David Aucsmith, Microsoft, kalder hackere for dovne. I stedet for selv at gennemskue nye sårbarheder i Windows, afventer de, at Microsoft publicerer information om sårbarhederne. Først herefter udvikler de ondsindede programmer, der kan udnytte koden.
Dette er en af flere konklusioner, et panel af it-sikkerhedseksperter er nået frem til på RSA Security Conference, som afholdes i denne uge. Konkurrencen er organiseret af Storbritanniens National Hi-Tech Crime Unit.
»Vi er aldrig blevet udsat for, at en sårbarhed er udnyttet, før publicering af en sikkerhedsopdatering,« oplyser Aucsmith.
Hackere har en enkelt gang formået at afsløre en sårbarhed inden udgivelsen af en sikkerhedsopdatering, men nåede ikke at udvikle kode til at udnytte sårbarheden inden.
Et godt eksempel på fænomenet er den kritiske ASN1sårbarhed, som blev afdækket i februar. Sårbarheden blev opdaget af Eeye Digital Security i juli 2003, men først tre dage efter publiceringen af en patch, kunne man finde ondsindet kode målrettet sårbarheden.
»Det er en myte, at hackere finder sårbarhederne,« siger Nigel Beighton, leder af et forskningsprojekt for Symantec, som skal finde metoder til at afdække et mønster for, hvilke sårbarheder hackere kan forventes at udnytte, og hvornår.
Det vækker bekymring, at ondsindede hackerprogrammer er under stadig forbedring, og at der bliver stadig kortere imellem tidsintervallet fra Microsoft udgiver en sikkerhedsopdatering til et nyt program er udviklet, som kan udnytte sårbarheden.
Det blev samtidig påpeget, at det er guf for hackere, at Microsoft har indført en månedlig rutine for publicering af nye sikkerhedsopdateringer. Ligesom det gør sikkerhedsrutinerne mere overskuelige for Windows-brugerne, bliver rutinerne også lettere for hackerne.