Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 13. januar 2006.
Der blev opdaget flere nye sårbarheder i 2005 end i noget tidligere år. Tallene gør det svært at afgøre, hvilken systemplatform der er mest ramt.
5.990. Eller 7.187. Eller 3.766. De forskellige databaser over sårbarheder i it-systemer har vidt forskellige bud på, hvor mange sårbarheder der blev fundet sidste år. Men en ting er de enige om: 2005 var et rekordår. Aldrig tidligere er der fundet så mange sårbarheder på et enkelt år.
Det amerikanske CERT/CC (Computer Emergency Response Team/Coordination Center) sætter tallet til 5.990, mens Open-Source Vulnerability Database (OSVDB) har registreret 7.187 nye sårbarheder. Sikkerhedsfirmaet Symantec registrerede 3.766 sårbarheder.
Forskellene skyldes, at databaserne opgør sårbarhederne på forskellige måder. Således registrerer OSVDB delelementerne af en sårbarhed som separate sårbarheder, så en enkelt sårbarhed hos konkurrenterne kan optræde som flere i OSVDB.
Til gengæld er organisationerne enige om, at der blev fundet flere sårbarheder sidste år end noget tidligere år. De fleste af dem havde ellers registreret en stagnation siden år 2002. CERT/CC's tal har således ligget nogenlunde stabilt på omkring 4.000 sårbarheder om året siden da.
Ifølge webstedet SecurityFocus skyldes stigningen især, at der blev fundet mange sårbarheder i webapplikationer.
- Der er webbaserede sårbarheder over det hele, og de er rigtig nemme at finde. De er den lavthængende frugt, siger David Ahmad fra sikkerhedsfirmaet Symantec til SecurityFocus.
For eksempel er der fundet en række sårbarheder i PHPBB, et PHP-baseret system til diskussionsfora. I november oprettede udviklerne af programmet et hold af frivillige, der skal hjælpe brugere, hvis systemer er blevet overtaget som følge af sårbarheder i programmet.
Blandt typiske sårbarheder i webapplikationer er manglende kontrol med de data, brugerne kan sende til programmet. For eksempel kan en bruger selv indtaste dele af SQL-kommandoer i søgebokse eller URL'er. Hvis applikationen ikke er sikret mod den slags, kan det udgøre en sårbarhed, der giver adgang til fortrolig information.
US-CERT, United States Computer Emergency Readiness Team, har opgjort mængden af sårbarheder til 5.198. Organisationen har samtidig opdelt dem på platforme: 812 var i Windows, 2.328 i Unix/Linux og 2.058 fandtes i flere operativsystemer.
Tallene har vakt en del debat på nettet. Pamela Jones skriver i sin weblog Groklaw, at US-CERT's liste over sårbarheder i Unix/Linux indeholder flere dobbeltgængere. Når den samme sårbarhed rapporteres flere gange i løbet af året, nævnes den nemlig for hver gang. Således er en sårbarhed i Fetchmail nævnt hele fem gange.
Pamela Jones bemærker også, at tallet for Windows kun dækker et enkelt operativsystem, mens Linux/Unix-kategorien samler operativsystemer fra et dusin leverandører. Det gælder for eksempel diverse Linux-distributioner, AIX, Apples MacOS X, Solaris og andre Unix-varianter. Tallene tager ikke hensyn til, om en sårbarhed kun findes i et enkelt Unix-baseret operativsystem, eller i flere. Derfor kan tallene ikke tages som udtryk for, hvilken platform der har flest sårbarheder.
Torben B. Sørensen er freelancejournalist
redaktionen@cw.dk
