Overdrevne tall i fersk sårbarhetsoversikt

US-CERT anklages for skandaløs omgang med statistikk i en sårbarhetsoversikt for 2005.

US-CERT publiserte, som digi.no meldte tidligere denne uken, en oversikt over alle programvaresårbarhetene som var blitt kjent i 2005. Ifølge US-CERT ble det i fjor oppdaget 813 sårbarheter som kun var relatert til Windows og Windows-programvare, 2328 sårbarheter som kun var relatert til en eller annen Mac OS X eller en Linux- eller Unix--plattform eller tilhørende programvare, samt 2057 sårbarheter som berørte flere av de nevnte plattformene eller helt andre plattformer.

I etterkant har US-CERT blitt kritisert for å publisere statistikk som ikke gir noen som helst form for nytte - kanskje bortsett fra totaltallet av sårbarheter. Ikke minst har brukerne av plattformene i gruppen Linux/Unix/Mac OS X måttet forklare sarkastiske Windows-brukere at ikke alle sårbarhetene gjaldt "deres" operativsystem, men at tallet forteller noe om antallet sårbarheter i Mac OS X, alle Unix-varianter og i alle Linux-distribusjonene. Sistnevnte finnes det et tresifret antall av. Dette stod i og for seg ganske klart i US-CERTs melding, men etter alt å dømme, ikke klart nok.

Hva det samlede antallet sårbarheter for disse operativsystemene egentlig er, er lite interessant for de fleste. Tallene skulle i det minste ha vært stykket opp i tre - Linux, Unix og Mac OS X, for å gi noen mening.

    Les også:

Men det har også vist seg at totaltallene over antallet sårbarheter er klart overdrevne. Som det forklares i dette blogginnlegget, er mange av de rapportene US-CERT har regnet for å være separate sårbarheter, kun oppdaterte rapporter om tidligere kjente sikkerhetshull. I et Slashdot.org-innlegg det vises til i blogginnlegget, har en person regnet på nytt, ved å unnlate å ta med alle rapportene som har ordet "update" i navnet.

Da ble resultatet et helt annet.

Tallet for antallet sårbarheter regnet under Windows, ble redusert fra 813 til 671. Det relativt store tallet Unix/Linux/Mac OS X-sårbarheter ble redusert fra 2328 til 891, men tallet for andre sårbarheter ble redusert fra 2057 til 1512. Totaltallet for sårbarheter i 2005 var dermed 3074, ikke 5198, som US-CERT har rapportert.

Til toppen