Turva-aukkojen suma rikkoo ennätyksiä
0
Vaikka sovellustoimittajat kiinnittävät entistä parempaa huomiota tietoturvaan, on tänä vuonna jo nyt rikottu kaikki aikaisemmat ennätykset turva-aukkojen määrässä. Tietoturvatutkijoiden mukaan tähän on kuitenkin looginen selitys.
Esimerkiksi IBM:n ostama tietoturvayhtiö Internet Security Systemsin laskelmien mukaan viime vuonna julkaistiin yhteensä 5 195 turva-aukkoa, ja tänä vuonna ollaan jo lokakuussa lukemissa 5 450. Tällä menolla vuoden lopussa turva-aukkoja on löytynyt noin 7 500, eli kasvua olisi noin reilusti yli 40 prosenttia.
Muut tietoturvayhtiöt ovat päätyneet samansuuntaisiin lukemiin, vaikkakin aukkojen lukumäärän laskutapa vaihtelee. Symantecin mukaan vuoden ensimmäisellä puoliskolla nähtiin 2 249 aukkoa, mikä on 18 prosenttia enemmän kuin viime vuonna samaan aikaan. Microsoft on tänä vuonna julkaissut 55 turvapäivityspakettia, kun koko viime vuonna niitä julkaistiin 45.
Aukkoja löydetään paremmin, ja koodia enemmän
ISS arvioi, että trendin yksi selitys on se, että sekä ohjelmavalmistajat että ulkopuoliset turva-aukkojen etsijät ovat tulleet taitavammiksi. Haavoittuvuuksien etsimiseen on otettu käyttöön myös erilaisia automaattisia työkaluja. Samalla ohjelmistojen monimutkaisuus, ja näin ollen myös koodimäärä, on suuressa kasvussa, eli turva-aukoille on enemmän "tilaa".
Haasteena onkin nyt se, että kasvanut ohjelmointitaito ja automaattisten työkalujen käyttö alkaisivat vaikuttaa uusien ohjelmien laatuun jo ennen niiden valmistumista. Toistaiseksi tällaista kehitystä ei ole juuri näkynyt. Esimerkiksi Microsoftin Windows Vista voisi näyttää, miten paljon kehitystä on tapahtunut, ja löytyykö siitä vähemmän turva-aukkoja uutena kuin esimerkiksi Windows XP:stä.
ISS:n mukaan oikeastaan ainoa positiivinen asia turva-aukkokehityksessä on se, että kriittisten aukkojen suhteellinen määrä on laskenut viime vuoden 28 prosentista tämän vuoden 17 prosenttiin, mutta koska aukkoja yleensä on aikaisempaa enemmän, ei kriittisten aukkojen määrä juuri kokonaisuutena laske.
