Undersøgelse: Det kan svare sig at holde ekstremt kritiske sårbarheder hemmelige

Rand Corporation har set på database over 200 nuldags-sårbarheder, hvoraf 40 endnu ikke er offentliggjorte.

Oven på de seneste læk fra Wikileaks, der offentliggjorde en lang række af CIA-angrebsmetoder, har forskere fra Rand Corporation undersøgt, hvor stor chancen er for, at andre opdager den samme sårbarhed som en selv.

Læs også: Wikileaks: CIA udviklede malware til rumaflytning med mikrofonen i Samsung TV

Og den er ikke ret stor, skriver digi.no.

Studiet er baseret på en database over 200 nuldags-sårbarheder, hvoraf 40 endnu ikke er offentliggjorte. Hvor Rand Corporation har datasættet fra, fremgår ikke.

Læs også: Rapport: Internetsikkerheden er bedre, end du tror

Undersøgelsen viser, at kollisionsraten, altså chancen for, at to personer opdager den samme sårbarhed, er på 5,7 procents chance/risiko per år. Det betyder, at der for nogle organisationer kan være god grund til at tie om sårbarhederne, skriver Rand Corporation i en pressemeddelelse:

»Den lange tidslinje og lave kollisionsrate betyder, at graden af beskyttelse, man opnår ved at afsløre en sårbarhed, kan være beskeden, og at det at tie om eller gemme sårbarheden kan være et rimeligt alternativ for aktører, som både ønsker at forsvare egne systemer og potentielt kunne udnytte sårbarheder i andres systemer.«

Læs også: DKCert advarer: Alvorlig nul-dages sårbarhed i Seagate disksystemer

Derimod vil selskaber, som lever af at lave penetrationstests og sikkerhed, generelt have gavn af at offentliggøre sårbarhederne.

»Men helt generelt er det med at afgøre, om en sårbarhed skal offentliggøres eller ej, et spørgsmål om afvejninger, specielt for myndigheder,« skriver Rand Corporation.

Læs også: Sikkerhedsfolk: Stuxnet har åbnet Pandoras æske

Ifølge studiet vil 25 procent af nuldags-sårbarhederne have en levetid på under 1,5 år, før hullerne lappes - herunder sårbarheder, der bliver solgt til tredjeparter, da de oftest lever i kortere tid. Alligevel vil der gå mere end 9,5 år, før mange sårbarheder opdages.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Sune Marcher

Vedrørende det at holde sårbarheder hemmelige, vil jeg mene at dette "bare" får producenten til at sove på laurbærren og ikke løse problemet.

Husk på at rapporten kommer oven i en diskussion om "Ville vores alle sammens sikkerhed være bedre hvis CIA/NSA/whatever offentliggjorde de exploits de finder, i stedet for at holde dem for sig selv".

Hvis 5.7% risikoen holder, kan man måske godt argumentere for at det er bedre at de holder offensive kort på hånden... men det er der naturligvis delte meninger om :-)

  • 0
  • 0
Bjarne Nielsen

Hvis 5.7% risikoen holder, kan man måske godt argumentere for at det er bedre at de holder offensive kort på hånden... men det er der naturligvis delte meninger om :-)

Jeg fornemmer at man bekvemt ignorer mange års erfaringer fra bl.a. spilteori (det er ikke mit felt, så jeg er med vilje "uld-i-mund"). Så ja, man bør nok være skeptisk overfor den lidt for nemme konklusion.

  • 0
  • 0
Log ind eller Opret konto for at kommentere