Опасность уязвимостей в приложениях
Рассмотрим, что может произойти, если в течение длительного времени не обновлять программное обеспечение.
Крупнейшая утечка персональных данных произошла в компании Equifax – это американское бюро кредитной истории, основанное в 1899 году. Equifax имеет огромную базу кредитных историй более 820 миллионов клиентов из 24 стран, включая Россию.
В июле 2017 года хакеры в результате кибератаки взломали компьютерные системы Equifax и получили доступ к базе этой компании. Пострадали 143 миллиона американцев – почти половина населения страны. При этом были обнаружены номера социального страхования клиентов, имена, даты рождения, домашние адреса, данные кредитных карт. Хакеры смогли получить доступ к данным бюро кредитной истории через имевшуюся уязвимость в веб-приложении Equifax.
Позднее выяснилось, что сначала была утечка данных клиентов в марте, а потом это повторилось еще в июле 2017 года. В течение нескольких месяцев компания не замечала проблему и не обновляла свое программное обеспечение, чтобы устранить имеющуюся уязвимость.
Случай с Equifax не является уникальным. Утечки личных данных клиентов происходили ранее в приложении Альфа банка и в других банках, в компаниях сотовых операторов Мегафон, Билайн, МТС, в приложении РЖД для покупки железнодорожных билетов и так далее.
Доступные обновления на Win-7
Отказ от поддержки операционной системы нельзя считать полным – многие предприятия и организации, где установлено устаревшее оборудование, смогут пользоваться такой услугой до 2023 года. Но, такие обновления будут доступны только при использовании операционной системы SP-1. За 1 компьютер с лицензией Windows-7 Enterprise предполагаемая стоимость услуги ESU по годам составит:
- 25$ – 2020;
- 50$ – 2021;
- 100$ – 2022.
В случае использования лицензии Pro, цену увеличивают в 2 раза, и такая мера будет возможной только до января 2023 года. Дальнейшая рекомендация – обновление до последней доступной ОС Windows или использование дополнительного программного обеспечения для повышения стабильности и безопасности компьютера. Клиентское приложение Steam, а также браузеры Chrom, Microsoft Edge и Firefox пока обновляться будут.
Что означают типы обновлений
Обновления делятся на важные, рекомендуемые, необязательные и основные.
Это означает следующее:
- Важные обновления обеспечивают значительное улучшение защиты, безопасности и надежности компьютера. Они должны устанавливаться сразу после их появления и устанавливаются автоматически с помощью Windows Update.
- Рекомендуемые обновления могут касаться некритических проблем и улучшать работу компьютера. Хотя такие обновления не касаются основных аспектов работы компьютера или программ Windows, они часто содержат существенные улучшения. Эти обновления могут установиться автоматически.
- Необязательные обновления содержат непосредственно обновления, драйверы и другие программы от Майкрософт, призванные улучшить работу компьютера. Установить их нужно вручную.
В зависимости от типа обновления Windows Update обеспечивает:
Обновление безопасности. Распространяемое исправление уязвимостей определенных продуктов в системе безопасности
Уязвимости в безопасности оцениваются на основе их опасности, которая обозначается в бюллетене Майкрософт как критическая, важная, средняя или низкой степени важности.
Критические обновления. Распространяемое исправление уязвимостей определенных программ, направлено на устранение ошибок, не связанных с безопасностью.
Пакеты обновлений
Проверенные сборные наборы исправлений, обновлений безопасности, критических обновлений и обычных обновлений, а также дополнительные исправления ошибок, найденных со времени выхода продукта. Пакеты обновлений могут содержать некоторые изменения в дизайне и функциональности программ.
Какие типы обновлений устанавливаются системой Windows автоматически
Можно настроить Windows на автоматическую установку только важных или важных и рекомендуемых обновлений. Важные обновления обеспечивают значительное улучшение защиты и надежности компьютера. Рекомендуемые обновления могут касаться некритических проблем и улучшать работу компьютера. Необязательные обновления автоматически не загружаются и не устанавливаются.
FaaS – Функция как услуга
Сервис FaaS представляет собой возможность бессерверного запуска кусков кода, благодаря чему разработчики могут писать и обновлять код в процессе. Написанные функции вызываются при наступлении какого-либо события. FaaS позволяет намного проще масштабировать код и вводить микросервисы.
Основные особенности FaaS:
- В функциях реализуется только бизнес-логика.
- Приложения, написанные в рамках FaaS, являются stateless (не сохраняющие состояние).
- В рамках FaaS серверный процесс не выполняется, а срабатывает триггерное событие, которое инициирует вызов функции, например, HTTP-вызов.
- Чтобы обеспечить непрерывность процесса, нужно использовать внешний сервер базы данных или сетевую файловую систему
Модель оплаты – обычно тарифицируются по объему и используемому vCPU. Иногда дополнительно взимается плата за вызов функций сверх бесплатного лимита.
Подключение к сетевому ресурсу
Для использования сетевого ресурса необходимо получить доступ к нему.
Метод доступа – набор правил, которые определяют, как компьютер должен отправлять и
принимать данные по сетевому кабелю.
Компьютеры получают доступ к сети поочередно на короткое время. Обычно несколько компьютеров в сети имеют
совместный доступ к кабелю. Однако если два компьютера попытаются передавать данные одновременно, их
пакеты столкнутся и будут испорчены. Возникает так называемая коллизия. Все
компьютеры в сети должны использовать один и тот же метод доступа, иначе произойдет сбой в работе сети,
когда отдельные компьютеры, чьи методы доминируют, не позволят остальным осуществлять передачу.
Коллизия – наложение двух и более пакетов от компьютеров, пытающихся передать пакет в
один и тот же момент времени.
Существуют четыре метода доступа:
1. Множественный доступ с контролем несущей и обнаружением
коллизий (Carrier-Sense Multiple Access with Collision Detection, CSMA/CD)
– все компьютеры в сети прослушивают кабель, стремясь обнаружить передаваемые данные. Компьютер
может начать передачу только тогда, когда убедится, что кабель свободен. Если возникает коллизия, то
компьютеры приостанавливают передачу на случайный интервал времени, а затем вновь стараются наладить связь.
Недостатки: при длине кабеля > 2,5 км механизм обнаружения коллизий становится неэффективным –
некоторые компьютеры могут не услышать сигнал и начнут передачу, что приведет к коллизии и разрушению
данных. Чем больше компьютеров в сети, тем интенсивнее сетевой трафик, и число коллизий возрастает, а
это приводит к уменьшению пропускной способности сети.
CSMA/CD является состязательным методом, так как компьютеры конкурируют между
собой за право передавать данные.
2. Множественный доступ с контролем несущей и предотвращением
коллизий (Carrier-Sense Multiple Access with Collision Avoidance, CSMA/СА) –
каждый компьютер перед передачей данных в сеть сигнализирует о своем намерении, поэтому остальные компьютеры
«узнают» о готовящейся передаче и могут избежать коллизий. Однако
широковещательное оповещение увеличивает общий трафик и уменьшает пропускную способность сети.
Поэтому CSMA/CA работает медленнее, чем CSMA/CD.
3. Доступ с передачей маркера – пакет особого типа, маркер
(token), циркулирует от компьютера к компьютеру. Чтобы послать данные в сеть, любой компьютер
должен сначала «дождаться» прихода свободного маркера и «захватить» его. Захватив
маркер, компьютер может передавать данные. Когда какой-либо компьютер наполнит маркер своей информацией и пошлет
его по сетевому кабелю, другие компьютеры уже не смогут передавать данные, так как в каждый момент времени
только один компьютер использует маркер. В сети не возникает ни состязания, ни коллизий, ни временных
задержек.
4. Доступ по приоритету запроса (demand priority) – концентраторы
управляют доступом к кабелю, последовательно опрашивая каждый узел в сети и выявляя запросы на
передачу. Концентратор должен знать все адреса связи и узлы и проверять их работоспособность.
При доступе по приоритету запроса, как и при CSMA/CD, два компьютера могут конкурировать за право передать
данные. Однако в этом методе реализуется принцип, по которому определенные типы данных, если возникло
состязание, имеют соответствующий приоритет. Получив одновременно два запроса, концентратор вначале
отдает предпочтение запросу с более высоким приоритетом.
SaaS – Программное обеспечение как сервис
SaaS – это услуга, благодаря которой можно арендовать лицензионное программное обеспечение. Например, получить во временное пользование облачный Office 365.
Софт имеет лицензию по подписке и находится у поставщика облачных услуг. Практически все SaaS-решения сделаны на базе многопользовательской архитектуры. В рамках этой модели у всех клиентов будет установлена одинаковая версия программного обеспечения с единой конфигурацией.
Услуга SaaS позволяет бизнесу сэкономить на IT за счет выноса обслуживания и поддержки ПО на аутсорс. Приложения по модели SaaS обновляются чаще обычных (раз в месяц или даже раз в неделю). Это вызвано следующими причинами:
- Софт расположен централизованно у провайдера, поэтому именно провайдер занимается обновлениям, а не сам клиент.
- У всех пользовательских приложений общая конфигурация, что упрощает тестирование.
- Провайдеру не приходится тратить ресурсы на обновление и поддержку фоновых версий программного обеспечения.
- Разработка и регрессивное тестирование выполняются быстрее благодаря тому, что у провайдера есть полный доступ к данным арендатора.
Модель оплаты – каждый месяц или раз в год взимается фиксированная плата за каждого пользователя. То есть клиент может убирать или добавлять новых пользователей в любой момент и платить только за реальное их количество.
Проблемы при обновлении приложений
Своевременное обновление программного обеспечения имеет решающее значение для безопасности. Это защитит от новейших угроз.
По возможности стоит выбирать автоматическое обновление программного обеспечения как на мобильных устройствах, так и на компьютерах. Для приложений, у которых программное обеспечение не обновляется автоматически, следует регулярно, например, раз в месяц (или в квартал) проверять наличие доступных обновлений и устанавливать их.
От обновлений приложений особенно страдают владельцы старой техники, устаревших смартфонов и планшетов. На таких устройствах, как правило, уже осталось мало свободной памяти, а новые обновления требуют новых ресурсов. Здесь проблема может превратиться в бесконечное число бесконечно устанавливаемых обновлений. Тогда приходится отказываться от автоматических обновлений. Как следствие, уязвимость устаревшего устройства повышается.
Можно обижаться на производителей смартфонов и разработчиков приложений, что они постоянно требуют устанавливать новые приложения. Но пока не изобретены другие способы борьбы с уязвимостями и ошибками в программном обеспечении
Поэтому если устройство перестает обновляться, то им следует пользоваться с осторожностью. Особенно если речь идет о паролях, кодах, логинах и других средствах доступа к персональным и банковским данным
При первой же возможности лучше менять устройство на более современное для того, чтобы на нем всегда стояло самое актуальное программное обеспечение с последними обновлениями. Либо, возможно, стоит отказаться от использования банковских приложений на стареньком смартфоне или планшете и других потенциально опасных приложений.
В компьютерах и ноутбуках, работающих под управлением Windows 10, проблемы обновлений в целом решены. Если в более ранних системах приходилось многое, что касалось своевременной установки обновлений, настраивать вручную, то в Windows 10 обновления устанавливаются автоматически. Можно, конечно, заменить автоматическую установку обновлений на ручное управление, но для Windows 10 это не обязательно делать, как, например, когда-то делали в Windows 7 или Windows XP.
Другие материалы:
1. Пять необычных приложений для Android
2. Как обновить Оперу до последней версии
3. Срок жизни контента на сайте
4. Заряжайте без проводов или технология Wi-Charge
PaaS – Платформа как услуга
В рамках услуги PaaS клиент получает полноценную платформу для разработки, выполнения и тестирования приложений. Сюда входит оборудование, необходимое программное обеспечение, а также настройка и обслуживание инфраструктуры. PaaS упрощает разработку, позволяя сконцентрироваться на процессе, а управление бэкэндом оставить провайдеру.
Какие преимущества даёт использование модели PaaS:
Быстрый выход на рынок. Благодаря тому, что нет необходимости создавать и настраивать собственную платформу, разработка ПО происходит в разы быстрее.
Одна среда для всего. Разработчики могут создавать, тестировать, отлаживать продукт в единой среде.
Экономия. Использование PaaS избавляет от затрат на приобретение, настройку и администрирование оборудования.
Модель оплаты – почасовая за каждый экземпляр.
IaaS – Инфраструктура как сервис
Классический подход для многих компаний – покупка собственного физического оборудования. IaaS позволяет отказаться от капитальных затрат и арендовать виртуальную инфраструктуру, то есть виртуальный аналог обычного компьютера, на который можно точно так же устанавливать операционную систему и программное обеспечение.
Обслуживанием аппаратной части полностью занимаются специалисты провайдера. Клиентам достаточно просто подключиться к виртуальным машинам и начать работу.
Главные особенности IaaS:
- Равномерно распределяется траффик, балансировка нагрузки.
- Лёгко масштабировать.
- Нет простоя неиспользуемых мощностей.
- Не требуется дополнительная инфраструктура под редко используемые приложения.
- Можно тестировать ПО на различных платформах.
IaaS включает в себя виртуальные серверы, все необходимые сетевые настройки (для связи между виртуальными серверами, а также с внешними серверами клиента и внешним интернетом), управление доступом, облачные хранилища и сервисы резервного копирования.
Использование IaaS позволяет:
- Отказаться от физических серверов, их обслуживания и администрирования.
- Сэкономить на инфраструктуре за счёт отсутствия капитальных затрат, затрат на обслуживание оборудования, покупку лицензионного софта.
- Быстро запустить стартап или новое направление бизнеса.
- Расширить текущую инфраструктуру под новые задачи или организовать тестовые среды для нужд разработки.
- Получить гибкую, легко масштабируемую инфраструктуру (актуально для компаний с неравномерными нагрузками)
В случае аренды виртуальной инфраструктуры возможны различные модели оплаты. В Cloud4Y вы можете арендовать виртуальный сервер на VMware по модели pay-as-you-go. Это означает, что вы платите только за те ресурсы, которые реально потребляли.
Настройка обновлений программ Windows
Необходимость обновления стороннего ПО
Про необходимость апдейта есть много различных мнений, а о целесообразности вы можете судить сами: в новых
версиях программ производители добавляют дополнительные функции, исправляют найденные ошибки, исправляют
конфликты с «железом». Поэтому мы можем с полной уверенностью заявить, что обновлять приложения
необходимо. Особенно это касается антивирусов, менеджеров паролей, браузеров и других подобных
приложений.
Ручное обновление
Многие программы предусматривают автообновление или, по крайней мере, проверку наличия новой версии. Данная опция
обычно находится в разделе меню «Справка», откуда можно сразу скачать новую версию. Также обновиться
можно с сайта разработчиков, адрес которого обычно указан в разделе меню «О приложении».
Обновление с помощью специальных утилит
Процесс проверки наличия актуальных версий установленных программ и загрузку их обновлений станет гораздо проще с
помощью специальных приложений. Рассмотрим некоторые из них.
Kaspersky Software Updater
Эта бесплатная утилита от Лаборатории Касперского имеет минимальный интерфейс и простое управление.
После ее установки и запуска просто нажимаем кнопку «Искать обновления» и ждем завершения поиска.
Найденные обновления будут представлены в виде списка, где можно будет непосредственно запустить апдейт.
Утилита добавляется в автозагрузку и в дальнейшем следит за обновлениями самостоятельно.
FileHippo App Manager
Данное приложение разработано софт-порталом FileHippo.com. После загрузки и установки пользователю
будет предложено выбрать период сканирования обновлений.
По окончании настроек в области уведомлений Windows появляется иконка App Manager, информирующая о количестве
доступных в настоящий момент обновлений.
Кликнув по иконке, мы видим окно со списком программ, которые можно сразу обновить.
SoftSalad Monitor
Утилита от веб-ресурса softsalad.ru. При установке будьте внимательны – инсталлятор предложит
установить программы-попутчики.
После окончания установки SoftSalad Monitor выполнит сканирование компьютера, проверив программы на наличие
обновлений.
Каждое приложение можно обновить по отдельности, или выполнить обновление всех программ в один клик.
мотренных выше утилит, SoftSalad Monitor сможет также проверить на наличие обновлений портативных программ. Для
этого необходимо установить дополнительные области сканирования в настройках.
Как получить обновление
Чтобы получить обновления Windows (включая обновления для программ, которые поставляются с Windows), перейдите в раздел Windows Update на панели управления:
- Откройте службу Windows Update.
- В левой области выберите Проверка обновлений.
Советуем включить функцию автоматического обновления, чтобы система Windows автоматически инсталлировала обновления.
Как разрешить всем пользователям компьютера установить обновление
По умолчанию Windows позволяет установить обновления только пользователям, имеющим учетную запись администратора. Разрешить установку обновления можно пользователям стандартных учетных записей. Это удобно для безопасности сети и родительского контроля, если вы используете семейный компьютер, на котором есть несколько стандартных учетных записей. Этот параметр позволяет пользователям стандартных учетных записей установить обновление вручную.
Чтобы позволить всем пользователям установить обновление, выполните следующие действия.
- Откройте службу Windows Update.
- На панели слева выберите Настройка.
- Выполните одно из следующих действий:
- Чтобы позволить пользователям стандартных учетных записей установить обновления, установите флажок Разрешить всем пользователям устанавливать обновления на компьютере.
- Чтобы пользователи стандартных учетных записей не могли установить обновления, снимите флажок Разрешить всем пользователям устанавливать обновления на компьютере.
Если для важных и рекомендуемых обновлений применяется автоматическое обновление, эти обновления будут устанавливаться независимо от того, является ли данный пользователь администратором.
Бесплатное программное обеспечение (Freeware)
Впервые термин «freeware» появился в 1982 году, его зарегистрировал в качестве товарного знака американский программист Андрю Флеглеман (Andrew Flegleman) для разработанной им коммуникационной программы.
Бесплатно можно скачать:
- бета-версии программ
- упрощенные аналоги полноценных пакетов
- драйверы
- программы, использование которых подтолкнет к приобретению дополнительных ресурсов.
Достоинство freeware одно — не надо платить деньги, недостатков немного больше:
- нет автоматического обновления программы
- отсутствует техническая поддержка
- возможны ошибки при работе.
Практически любая коммерческая программа под Windows имеет свои бесплатные аналоги:
- Архиваторы (7-Zip)
- ПО для работы с FTP (FileZilla)
- Антивирусы (CureIt, Avast!, AVZ)
- Текстовые редакторы (Notepad++)
- Браузеры (Mozilla, Firefox, Opera, GoogleChrome)
- Аудиоплееры (WinAmp)
- Видеоплееры (VLC, Miro, Media Player Classic)
- Транскодеры (MediaCoder)
- Графические редакторы (GIMPshop)
- Офисное ПО (Apache OpenOffice, LibreOffice)
Бесплатные приложения под Windows доступны в Интернете на сайтах разработчиков. После скачивания архива и установки ПО на компьютере автоматически формируются все необходимые для нормальной работы приложения каталоги и файлы в них. Бесплатные приложения для Android и iOS можно скачать при помощи маркетплейсов PlayStore и AppStore.
Скачивая бесплатные программы, вы рискуете столкнуться с эффектом «троянского коня»: разработчик включает в бесплатно распространяемый пакет другие программы, которые автоматически размещаются на компьютере при установке пакета. Не всегда это ПО безопасно!
Особое место в категории бесплатных программ занимают проекты open source. Часть из вышеперечисленного ПО (Mozilla Firefox, 7-Zip, FileZilla, Notepad++, Miro, VLC, Apache OpenOffice, LibreOffice, Media Player Classic, GIMPshop, Google Chrome) относится именно к этой категории.
CaaS – Контейнер как услуга
Контейнер – это аналог гипервизора, используемый для безопасного запуска приложений. Контейнеры можно запускать в изолированных разделах одного ядра Linux, запущенного на физическом сервере.
Контейнеризация позволяет добиться большей производительности, чем при виртуализации, так как отсутствуют накладные расходы на гипервизоры. Помимо этого, емкость может динамически меняться с вычислительной нагрузкой, поэтому услугу можно оплачивать на основе данных о реальном потреблении ресурсов.
Что такое CaaS?
Container-as-a-Service (CaaS) является формой виртуализации на основе контейнеров, где поставщик облачных услуг предоставляет все решения и инструменты в качестве сервиса. Данная услуга упрощает одноконтейнерные развертывания, в том числе для запуска простых микросервисов, либо предлагает платформу контейнерной оркестровки, например, Kubernetes, позволяющий запускать более сложные многоконтейнерные развертывания.
К платформам контейнерной оркестровки относятся такие услуги, как обнаружение сервисов, планирование контейнеров, сетевое взаимодействие контейнеров, мониторинг и другие.
Модель оплаты – за ресурсы, затраченные на организацию контейнерного кластера (например, за виртуальную машину, балансировщики нагрузки, блочные хранилища). Ряд провайдеров может дополнительно брать плату за управление кластером.
Каждая модель имеет свои особенности, поэтому выбор подходящего сервиса будет полностью зависеть от потребностей вашего бизнеса.
Обновление до Windows-10
Прямого способа обновить операционную систему до последней версии уже нет, так как поддержка OS Windows-7 отключена. Пользователям старого программного обеспечения предполагается просто купить лицензию на Вин-10, скачать образ, записать его на DVD диск или флеш-накопитель и установить в стандартном режиме. Но, для лицензионных версий Windows 7 оставили вариант и бесплатного обновления системы. Для этого нужно следовать такой инструкции:
- Устанавливаем все доступные обновления для действующей ОС и проверяем совместимость оборудования с Windows-10.
- Выкачиваем последнюю версию программы Windows 10 Media Creation Tool с сайта разработчика.
- Запускаем программу на ПК, читаем, принимаем условия лицензионного соглашения компании Microsoft и выбираем пункт «Обновить этот компьютер сейчас».
- Дожидаемся полной загрузки пакета данных для обновления системы, проверки соответствия оборудованию и выгрузки требуемых дополнений.
- Уверяемся, что стоит отметка около надписи «Сохранить личные файлы и приложения», а после нажимаем «Установить».
В зависимости от характеристик комплектующих компьютера и скорости интернет соединения, процедура такого перехода на Windows 10 может занять от 2 до 10 часов. Когда работа программы будет завершена, рекомендуют нажать сочетания клавиш «Пуск+I», перейти в меню «Обновление и безопасность» и проверить активацию. Если есть беспокойство за сохранность личных данных в процессе перехода на новую версию операционной системы, то их можно сохранить в облачном хранилище или сделать резервную копию на съемном носителе.
Отказ от поддержки устаревшей ОС Windows-7 не указывает на то, что программным обеспечением больше нельзя пользоваться. Но, чтобы использовать все возможности компьютера и сети интернет нужно переходить на новые версии программного обеспечения. Обновить Windows-7, прямым путем не получится, но можно использовать вспомогательную утилиту от корпорации Microsoft или просто купить лицензию от Win-10.
Выводы
Приобретая лицензионное платное программное обеспечение, вы автоматически получаете возможность обращаться за технической поддержкой к разработчику и регулярно, по мере необходимости, обновлять свой продукт. Для установки его на компьютер не надо обладать глубокими знаниями в области IT.
Устанавливая бесплатное программное обеспечение, обращайте внимание на дату его создания/обновления и обязательно проверяйте ПО на наличие вирусов. Такими программами пользуются как IT-специалисты, так и пользователи ПК разного уровня
Несомненным достоинством open source проектов является их независимость от вендора, крупные компании предпочитают на их основе создавать корпоративное ПО. Особенно это становится актуальным для госкорпораций в связи с возможными сложностями в приобретении проприетарных продуктов из-за экономических санкций. Сдерживающим фактором при внедрении open source является некоторая неопределенность, связанная с информационной безопасностью: возможны проблемы при прохождении сертификации в ФСТЭК.