2 juli 2008

Computerexperts van het ETH Zurich, Google en IBM zijn er van overtuigd dat computersoftware veel veiliger zou worden als het gelabeled zou worden met een 'niet gebruiken na'-datum. In een recente paper komen de onderzoekers, Stefan Frei en Martin May van het Computer Engineering and Networks Laboratory van ETH Zurich, Thomas Dubendorfer van Google Zwitserland en Gunter Ollmann van IBM Internet Security Systems, tot deze aanbeveling, omdat zij concluderen dat 637 miljoen (45,2 %) van 1,4 miljard Internetgebruikers wereldwijd een beveiligingsrisico lopen doordat zij niet de laatste, meest veilige versie van hun gekozen Internet-browsers gebruiken. 'Given the state of the software industry and the growing threat of exploitable vulnerabilities within all applications (not just Web browsers), we believe that the establishment of a 'best before' date for all new software releases could prove an invaluable means to educating the user to patch or 'refresh' their software applications', zo wordt in de paper gesteld. 'The same 'best before' date information could also be leveraged by Internet businesses to help evaluate or mitigate the risk of customers who are using out of date software and are consequently at a higher risk of having been compromised'. Browserbeveiliging is een zeer belangrijk thema vandaag de dag, aangezien steeds meer malware de kwetsbaarheden van browsers gebruikt. ' Remotely exploitable vulnerabilities have been on the rise since 2000 and accounted for 89.4% of vulnerabilities reported in 2007', zo geeft de paper aan. '[A] growing percentage of these remotely exploitable vulnerabilities are associated with Web browsers'.

Van de verschillende webbrowsers die bestudeerd zijn (Internet Explorer 7, Firefox 2, Safari 3 en Opera 9) is Firefox 2 de meest veilige, zo geeft het onderzoek aan. Niet zozeer omdat de software beter en veiliger is, maar omdat 83,3 % van de gebruikers de meest recente versie gebruiken. Apple's Safari is tweede (65,3 % gebruikers met de meest recente versie), Opera 9 derde (56,1 %) en Internet Explorer (47,6 %) vierde. 'It is noteworthy that it has taken 19 months since the initial general availability of IE7 (public release October 2006) to reach 52.5% proliferation amongst users that navigate the Internet with Microsoft's Web browser', zo stelt de paper. 'Meanwhile, 92.2% of Firefox users have migrated to FF2'. De paper stelt ook dat binnen drie maanden na de release van Apple's Safari 3, 60 % van de gebruikers naar die browser was ge-upgrade, waarschijnlijk vooral om 'Apple's controversial inclusion of the new Web browser in the auto-updates of other popular Apple software products'. De onderzoekers definieren de veiligste browser als 'the latest official public release of a vendor's Web browser at a given date'. Deze definitie sluit beta-versies uit en gaat ervan uit dat het risico om malware te downloaden die een browser kan compromitteren voor iedere browser even groot is, ongeacht marktaandeel. In werkelijkheid heeft Internet Explorer met 78,3 % marktaandeel tussen februari en jui 2008 een veel grotere kans om met malware in aanraking te komen dan gebruikers van Opera (0,8 % marktaandeel in dezelfde periode. Dit omdat malware-ontwikkelaars zich uiteraard veelal richten op het grootst mogelijk publiek, d.i. In dit geval het publiek van Internet Explorer. Browsers alleen echter vertellen niet het hele verhaal, want ze maken gebruik van heel wat andere software, zoals bijvoorbeeld Adobe Flash, wat een graag gezocht doelwit voor malware is. De paper citeert ook onderzoek door Secunia dat stelt dat 21, 7 % van alle Quick Time 7-installaties 'out of date' zijn. Dus naast de meest recente browser dient ook de meest recente software te zijn geinstalleerd. Dat betekent nogal wat. En het onderzoek toont dan ook aan dat de gebruikers zelf veelal niet in die ideale omstandigheden verkeren.