40% flere sårbarheder i 2014 end i 2013

Den danske it-sikkerhedsspecialist Secunia kigger tilbage på 2014, og det så ikke for godt ud med it-sikkerheden

it-sikkerhed

Det danske it-sikkerhedsfirma Secunia har kigget lidt tilbage på 2014 ret sikkerhedsmæssigt. Specielt har de kigget på de tre måneder i 2014, hvor vi så det største antal af sårbarheder i nyere tid, nemlig august, september og oktober.

Tech-Test har fået lov til at kigge i rapporten, og vi iler med at bringe informationerne videre til vores læsere.

Inden skal du dog lige have tre spændende fakta, som Secunia har fundet ud af:

Info

Antallet af nye sårbarheder i top 20 produkter i de tre måneder:

1,841

Info

Producenten med flest sårbare produkter i de tre måneder

IBM

Info

Produktet med flest sårbarheder:

Google Chrome

Sådan så 2014 ud sikkerhedsmæssigt

Sårbarheder rammer ikke kun Windows, Java og Flash, selvom de får hovedparten af opmærksomheden. Secunia gør i deres rapport, Vulnerability Update, opmærksom på at alle systemer har sårbarheder, men at vi bare primært hører om de højt profilerede.

it-sikkerhed

Sårbarhederne har haft et godt år i 2014, nok var vi flere der havde en idé om at det var lidt værre end i 2013, men her på redaktionen blev vi overraskede over, at Secunia har fundet ud af, at antallet af sårbarheder i 2014 steg med 40%, hvormed det samlede antal nåede på på 1.841.

And while many of them had patches available on the day of disclosure, a lot of them did not.

Secunia Vulnerability Update No. 1

Sårbarhederne blev fundet i en lang række forskellige produkter brugt i virksomheder. Om sårbarhederne udgør en trussel mod din virksomhed, kan Secunia ikke sige noget om – det handler om, hvordan du bruger dine programmer og it-systemer.

Sårbarheden ingen opdagede

I august var der ni sårbarheder i Open SSL, ikke noget som kan betragtes som kritisk eller problematisk under normale omstændigheder – problemet er blot, at det ikke er almindelige omstændigheder.

Det situationen handler om, er det som Secunia kalder for “Open SSL Take 3,” hvilket vi vender tilbage til lige om et øjeblik.

Først skal vi lige kigge på de tre store sårbarheder vi så i Open SSL i 2014.

  1. Heartbleed/OpenSSL
  2. Shellshock/Bashbug
  3. POODLE

De to første sårbarheder fik en imponerende gang mediedækning, og det var godt. For den megen omtale betød også at systemerne blev opdateret.

Heartbleed

Da Heartbleed ramte, havde 100 producenter en opdatering klar til over 600 produkter i løbet af de første 40 dage. Det samme så vi da Shellshock ramte os – 600 produkter blev opdateret i løbet af 40 dage, og i de næste par uger, blev yderligere 200 produkter identificeret som sårbare.

Så langt så godt, medierne var over udviklingen og producenterne havde travlt med at opdatere systemerne, så de ikke endte på forsiden af verdens medier. Men da POODLE ramte var der radiotavshed.

 

Medierne havde mistet interessen, og konsekvensen var tydelig. Mindre end 20 producenter tog sig tid til at opdatere og patche omkring 50 produkter.

Consequently, not only are there products that are vulnerable and unpatched because of “OpenSSL Take 3”, but they are also undisclosed. And that is really bad!

Secunia Vulnerability Update No. 1

IBMs produkter fulde af sårbarheder

IBMs produkter er, som alle, sårbare. I 2013 kunne Secunia konstatere, at der var 4.000 sårbarheder i IBM-produkter, hvilket betød at IBM-produkter stod for 25% af alle de sårbarheder der blev identificeret i 2013.

Sårbarheder

I følge Secunia har intet ændret sig i 2014. IBM har stadig mange produkter liggende i top 20, en position der i høj grad skyldes at IBM ynder at bundle deres produkter med software fra tredjepart der meget ofte har sårbare biblioteker så som Java og OpenSSL.

Det betyder, at hver gang der findes en enkelt sårbarhed, så skal de tilhørende produkter opdateres. Først af IBM og senere af slutbrugerne.

Anyone running IBM products knows that in the weeks and months following an Oracle Patch Day, they need to get busy patching their IBM applications. All in all, a very time consuming process.

Secunia Vulnerability Update No. 1

Læs også:

Sådan sikrer du dig online til sommerferien Hører du til dem der, som så mange af os, ikke kan lade være med at gå online i sommerferien. Så hører du nok også til dem der har deres smartphone, t...
Sikkerhedsekspert hacket John McAfee er et kendt ansigt og navn i sikkerhedsbranchen. Han var en af pionererne indenfor it-sikkerhed, og har altid haft skarpe ord klar når det...

Del artiklen på

Om Lars Bennetzen (1601 Articles)
Lars Bennetzen har været it- og gadget-journalist siden 1992. Han startede som redaktør på det nu hedengangne it-blad, PC World, og arbejdede efterfølgende som redaktør på ugebladet Ingeniøren. Derefter gik turen til Aller, hvor han arbejdede som it-redaktør på blade som Jern- og Maskinindustrien, Procesteknik og Ugens Erhverv. I 2006 blev Lars Chefredaktør på Alt om DATA, og bestyrede det gode gamle it-blad gennem de næste 6 år. I 2012 blev Lars selvstændig og stiftede firmaet Blackbelt Communications og i 2015 startede han Tech-Test.