Het aantal gedocumenteerde gaten in softwaresystemen is het afgelopen jaar spectaculair gegroeid. Patches zijn meestal op tijd voorhanden, maar installatie ervan duurt in de praktijk veel langer.
Ruim 2500 nieuwe zwakheden in softwaresystemen heeft Symantec in 2002 geturfd. Dit meldt het bedrijf in zijn ‘Internet security threat report’, dat opgebouwd is uit eigen cijfermateriaal en gegevens van het vorig jaar overgenomen netwerkbeveiligingsbedrijf Riptech en het in aanvalanalyses gespecialiseerde Securityfocus.
Een hoofdreden voor de grote groei van de waargenomen beveiligingsgaten is volgens Tom Welling, technical manager bij Symantec Nederland, het feit dat fabrikanten kwetsbaarheden consequenter rapporteren en tegengaan door een aangepaste versie aan te bieden, ook al blijft beveiliging een sluitpost bij de ontwikkeling van software. Een andere factor die Welling aanwijst is dat webapplicaties in toenemende mate voor problemen zorgen.
Symantec ziet de populariteit van wormen groeien. Het merendeel van de 1,6 miljoen waargenomen incidenten bestaat uit deze aanvallen, die zichzelf via bekende gaten in systemen razendsnel over internet en daaraan gekoppelde netwerken verspreiden. Daarmee maken de makers meer indruk dan met het zoveelste virus dat zonder problemen afgevangen wordt door antivirus-software. SQL-Slammer bijvoorbeeld infecteerde in twee uur tweehonderdduizend systemen en zorgde een dag lang voor vertragingen op internet.
Ook ligt de drempel voor het maken en loslaten van wormen steeds lager. De gaten in systemen zijn deels zonder code te misbruiken, en de soms benodigde hulpmiddelen zijn wijd verspreid. De grote publiciteit die een worm als Slammer krijgt, doet natuurlijk ook het nodige werk. Het wachten is dan ook volgens sommige experts op varianten van het relatief onschadelijke Slammer die wel grote schade aanrichten. Er zijn genoeg voorbeelden van wormen, waarvan de gedaante voortdurend wisselt en de uitwerking steeds schadelijker wordt.
De makers van wormen hebben genoeg tijd om met deze aanpassingen te komen. De beheerders van ict-omgevingen houden het tempo van de aanpassingen niet bij. In veel gevallen is dat geen moedwil en misverstand. Opwaarderingscycli van databasesystemen nemen weken in beslag. Andere beheerafdelingen krijgen simpelweg de middelen niet om patches te installeren. Een variant op de SQL-worm zal dan ook zeker kans hebben schade aan te richten, alleen al omdat die ook zijn werk doet in systemen die op softwarecode van SQL-server zijn gebaseerd.
Kijk voor een uitgebreid artikel in deComputable van 7 februari 2003.
Twee redenen die vaak vergeten worden:
Ten eerste IT beveiligingsbedrijven die het aanmelden van gaten in een marketingstrategie hebben – er zoeken meer mensen naar gaten. Met de dip in de markt is er ook meer tijd voor – bankzitters genoeg.
Ten tweede: De toename van het aantal linux-distro’s, die elk hun eigen updates melden – een gat in een gangbaar Linux onderdeel, zit in vele distributies, en telt dus als veel verschillende gaten.
Wat ook meespeelt is dat de overname van BugTraq door Symantec heeft geleid tot het in grote aantal posten van gaten op de concurrerende lijsten, omdat velen censuur vrezen en/of signaleren.