Sidste år blev der fundet næsten 6.000 sårbarheder i it-systemer. Det viser tal fra det amerikanske CERT/CC (Computer Emergency Response Team/Coordination Center).
De senere år har tallet ellers ligget nogenlunde konstant omkring 4.000 sårbarheder om året.
Der har været nogen diskussion om, hvorvidt tallet er dækkende. Andre organisationer har fundet frem til andre tal. Men alle er enige om, at der var en væsentlig stigning i 2005 i forhold til tidligere år.
Er sikkerheden blevet dårligere?
Det kunne man så se som et tegn på, at sikkerheden bliver stadig dårligere.
I 1995 blev der kun fundet 171 sårbarheder, så programmerne er altså blevet 3.400 procent mere usikre på 10 år.
Men den holder ikke. Efter min mening er det stigende antal tegn på en positiv udvikling: Nu bliver fejlene fundet, rettet og offentliggjort.
Skjulte rettelser
Tidligere blev nogle sårbarheder rettet i det skjulte, når man alligevel skulle udsende en opdateret udgave af et program.
I perioden fra sårbarheden blev opdaget og til opdateringen udkom, var brugerne altså sårbare over for angreb. Men de vidste det ikke, fordi producenterne ikke oplyste det.
I dag tager alle de store softwarehuse sikkerheden alvorligt.
Derfor hører vi om de problemer, der tidligere ikke blev opdaget eller som blev holdt skjult.
En anden årsag til stigningen kan være, at langt flere programmer i dag kan nås via internettet. Især web-baserede applikationer har ofte sårbarheder.
Her gælder det ikke blot sårbarheder i standardprodukter, men lige så ofte sikkerhedsproblemer i de applikationer, firmaerne selv udvikler.
For eksempel har vi set en række tilfælde af SQL-indsætning, hvor en angriber kan få direkte adgang til databasen ved at indtaste kommandoer i søgefelter og URL'er.
Urealistisk håb
Selvfølgelig ville det være dejligt, om vi et år kunne sige: I år var der ingen sikkerhedshuller i programmer.
Men da det er urealistisk at håbe på, er det bedre, at der er åbenhed om sårbarhederne.
Der er ikke noget pinligt ved at have en sårbarhed i sit program – men det er pinligt at blive taget i, at man har kendt til en sårbarhed uden at gøre noget ved den.
DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.
Preben Andersen opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.
