Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen ITinnovation om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Sidste år blev der fundet 5.900 sikkerhedshuller i programmer. Ti år tidligere var tallet 171.
På ti år er mængden af sårbarheder i software altså mangedoblet. Men det betyder paradoksalt nok ikke, at it-systemerne er blevet mere usikre – måske tværtimod.
Forklaringen er, at tallene dækker over de sårbarheder, som det amerikanske CERT/CC (Computer Emergency Response Team/Coordination Center) har registreret. Hvis en sårbarhed ikke er blevet offentligt kendt, optræder den derfor ikke i statistikken.
En sårbarhed er en fejl i et it-system, som angribere kan udnytte. Typisk opstår sårbarheder, fordi en programmør glemmer at indføje et sikkerhedstjek. Resultatet kan blive, at hackere kan komme ind i systemer, hvor de ikke burde have adgang.
Blev holdt skjult
For ti år siden var der ikke megen opmærksomhed om sårbarheder. Og mange it-leverandørers holdning var, at hvad kunderne ikke ved, har de ikke ondt af.
Derfor blev mange sikkerhedshuller holdt hemmelige. Når leverandøren udsendte en ny version af programmet, blev sårbarhederne i al stilfærdighed lukket ved samme lejlighed. Atter andre sikkerhedshuller blev sandsynligvis aldrig opdaget.
Den store stigning i mængden af registrerede sårbarheder viser, at opmærksomheden på sikkerhed er øget væsentligt siden 1995. Der er vokset en hel underskov af sikkerhedsforskere op. De specialiserer sig i at finde sårbarheder i andres programmer.
Moraldiskussion
Dermed er der også kommet en moralsk diskussion: Hvornår er det forsvarligt at offentliggøre en sårbarhed, man har opdaget?
Nogle sikkerhedsforskere prædiker total åbenhed: Når en sårbarhed er opdaget, skal den straks offentliggøres. På den måde kan alle gå i gang med at træffe deres forholdsregler: Producenten af programmet kan begynde at rette sit produkt, mens brugerne kan tage det ud af produktion eller på anden måde beskytte sig mod angreb, der udnytter sårbarheden.
Et vigtigt argument på denne side af debatten lyder, at det er meget tænkeligt, at underverdenen allerede kender sårbarheden. Hvis den ikke offentliggøres, ved ofrene ikke, at deres systemer er sårbare.
De fleste it-leverandører mener derimod, at når en sikkerhedsforsker finder en ny sårbarhed, skal han først rapportere den til producenten. Først når producenten har haft tid til at rette fejlen, skal den offentliggøres. Argumentet her lyder, at når sårbarheden offentliggøres, vil der samtidig være en løsning på problemet.
Nogen konsensus er der ikke kommet på området. Men vi ser stadig flere eksempler på sikkerhedsrettelser fra Microsoft, hvor sårbarheden først bliver offentliggjort, efter at Microsoft har haft lejlighed til at udvikle en rettelse til den.
Oprindelig bragt i Børsen ITinnovation den 2. maj 2006