Sikkerhedshuller i webbrowsere er blevet hackernes nye foretrukne angrebsform, hvis man skal dømme ud fra antallet af sårbarheder, der blev opdaget af hackere i browsere i første halvdel af 2006.
Sikkerhedsfirmaet Symantec rapporterer således om en kraftig vækst i forhold til de foregående seks måneder.
Ifølge Symantec opdagede hackere i første halvdel af 2006 ikke færre end 47 sikkerhedshuller i Mozillas browsere og 38 i Internet Explorer.
I selskabets forrige halvårsrapport lød tallene på henholdsvis 17 for Mozilla og 25 for Internet Explorer.
Generelt usikre browsere
Selvom der er fundet flere sikkerhedshuller i Mozillas browsere er det dog ikke ensbetydende med, at andre browsere er mere sikre.
Symantec fremhæver således udviklerne bag open source-browserens reaktionstid. Ifølge Symantec blev sårbarhederne i Mozillas browsere i gennemsnit rettet inden for et døgn, efter de blev offentligt kendt.
Næsthurtigst var norske Opera med to dages reaktionstid efterfulgt af Apples Safari med fem dage og Microsoft med ni dage for Internet Explorer.
Det er dog en næsten umulig opgave at finde en fuldstændig sikker browser. Ifølge Symantecs halvårsrapport var 31 procent af angrebene således rettet mod mere end én browser. 20 procent af angrebene var rettet mod Mozillas Firefox.
- Der findes ingen sikker browser. Hvis du har en browser, så sørg for, at du har konfigureret den korrekt. Det er en langt bedre strategi, end at bruge en eller anden browser, blot fordi du aldrig har hørt om den før, siger Vincent Weafer fra Symantec Security Response.
Økonomisk motiv for hackerne
En af forklaringerne på den voldsomme vækst i antallet af nye sårbarheder i webbrowser er, at der er kommet et økonomisk motiv for en hacker for at finde sårbarheder.
Flere sikkerhedsfirmaer, blandt andet 3Coms Tipping Point og Verisigns iDefense, tilbyder således dusører for sårbarheder.
Det sker til dels for at forsøge at dæmme op for det sorte marked, hvor kriminelle også er på udkig efter at købe sårbarheder, der kan udnyttes til internetsvindel eller tyveri af eksempelvis kreditkortoplysninger.
- Alle har indset, at det er lettere at bryde ind hos virksomheder og private ved at angribe applikationer end gennem serversårbarheder, siger teknisk direktør Marc Maiffret fra eEye Digital Security.
