Resultatene av en ny studie om Internett-sikkerhet ble lagt fram under sikkerhetskonferansen Black Hat Briefings i Las Vegas denne uken.
Undersøkelsen viser at gamle ormen som Code Red og SQL Slammer stadig gjør comeback, til tross for at hullene de utnytter er godt dokumenterte og tettet fra leverandørens side for lenge siden.
Les også:
- [11.06.2004] Kritisk sårbarhet i Oracle-applikasjoner
- [21.08.2003] Larvik har sikkerhetssertifisert sine IT-systemer
- [31.07.2003] USA spår storangrep på Windows-maskiner
- [25.07.2003] Flere sikkerhetshull i Oracle-løsninger
- [15.07.2003] Onsdag er hackernes yndlingsdag
- [13.03.2003] CodeRed-ormen tilbake enda en gang
- [05.02.2003] Slammer det raskeste virus hittil
- Det er noe som foregår som bringer sårbarheter tilbake i live, sier Gerhard Eschelbeck, teknisk sjef for sårbarhetskontrollselskapet Qualys, til News.com.
- Hovedteorien går ut på at selskaper fortsetter å installere systemer som inkluderer utdatert programvare.
Undersøkelsen som omfatter 1,5 millioner skanninger som Qualys har gjort de siste 18 månedene, understreker at kundene må bli langt flinkere til å oppdatere systemene.
Én interessant oppdagelse er det at jo mer alvorlig en sårbarhet er, desto raskere blir den tettet av selskapene. Selskapene bruker derimot opptil 60 dager lenger tid på å rette feil som anses som mindre alvorlige. Innen denne tiden vil det i 80 prosent av tilfellene ha blitt utviklet programvare som utnytter feilene.
Men også programvareprodusentene får på pukkelen av sikkerhetsekspertene, siden de ikke synes å være i stand til å fjerne de mest alvorlige feilene fra programvaren.
Mary Ann Davidson, sikkerhetssjef hos Oracle, sier til News.com at hennes selskap tar kvaliteten til programvaren alvorlig.
- Hvis du som programvareselskap tar omdømmet ditt alvorlig, har du all grunn til å behandle dine kunders systemer som om de var dine egne, sier hun, og mener at bedre kvalitet vil kunne oppnås ved at det stilles krav til offentlige innkjøpere om å velge sertifisert programvare.
- Hvis myndigheten virkelig vil kreve sikker programvare, vil industrien måtte gjøre endringer for å kunne tilby den, sier Davidson, som mener at også den private sektoren burde stille tilsvarende krav.
