A hamis biztonság illúziójában élünk

Az IBM Internet Security Systems részlege a minap arra figyelmeztetett, hogy a nyilvánosság számára is ismertté váló biztonsági sérülékenységek és a felfedezett, de titokban tartott hibák száma között nagy eltérés mutatkozik. A Kék Óriás kutatói szerint hasonló jelenségről lehet beszélni, mint a jéghegyek esetében: csak a csúcsa látszik, de a felszín alatt jóval nagyobb méreteket ölt.

Gunter Ollmann, a részleg igazgatója nemrég arról írt blogjában, hogy habár az ISS kutatói több mint hétezer, a tavalyi év során nyilvánosság elé tárt biztonsági rést elemeztek, ennél jóval nagyobb az újonnan felfedezett sérülékenységek száma. Ollmann úgy véli, hogy csak 2006-ban közel 140 ezer(!) sebezhetőségre akadtak rá. Úgy jutott a fenti számra az IBM igazgatója, hogy megszámolta azokat a sérülékenységeket, amelyekről beszámoltak a szoftverfejlesztőknek, és amelyekhez jelenleg is folyik a javítás elkészítése; valamint a belsőleg, a cég által felfedezett és csendben patch-elt hibákat is számításba vette. Akkor ugrik meg jelentősen a titokban maradt sebezhetőségek száma, ha figyelembe vesszük a szerződéses biztonsági szolgáltatások (például a behatolási tesztek) által adott adatokat, nem angol nyelvű szoftverváltozatok lehetséges hibáit, illetve azokat a sérülékenységeket, amelyeket – azok egyszerűsége miatt – szégyellnek bevallani, írta az igazgató.

Ollmann megjegyezte, hogy a nulladik napi (zero-day) sebezhetőségeket többnyire komoly pénzekért adják-veszik. A szoftverfejlesztőknek ráadásul addig jó, amíg velük üzletelnek a sérülékenységet felfedezők, mert vannak olyan szervezetek is, amelyek kifejezetten ártalmas célokért vásárló ügyfeleiknek is eladják az információkat. Ez összecseng azzal a megállapítással, amiről nemrég mi is beszámoltunk.

Vannak elemzők, akik szerint az IBM igazgatója túlbecsli az ismeretlenül maradó hibák számát, például Greg Day, a McAfee brit leányvállalatának dolgozó elemzője ezen az állásponton van. A Canalys elemzővállalat egyik vezető beosztású alkalmazottja, Andy Buss azonban úgy vélte, hogy még a fent említett számmal is konzervatív becslést adott csak az IBM. Ami viszont biztos, mennyiségtől függetlenül: a jelenség létezik, és aki nagyobb védelemben akarja tudni magát, annak nem árt óvintézkedéseket tennie – például behatolásérzékelő tűzfalakat alkalmaznia.