2006 a sebezhetőségek éve

Igaz, hogy idén rengeteg biztonsági hibát fedeztek fel a kutatók, ám öröm az ürömben, hogy ezeknek csak kis részét teszik ki a magas kockázatot jelentő sérülékenységek. Mindazonáltal a szoftverlyukak számának növekvő tendenciája mellett nem lehet szó nélkül elmenni: az Internet Security Systems tavaly 5195 sebezhetőséget azonosított az egész év során – idén pedig a múlt héten már elérték az 5450-et, jelentette be az atlantai vállalat. Az ISS 2006-ra összesen hozzávetőleg 7500 hiba ismertté válását prognosztizálja 2006-ra.

Elsősorban nem a szoftverek minőségének romlása okozta a felderítések növekedését, hanem a bugvadászok és szoftverfejlesztők képességeinek javulása, melyhez nagyban hozzájárult az automatizált auditáló eszközök fejlődése. Emellett természetesen nem kétséges, hogy a szoftverek komplexebbé válása is felerősítette a tendenciát, hiszen minél összetettebb egy alkalmazás, annál nagyobb a készítése során fellépő hibázás lehetősége. Az atlantai cég szerint a bejelentett, ismertté vált sérülékenységek száma a 2005-ös adatokhoz viszonyítva mintegy 41 százalékos emelkedést hoz majd. Ez majdnem megegyezik a tavalyi évben mért értékkel: a 2004-es állapothoz képest tavaly 37 százalékkal növekedett a biztonsági lyukak száma.

Nézzük kicsit közelebbről, hogy milyen veszélyt is jelentenek ezek a sebezhetőségek! Az ISS szerint a kritikus vagy magas kockázatot jelentő bugok az összes ismertté vált sérülékenységhez viszonyított aránya tovább csökkent. Míg 2005-ben a felderített esetek 28,4 százaléka jelentett komoly fenyegetést, idén a hibáknak már „csak” 17 százaléka soroltatott ebbe a kategóriába.

Az ISS állítását az ipar más jeles képviselőinek statisztikái is alátámasztják. Az Idefense és az Eeye Digital Security szintén a sebezhetőségek mennyiségének növekedését tapasztalta; a Microsoft pedig a tavalyi évhez képest jóval több „security bulletin”-t tett közzé. Míg 2005-ben 45 biztonsági beszámolót tárt nyilvánosság elé Redmond, idén csak az első háromnegyed évben 55-nél járunk. A Symantec Internet Security Threat Report (erről nemsokára bővebben) pedig 2249 új sérülékenységről számolt be 2006 első felében – ez 18 százalékos emelkedés a 2005 második félévében mért értékekhez képest.