Wiem, że nie lubisz Aktualizacja oprogramowania – pojawiają się znienacka, często trwają długo, mogą zepsuć coś w aplikacji czy w systemie. Jest to bardzo frustrujące.
Ale musisz wiedzieć. Większa część ataków na Twoją firmę czy na Ciebie samego jest spowodowana tym, że korzystasz z przestarzałego oprogramowania. Musisz to zmienić. Wiem, że wydaje Ci się, że update to nowa funkcjonalność, której Ty akurat nie potrzebujesz.
Ale już na początku popełniasz błąd. To upgrade dodaje nowe funkcjonalności. Natomiast update służy głównie do naprawiania kodu bieżącej wersji oprogramowania.
Nie wiem, czy wiesz, ale nie ma idealnej aplikacji
To znaczy stworzonej raz i koniec, nic nie trzeba w niej więcej robić. Większość aplikacji wychodzi w testach na zdatną do użytku przez użytkownika. Więc trzeba od razu ją sprzedać. Tak to działa – zrozum, firma tworząca aplikację nie będzie spędzać setek godzin pracy programistów tylko po to, aby aplikacja była idealna. Nie zarabiając przy tym i nie wiedząc, czy w ogóle będzie zainteresowanie danym rodzajem aplikacji.
Gdy aplikacja zacznie na siebie zarabiać. Wtedy zostają przeznaczone fundusze na programistów, którzy poprawiają funkcjonalności i błędy w aplikacji. Błędy są zgłaszane przez testerów lub też użytkowników.
Jest też grupa hakerów, która zgłasza błędy, najczęściej jest to bug hunter lub white hat (nie przejmuj się – z czasem powstanie słowniczek, gdzie będę dawał linki do konkretnych artykułów, byś mógł sprawdzić, co jest czym i by Ci było lepiej czytać).
Aktualizacja oprogramowania – Jeśli błąd jest na tyle duży, by firma straciła reputację
Jeśli błąd jest na tyle duży, by firma straciła reputację (np. poprzez wyciek danych). Zbierani są programiści, którzy piszą łatkę (aktualizację) do Twojego systemu /programu, byś nie zaprzestał korzystania z niego. Wyobraź sobie teraz niedawną sytuację, gdy wyciekły dane ze znanego sklepu, a Ty byłeś jednym z ich klientów.
Zastanów się, czy pozostałbyś dalej ich klientem. Jeśli byś wiedział, że nic z tym nie zrobili i cały czas jest możliwość wyciągnięcia z aplikacji webowej (strony internetowej) Twoich danych, np. adresowych.
Wiele drobnych luk w zabezpieczeniach często nie jest branych pod uwagę przez właścicieli aplikacji, ponieważ ich wpływ jest niewielki. Na przykład nie pozwalają przejąć Twoich danych, a tylko nieznacznej części klientów (dajmy na to 0,5%) utrudniają zakup.
W takim przypadku taniej wyjdzie dać tym klientom bon 60% zniżki na kolejny produkt, niż zapłacić na przykład trzem programistom, każdemu za kilka godzin ich pracy.
Pamiętaj, że luki w zabezpieczeniach wiec Aktualizacja oprogramowania
Pamiętaj, że luki w zabezpieczeniach – pomijając znane tylko niewielu osobom luki zero-day (opiszę termin w przyszłości) – dostępne są dla wszystkich. Sam możesz sprawdzić, jakie luki w zabezpieczeniach mają Twoje aplikacje, pod linkami poniżej:
Mitre https://cve.mitre.org/cve/search_cve_list.html
NVD https://nvd.nist.gov/vuln/search
Po wpisaniu nazwy aplikacji wylistują Ci się nazwy luk CVE-data razem z ich opisem . Dla początkujących polecam bazę w NVD, daje nam fajne informacje odnośnie CVSS Severity.
Nie martw się, jeśli nie znasz tych terminów – wytłumaczę wszystko w przyszłości. Na początku musisz wiedzieć tylko to, że im większa liczba, im ciemniejsze tło, tym luka jest gorsza (bardziej niebezpieczna).
Od razu zapytasz, jak sprawdzić, czy luka została załatana.
Najprościej jest wpisać nazwę aplikacji, którą chcesz sprawdzić i następnie wpisać release notes. Będziesz tam miał informacje, jakie luki zostały załatane i jakie nowe możliwości daje nam dana aplikacja.
Teraz możesz już sam się przekonać, jaką masę luk ma stare oprogramowanie i że wystarczy je aktualizować na bieżąco. Nikt nie każe Ci od razu znajdować rozwiązania na problem w danej aplikacji, choć da się na tym zarobić. Opiszę to w innym artykule.
Wystarczy, że klikniesz „aktualizuj”, gdy wyskoczy Ci okienko z prośbą o aktualizację. Pamiętaj też o backupie przed aktualizacją, ponieważ twórcy się starają, ale nie zawsze im wszystko wychodzi. O backupie będzie oddzielny artykuł, bo jest to gruby i ważny temat w bezpieczeństwie, ale o tym w przyszłości!
Podsumowanie
Mam nadzieję, że dowiedziałeś się, dlaczego trzeba aktualizować software i że czasami warto wydać jakąś kwotę za najnowszą wersję, zamiast trzymać się starej, przez którą ktoś dostanie się do naszego systemu.
Nauczysz się też, jak oceniać ryzyko, bo czasem się zdarza, że ryzyko nie jest adekwatne do bonusu. Na przykład w twojej aplikacji zostanie załatana mała podatność (luka), a przy okazji stracisz dwie inne możliwości aplikacji, które są Ci potrzebne.
Pamiętaj więc, aby aktualizować, co tylko jesteś w stanie. I dorzuć kolejna warstwę do naszego bezpieczeństwa: „Aktualne oprogramowanie”
Zapraszam do ocenienia artykułu, by poinformować mnie jak i przyszłych czytelników o jego wartości.
Pozdrawiam, do zobaczenia i usłyszenia – Pusz 😉
The form you have selected does not exist.
