Aantal lekken in software is gigantisch

Daar komen ook de lekken bij die softwaremakers intern gevonden hebben en in stilte hebben gepatcht, de lekken die verkocht worden door criminelen om te gebruiken in malware, lekken die gevonden worden in maatwerk, maar ook fouten in niet-Engelstalige software, die niet herkend worden door analisten omdat ze de desbetreffende taal niet machtig zijn.
Toralv Dirro, onderzoeker bij beveiliger McAfee, is ervan overtuigd dat er nog veel meer fouten in software bestaan dan Ollman heeft berekend. “Er is zoveel software geschreven, bijvoorbeeld door hobbyisten, die toch zakelijk gebruikt wordt. Die software is zelden goed getest. Ook nieuwe technieken als VoIP leveren veel fouten op.”
Forrester-analist Thomas Raschke vindt de berekening van Ollman geloofwaardig. “Wij tellen die fouten niet, maar bedrijven als IBM meten in hun netwerken met sensors welke kwetsbaarheden mogelijk bedreigend zijn voor hun klanten. Zo komen ze heel veel zwakke plekken tegen.” Dat softwaremakers het gros van de fouten niet bekendmaken, vindt hij begrijpelijk. “Maak je ze bekend, dan trek je ook de aandacht van hackers, die er dan misbruik van zullen maken.” Dirro wijst er ook op dat er nogal wat tijd kan zitten tussen de melding van een fout en de productie van een patch.
Volgens Raschke is er zeker geen sprake van kwade wil aan de kant van de leveranciers, maar is de IT-industrie juist steeds volwassener in haar omgang met beveiliging. “Steeds meer softwaremakers laten beveiliging zwaarder wegen dan nieuwe functionaliteit zo snel mogelijk uit te kunnen brengen. Microsoft bijvoorbeeld vertraagt bepaalde processen als dat nodig is om de software veiliger te maken. Dat is een teken van volwassenheid. Andere bedrijfssectoren als de vliegtuig- en de autoindustrie doen dat al jaren. Die maken vergelijkbare afwegingen. Auto’s zouden ook nog veel veiliger kunnen zijn, maar er zijn weinig mensen die in een tank willen rondrijden. Zo’n balans moeten de softwaremakers ook vinden.”
Raschke is ervan overtuigd dat het aantal fouten in software de komende jaren nog fors zal toenemen. “Software wordt steeds complexer. De industrie werkt hard aan interoperabiliteit, maar de zwakke plekken zullen steeds meer te vinden zijn op de ‘verbindingspunten’ van applicaties. Daarnaast blijven er nieuwe, ‘coole’ producten op de markt komen die voor beveiligingsproblemen zullen zorgen, zoals Skype en VoIP.”
Dirro stelt bovendien dat criminelen veel geld overhebben voor zwakke plekken. “Ze bieden er al snel 100.000 dollar voor. Daardoor is het veel interessanter om een lek te verkopen aan criminelen dan aan bijvoorbeeld Microsoft, dat niets biedt behalve een naamsvermelding. Een beveiliger als iDefense geeft wel geld voor een lek, maar veel minder dan de criminelen.”