Fläckvis litar vi: Varför programuppdateringar måste bli bättre

Hur länge tror du skjuta upp att starta om datorn, mobilen eller surfplattan till förmån för en säkerhetsuppdatering eller programfix? Alltför ofta är det alldeles för lång tid.

Uppdatera dina enheter är en omständlig, tidskrävande och produktivitets dödande process. Men i de allra flesta fall har dessa uppdateringar rätta fel i operativsystem, webbläsare, produktivitet sviter, och även på våra telefoner och surfplattor, som kan mildra några av de värsta sårbarheter upptäckts på senare tid.

webbplatsen presenterar de värsta högteknologiska produkter och tjänster, pinsamma beslut och andra skruv-ups av året.

Plåster är bra för dig. Enligt Homeland Security cyber-akutmottagningen, US-CERT, så många som 85 procent av alla riktade attacker kan förhindras genom att applicera en säkerhetskorrigering.

Problemet är att alltför många har upplevt ett fall där en lapp har gått katastrofalt fel. Det är inte bara ett problem för enheten ägare kort sikt, men det är en varaktig förtroende problem med programvara jättar och apparatmakers.

Under de senaste två åren har det varit minst ett halvt dussin större mjukvaru skruv-ups som har lämnat användare klättra efter svar, och – i vissa fall – deras enheter har slutat fungera helt och hållet. Det är ett problem, men inte minst eftersom alla säkerhetsexpert bör säga att antivirusprogram och starka lösenord är bra, men ingenting hindrar hacka och angrepp bättre än up-to-date programvara.

Ta Apple, Google och Microsoft. Under det senaste året eller så har alla tre släppt en “slarvat” uppdatering, som antingen inte att åtgärda problemet eller orsakat nyemissioner.

Apples iOS 8.0.1 uppdatering var tänkt att åtgärda initiala problem med Apples nya åtta generation mobila operativsystem, men dödade cell tjänsten på drabbade telefoner – lämnar miljontals strandsatta tills en fix utfärdades en dag senare. Google fick lappa den så kallade scenskräck fel, som påverkade alla Android-enhet, en andra gång efter det första fix misslyckats med att göra jobbet. Samtidigt har Microsoft sett mer plåster påminner under de senaste två åren än under det senaste decenniet.

Varför CIA vill krypterings bakdörrar är ett misslyckande av ledarskap, inte intelligens, Apple, vägra bakdörr tillgång till data kan möta böter, NSA är så överväldigad med data, är det inte längre är effektiv, säger uppgiftslämnaren, Som Snowden läckor började, där var “rädsla och panik” i kongressen, hur Microsofts uppgifter fall skulle kunna riva upp den amerikanska högteknologiska industrin, om du har “ingenting att dölja”, här är där för att skicka dina lösenord, Möt skuggiga tech mäklare som levererar data till NSA

Och det har funnits ett stort antal andra misslyckade uppdateringar, som påverkar miljontals användare.

Det förtroende som vi sätter i tech företag att leverera patchar fria från brister eller frågor har skadat. Och vi glömmer att många företag har obunden uppdatering “bakdörrar” i sina produkter för att ge patchar och fixar för massorna. Få det fel, och att tillit kan utplånas till noll.

Innovation,? M2M marknaden studsar tillbaka i Brasilien, säkerhet, FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän, säkerhet, WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål, säkerhet, Vita huset utser först Federal Chief Information Security Officer

Den andra sidan att det inte finns något mindre stressande för företag som erbjuder plåstren.

Mjukvarujättens kommer i de flesta fall inte längre stödja den åldrande webbläsaren, trots miljontals fortfarande körs det.

För mjukvaruföretag, kanske lapp sårbarheter inte vara bara fastställa en kodrad. Ju större programvaran, desto mer komplicerat blir det. Och när något går fel, det är aldrig bara en person vars klagomål de hör.

Utvecklare måste testa för att se om de förändringar som de gjort hade någon inverkan på deras ekosystem “, säger Dustin Childs, senior säkerhetsinnehåll utvecklare på Hewlett Packard Enterprise.” Varje förändring av koden skulle kunna få en negativ inverkan på omgivande kod. Testning måste göras för att säkerställa patchar inte orsakar problem för befintlig kod som utvecklats av säljaren, eller till tredje part som är beroende av koden.

LÄS DETTA

LÄS MER

Childs, en veteran inom säkerhetsbranschen, innan hans arbete på Hewlett Packard Enterprise, var en ledande teknisk evangelist och säkerhet programchef på Microsoft. Han vet mycket väl hur viktig säkerhetsuppdateringarna är till omvärlden, som ett misstag kan leda till en massiv sanering av hundratals miljoner datorer.

Utveckling och test göras med insikten att klockan tickar, “sade Childs.” Leverantörer kan inte ta för lång tid i någon del av processen. När en sårbarhet hittas, sannolikheten för någon annan slutsats och utnyttja det alltid ökar.

Det är därför företag, oftare än inte, verka privata upplysningstidslinjer. Företag har ofta tre månader från tidpunkten för privat avslöjande att fixa och testa en säkerhetskorrigering. Privat avslöjande hindrar hackare från utgör en omedelbar risk för kunderna.

Men det är inte hur den allmänna befolkningen ser det. En dålig patch kan lämna en bitter eftersmak down the line. Som kan leda till användarna inte uppdatera så snart som de borde vara, vilket skapar mjukvara och säkerhet fragmentering. Enkelt uttryckt, är användarna inte lapp så ofta som de borde vara, vilket ökar risken för angrepp för att inte bara dem, men andra också.

Oftare än inte, det är en balans mellan acceptabel risk och förtroende för mjukvarutillverkaren.

Mark Nunnikohoven, vice ordförande för moln forskning vid bevakningsföretag Trend Micro, sade Microsoft, Google och Apple har en “fantastisk meritlista” framgångsrikt utfärdar patchar. Men, är det mycket sakens natur när du arbetar med nästan en miljard kombinerade användare är någon slip upp kommer att bli allmänt märkt, som kan “skeva användarens uppfattning om företaget och deras förmåga att leverera en lyckad lapp.

Microsoft, till exempel, utfärdade 135 säkerhetsbulletiner i år med tusentals olika sårbarheter lagas. Allt som krävs är en eller två patchar för att misslyckas eller bryta något – som har hänt – att redogöra för en 1 procent felfrekvens.

“När du sätter in det i ett större sammanhang av data dessa system skyddar och de höga volymer av attacker som vi ser på nätet varje dag, skulle de flesta människor anser att en acceptabel risk”, säger Nunnikohoven.

Var dina data stulits av hackare? (Ledtråd: det var förmodligen.)

Men till den drabbade användaren, som kan vara en vanlig hemdator användare eller en företagsadministratör övervaka hundratals eller tusentals maskiner, är att risken inte acceptabelt.

Den stora frågan är, kommer detta plåster skydda datorn, mitt nätverk, mina uppgifter, och min säkerhet och integritet, men kommer det att bryta något funktionellt i processen? På de sällsynta fall saker går fel, det är just det bitterljuva piller att svälja.

“För användaren du utvärdera värdet av fix kontra påverkan på den service du ger. Kommer detta fixa mitt problem? Kommer det orsaka andra problem? När det gäller säkerhetskorrigeringen, detta få en lite svårare för nu finns det en ny risk i play – potentiella angripare, “sade Nunnikhoven.

I hjärtat av varje programuppdatering är en förtroenderelation mellan användaren och företaget. När saker går fel, kan det påverka tusentals eller miljontals användare. Bara ignorera problemet och dragplåster kan undergräva en användares förtroende, vilket kan skada den framtida korrigeringsprocessen.

Nyckeln, enligt Childs, är öppenhet och tydlighet, snarare än förvirring avsiktligt. Och när saker går fel, bör företagen tala upp och erbjuder lösningar.

Kunderna alltid förvänta sig leverantörer för att vara 100 procent perfekt 100 procent av tiden, eller åtminstone de ska inte “, säger Childs.” Men om leverantörer är upfront och ärlig om situationen och ge värdefull vägledning, går det en lång väg att återupprätta det förtroende som gått förlorat under åren.

? M2M marknaden studsar tillbaka i Brasilien

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän

WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål

Vita huset utser först Federal Chief Information Security Officer