2 februari 2009

Beveiliging van IT concentreert zich heel vaak op identificatie en het herstellen van kwetsbaarheden. Er is veel debat geweest over beveiligingsethiek: het publiek bediscussiëren van niet herstelde kwetsbaarheden. Programmeurs hebben het graag over hun snelheid bij het realiseren van een ‘fix’ direct nadat een kwetsbaarheid geopenbaard is. Een nieuw onderzoek door twee Zwitserse onderzoekers en een medewerker van Google (Stefan Frei en Bernhard Plattner (van de Eidgenössische Technische Hochschule Zürich ) en Thomas Dübendorfer (van Google)) suggereert echter dat veel van die aandacht misplaatst is. Zij stellen dat de ergonomie van het update-proces voor eindgebruikers veel belangrijker is om een veilige webbrowser te installeren dat welke discussie over de ernst van een kwetsbaarheid dan ook. De Zwitserse onderzoekers konden die conclusie bereiken dankzij de aanwezigheid van de Google-onderzoeker in het team. Dat gaf hen toegang tot de geanonimiseerde zoek-logfiles als basis gegevensverzameling. Veel van deze searches zijn afkomstig uit gedeelde IP-adressen en proxies en werden door de onderzoekers gecombineerd met de unieke ID in Google’s PREF-setting om individuele eindgebruikers te kunnen identificeren. Hoewel dit gebruikers van andere zoekdiensten negeert, gebruiken drie van de vier browsers google als een default. De auteurs realiseren zich ‘that this probably eliminates the most security conscious of web browsers–those searching anonymously and with cookies disabled–and those with User Agent strings that identify their browsers as something other than what they are’. Ze vermoeden dat het hier enkel gaat om een kleine minderheid.

De onderzoeksperiode liep van januari 2007 tot en met april 2008. Voor een deel van die tijd werden er slechts drie dagen per week gegevens verzameld; voor de rest van die periode elke dag. Dit stelde de auteurs in staat om het ‘weekend effect’ te identificeren. ‘People tend to use more up-to-date browsers on the weekends than they do during the week, an effect we ascribe to browsing at work, where departmental dictates often limit the adoption of newer software’. Een aardig effect bijvoorbeeld was al dat het gebruik van Firefox in de weekeinden stijgt ten koste van Internet Explorer, waarschijnlijk omdat bedrijfspolitiek het gebruik van IE afdwingt. De onderzoekers waren ook in staat de migratiedynamiek in beeld te brengen wanneer eindgebruikers naar nieuwe versies van de vier onderzochte browsers overgaan. Frei: ‘For IE, the switch from version 6 to 7 occurred gradually, with one exception: many computers bought near the holidays included Vista, which gave IE7 a significant boost. Firefox 2 saw its biggest boost when version 1.5 was end-of-lifed, and the automatic update system switched a big chunk of its users to the 2.0 track’. Plattner neemt het verhaal van Frei over: ‘Mac users seemed more willing to live on the cutting edge, as the Safari 3 beta release was accompanied by a major jump. Widespread adoption, however, didn't occur until the release of the final version, bundled in with 10.5; at that point, it shot past the 2.0 version in less than a month. In contrast, Opera saw an extremely slow, if steady, migration from the 8.0 to 9.0 branches during the entire period’. Om te onderzoeken hoe beveiligingswaarschuwingen en patches van software de adoptie van kleinere updates beinvloeden bij eindgebruikers, concentreerden de onderzoekers zich op Firefox en opera. Argumenten daarvoor zijn dat de beide browsers het meest met elkaar te vergelijken zijn: ‘they're both free, they aren't controlled by makers of operating systems, and they both include minor version information in their User Agent string, which makes it possible to track security patches’. Maar ze verschillen wel op een zeer belangrijke wijze: Firefox heeft een auto-update functionaliteit ingebouwd, terwijl Opera een procedure heeft die vergelijkbaar is met een handmatige download van een nieuwe browserversie. Zij stellen dat dit verschil in ergonomie (je mag ook zeggen: gebruiksgemak) van groot belang is. De meeste Firefox-gebruikers hebben kleinere updates in gebruik drie dagen na release er van, rekening houdend met het weekeinde-effect. De nieuwe versie nam op dat moment 70 % in van het marktaandeel van de browser. Bij Opera ligt dat anders. Daar duurde het elf dagen voordat een neiuwe versie de ouder verdrong in het marktaandeel-plaatje. Het aandeel van de nieuwe versie nam ook nooit meer dan 50 % van het totale marktaandeel in beslag. De updates werden niet beïnvloed door bewustzijn van beveiligingsproblemen. ‘We rated the security flaws fixed by these minor version upgrades, and found no correlation between the relative risk and the upgrade dynamics’. En, zo gaat Frei verder, ‘The analysis clearly suggests that most users aren't driven by an awareness of security, a finding that's in keeping with other studies of end-user security practices. Instead, it's the convenience of engaging with secure practices that drives their adoption. And, since the practices of the average web browser impacts us all by influencing the rate at which we're subjected to spam and malware, developers have a vested interest in fostering better security ergonomics’. Frei heeft het onderzoek toegankelijk gemaakt op zijn webpagina.