IBM: turva-aukkojen todellisuus on järkyttävä
1
IBM:n ISS-turvayksikön johtaja kertoo, että julkisesti ilmoitetut turva-aukot ovat vain jäävuoren huippu. Todellisuudessa laitteista ja ohjelmistoista löytyisi jopa 20-kertainen määrä turvareikiä. Canalysin analyytikko kommentoi, että hämmästyttävä luku on todennäköisesti vielä paljon suurempi.
Asiasta kirjoittaa IBM:n Internet Security Systems -yksikön johtoon kuuluva Gunter Ollmann yhtiön blogissa. Hän myöntää, että julkisesti tuntemattomien turva-aukkojen määrän arviointi on vaikeaa. Mutta Ollman esittelee oman eriteltyihin laskelmiin perustuvan arvionsa.
7000 julkista aukkoa - todellisuudessa 140 000
Luvut ovat hämmästyttäviä. Ollmannin mukaan IBM:n ISS tutki julkisia turva-aukkoja viime vuonna noin 7000 kappaletta. Mutta tuntemattomia aukkoja on löydetty samaan aikaan todennäköisesti noin 140 000, eli 20-kertainen määrä.
Ollmannin mukaan "kolossaalinen ero" selittyy sillä, että valtaosa aukoista paikataan ilman julkisia ilmoituksia. Ollmannin laskelmissa on kuusi eri ryhmää, joita ei näy julkisissa turva-aukkolistoissa.
Osan turva-aukoista yritykset löytävät ja paikkaavat itse. Mutta ylivoimaisesti suurin selitys erolle löytyy ulkopuolisten turvakonsulttien tai tietoturvatutkijoiden löydöksistä. Ollmannin mukaan tällaisia henkilöitä on maailmassa noin 5000, ja yritykset palkkaavat heitä etsimään koodista turva-aukkoja. Ollman laskee heidän löytämiä aukkoja hyvin konservatiivisesti, mutta siltikin luku nousee 125 000 vuodessa.
Rikollisille riittää nollapäivämateriaalia
Uutispalvelu Zdnet kysyi mielipidettä Ollmannin arvioista tutkimusyhtiö Canalysin analyytikolta Andy Bussilta. Hänen mukaansa Ollmannin laskelmat olivat varsin konservatiivisia. Buss arvioi, että turva-aukkojen määrä on todennäköisesti vieläkin korkeampi.
Turva-aukkojen suuri määrä ei normaalitilanteessa aiheuta vaaraa käyttäjille. Mutta se kertoo siitä, miten helppoa rikollisten on löytää ohjelmistoista aikaisemmin tuntemattomia reikiä, ja rakentaa niistä vaarallisia nollapäivähyökkäyksiä.
