Z raportu opublikowanego przez IBM-owskie ISS X-Force wynika, że w 2007 roku liczba wykrytych luk w oprogramowaniu zmniejszyła się po raz pierwszy od siedmiu lat. Nawet jednak specjaliści z IBM nie są zgodni co do tego, dlaczego tak się stało.
Chris Rouland, dyrektor ds. technicznych w ISS mówi, że wiemy o mniejszej liczbie luk, gdyż powstał czarny rynek, na którym handluje się informacjami o nich. Wielu specjalistów woli sprzedać dane o dziurze – a mogą być one warte nawet 100000 dolarów – niż informować o niej producenta wadliwego oprogramowania.
Z kolei Gunter Ollmann, dyrektor ds. strategii bezpieczeństwa ISS uważa, że producenci oprogramowania wdrożyli lepsze procedury tworzenia i pisania programów, dzięki czemu są one bezpieczniejsze. Ponadto producenci zwykle zlecają testowanie swoich programów setkom niezależnych ekspertów i znalezione dziury mogą być załatane przed premierą programu. Bardzo często informacja o takich lukach nie jest upubliczniania.
Ogólna liczba znalezionych luk spadła w 2007 roku o 5.4% i wyniosła 6437. Gwałtownie, bo aż o 28%, wzrosła liczba luk krytycznych. W produktach wielkich software’owych koncernów – Microsoftu, Apple, Oracle’a, IBM i Cisco – znaleziono 14% z ogólnej liczby luk.
X-Force informuje, że poważny problem stanowi niedostateczne łatanie znalezionych dziur. Twórcy programów poprawili jedynie połowę znalezionych luk. Tymczasem, jak czytamy w raporcie X-Force, aż 90% dziur można wykorzystać zdalnie.
Źródło: ArcaBit
