Jeśli myślisz, że exploity wpadają przez dziurawego IE to się mylisz

W świadomości większości z nas przeglądarka Internet Explorer siedzi w strefie “nie tykać”. IE6 wyrządził nam taką krzywdę, że na samą myśl o jego używaniu przechodzą nas dreszcze, mamy konwulsje i drgawki, a zetknięcie się z interfejsem powoduje masowe zawały. Przepraszam, poniosło mnie. Faktem jest jednak, że nikt z nas nie chce nawet słyszeć o powrocie do programu służącego do “przeglądania internetu z komputera i na odwrót”. To właśnie trauma po IE6 powoduje, że nowe wersje Internet Explorera nie chcą specjalnie zadomowić się na naszym rynku (o czym świadczy 25% użycia w Polsce – dla wersji 7,8 i 9). Wciąż wydaje nam się, że IE jest dziurawy jak szwajcarski ser. Tymczasem kolejne laboratorium udowadnia, że nie ma się czego obawiać.

Duńska firma CSIS odkryła, że za 99,8% ataków z użyciem exploitów odpowiada 5 programów, które nie będąc notorycznie aktualizowane stają się furtką dla cyberprzestępców. Około 4 lata temu większość włamań na komputery osobiste przeprowadzana była za pomocą właśnie exploitów, które lądowały na naszym dysku przez starsze wersje przeglądarek. Te same exploity nadal zagnieżdżają się na naszych dyskach, jednak znalazły sobie innych nosicieli. Nieświadomi użytkownicy często zapominają, że pod powłoką Firefoxa czy Chrome’a siedzi zestaw innych narzędzi, dla przykładu środowiska Flash i Java.

Firma CSIS stwierdziła ponadto, że za 85% przesyłanych nam wirusów odpowiadają komercyjne zestawy do “exploitowania” – agencja obserwowała użycie 50 różnych produktów. Ponadto 32% komputerów osobistych (z grupy 500,000) zostało zainfekowanych właśnie przez niełatane programy.

Procentowy udział poszczególnych programów w otwieraniu furtek do komputerów osobistych ofiar

Co się zaś tyczy programów/środowisk, przez które odbieramy exploity – najgorzej wypadają: Java (37%), Adobe Reader/Acrobat (32%), Flash (16%). Apple Quick Time odpowiada jedynie za 2% włamań. I tutaj następuje otrzeźwienie dla osób, które wciąż wzdrygają się na myśl o Internet Explorerze. Odpowiada on bowiem jedynie za 10% ataków. Czy to wiele? Wydaje mi się, że nie. “Chwila chwila, przez Chrome’a nic mi do kompa nie włazi” (Chrome uważany jest za najbezpieczniejszą przeglądarkę) – pomyśli któryś z Was? Jeśli więc jesteś taki pewien, to jak wytłumaczysz program Google mający na celu płacenie odkrywcom krytycznych luk za ich ujawnienie? Swoją drogą 1337 dolarów za wykrycie luki to całkiem niezłe pieniądze.

Jeśli więc następnym razem podczas dyskusji o przeglądarkach nie przyjmiesz argumentacji rozmówcy na temat używania przez niego Internet Explorera i krzykniesz: “Nałapiesz wirusów!” – przypomnij sobie badania duńskiej firmy CSIS. Kolejne firmy i kolejne badania potwierdzają to, co napisałem powyżej: IE w nowszych wersjach jest bezpieczny i możesz go bez obaw używać.

[ź] theregister.co.uk