Zwakheden in software zullen dit jaar voor nog veel meer ellende zorgen

Het staartje van Slammer

Het aantal gedocumenteerde gaten in softwaresystemen is het afgelopen jaar spectaculair gegroeid. Deze informatie vormt een dankbare bron voor schrijvers van virussen, wormen en ander ongedierte dat op internet wordt losgelaten. Patches zijn meestal op tijd voorhanden, maar installatie ervan duurt in de praktijk veel langer.

Wormen Het aantal meldingen van kwetsbaarheden in softwaresystemen is het afgelopen halfjaar gegroeid met ruim 80 procent tot ruim 2500 meldingen. Dit meldt Symantec in zijn 'Internet security threat report', dat opgebouwd is uit eigen cijfermateriaal en gegevens van het vorig jaar overgenomen netwerkbeveiligingsbedrijf Riptech en het in aanvalanalyses gespecialiseerde Securityfocus. De populariteit van wormen groeit. Het merendeel van de vier miljard waargenomen incidenten bestaat uit deze aanvallen, die zichzelf via bekende gaten in systemen razendsnel over internet en daaraan gekoppelde netwerken verspreiden. De rest zijn pogingen om informatie over netwerksystemen in te winnen of daarop in te breken.

Ruim 2500 nieuwe zwakheden in softwaresystemen heeft Symantec in 2002 geturfd. Een probleem met de bufferoverflow van SQL-servers zorgde er in het laatste weekeinde van januari voor dat de Slammer-worm zich in het geheugen van duizenden databasesystemen kon nestelen. Een hoofdreden voor de grote groei van de waargenomen beveiligingsgaten is volgens Tom Welling, technical manager bij Symantec Nederland, het feit dat fabrikanten kwetsbaarheden consequenter rapporteren en tegengaan door een aangepaste versie aan te bieden, ook al blijft beveiliging een sluitpost bij de ontwikkeling van software.
Een andere factor die Welling aanwijst is dat webapplicaties in toenemende mate voor problemen zorgen. Steeds meer organisaties maken gebruik van formulieren of online bestellingen die op een of andere manier met systemen in het achterliggende bedrijfsnetwerk communiceren. Ook al is het bedrijfsnetwerk hermetisch afgegrendeld met firewalls, wormen als SQL-Slammer weten toch via kwetsbare plekken door de mazen van het net te glippen en bedrijfssystemen te bereiken om ook daar hun vernietigende werk te doen.

Wormen populairder

Een belangrijk ander punt is dat wormen steeds meer belangstelling krijgen van hackers en mensen die daarvoor willen doorgaan. In zeer korte tijd zijn grote netwerksystemen te beïnvloeden. Daarmee maken de makers meer indruk dan met het zoveelste virus dat zijn kwaad op het mailsysteem van Microsoft richt en zonder problemen afgevangen wordt door antivirus-software. Slammer bijvoorbeeld infecteerde in twee uur tweehonderdduizend systemen en zorgde een dag lang voor vertragingen op internet.
Ook ligt de drempel voor het maken en loslaten van wormen steeds lager. De gaten in systemen zijn deels zonder code te misbruiken, en de soms benodigde hulpmiddelen zijn wijd verspreid. De grote publiciteit die een worm als Slammer krijgt, doet natuurlijk ook het nodige werk. Het wachten is dan ook volgens sommige experts op varianten van het relatief onschadelijke Slammer die wel grote schade aanrichten. Er zijn genoeg voorbeelden van wormen, waarvan de gedaante voortdurend wisselt en de uitwerking steeds schadelijker wordt.
De makers van wormen hebben genoeg tijd om met deze aanpassingen te komen. De beheerders van ict-omgevingen houden het tempo van de aanpassingen niet bij. In veel gevallen is dat geen moedwil en misverstand. Opwaarderingcycli van databasesystemen nemen weken in beslag. Andere beheerafdelingen krijgen simpelweg de middelen niet om patches te installeren. Een variant op de SQL-worm zal dan ook zeker kans hebben schade aan te richten, alleen al omdat die ook zijn werk doet in systemen die op softwarecode van SQL-server zijn gebaseerd.

 
Sytse van der Schaaf