoft начала серьезно относиться к безопасности — настолько, что их следующую операционную систему, Vista, повсеместно ненавидели за ее механизм безопасности «на лицо», контроль учетных записей (UAC). Тем не менее, он также добавил другие очень полезные функции безопасности, такие как шифрование диска BitLocker (в некоторых версиях), защищенный режим IE, усиление защиты служб и более продвинутый брандмауэр.

Каждая из Windows 7, 8/8.1 и 10 представила дополнительные технологии безопасности и/или внесла улучшения в старые, кульминацией которых (на данный момент) стало распознавание лиц Windows Hello и биометрия сканирования радужной оболочки глаза в дополнение к распознаванию отпечатков пальцев, которое было доступно в предыдущих версиях. проверка приложений с помощью Device Guard для предотвращения атак нулевого дня, поддержка Azure Rights Management и более частые обновления системы безопасности. Веб-браузер Internet Explorer также получает новую и лучшую защиту с каждой последующей итерацией.

Но не только отсутствие этих новых функций делает старые операционные системы и браузеры такими рискованными, и дело не только в том, что их уязвимости долго ждали своего открытия. Большая проблема заключается в том, что когда программное обеспечение достигает конца жизненного цикла поддержки, даже если об этих уязвимостях становится известно, они не исправляются. Теперь злоумышленники знают о дырах и могут свободно использовать их для заражения вашего компьютера вредоносными программами.

Это означает, что вы подвергаете риску свою систему, но это также означает, что вы подвергаете риску всех остальных в своей сети, потому что некоторые из этих уязвимостей могут быть связаны с утечкой информации, а просочившаяся информация может содержать связанные с сетью данные, которые может использовать хакер. проникнуть во всю сеть или создать атаку типа «отказ в обслуживании», которая повлияет на всю сеть и лишит все компьютеры в вашей организации возможности обмениваться данными (и, таким образом, лишит всех пользователей возможности выполнять свою работу).

Но подождите, это еще не все: что, если злоумышленник сможет использовать одну из этих неисправленных (и неисправимых) уязвимостей в вашей старой системе, чтобы сделать ее частью ботнета — группы компьютеров, которые были заражены вредоносным ПО и централизованно, удаленно контролируется «хозяином ботов»? Тогда вся эскадрилья «зомби-компьютеров» может быть использована для удаленной атаки на какую-то другую сеть через Интернет. Ваш компьютер может участвовать в распределенной атаке типа «отказ в обслуживании» (DDoS) или способствовать рассылке спама без вашего ведома.

Резюме

Не обращайте внимания на то, что вы упускаете новейшие функции, которые может предложить новое программное обеспечение. Со всеми этими последствиями для безопасности, связанными с программным обеспечением, срок службы которого истек, почему люди и компании все еще делают это? Это то, что мы рассмотрим во второй части, а затем поговорим о жизненном цикле поддержки программного обеспечения и о том, как он работает.

  • Риск запуска устаревшего программного обеспечения (часть 4)
Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023