Sikkerhetshull
Fra Wikipedia, den frie encyklopedi.
 | Hold distribusjonen din oppdatert i henhold til de siste programvareoppdateringene ved hjelp av pakkestyreren din! |
Det skal mye til for at et program ikke skal være utsatt for sikkerhetshull. Det vil så godt som alltid være mulig å bruke et program på måter programmereren ikke har tenkt på eller tatt høyde for. Sikkerhetshull kan være logiske feil i koden, men det kan like ofte være feilaktig dimensjonering av minneplass for innkommende data, eller dårlig sjekking av innkommende data. På den måten kan en få programmet til å gjøre ting som ikke var meningen, dvs. at et program med sikkerhetshull i praksis kan bli "lurt" til å utføre tilfeldige kommandoer - med samme brukerrettigheter som det opprinnelige. Hvis det aktuelle programmet kjøres av root vil det ha fulle rettigheter på et *nix-system.
Har man tilgang til et programs kildekode er det lett for dyktige personer å finne eventuelle sikkerhetshull. Det er derfor både fordeler og ulemper med åpen kildekode: Samtidig som det er lett for ondsinnede personer å finne sårbarheter, er miljøet rundt åpen kildekode innstilt på raskt å utveksle informasjon om hull man oppdager. Hvis en sårbarhet blir offentliggjort vil det som regel raskt bli publisert en patch som fikser problemet, gjerne fra andre enn programmets utviklere. Enkelte mener at programmer hvor ikke kildekoden er tilgjengelig er sikrere, men empirien viser at det gjerne tar lenger tid å fjerne oppdagede sårbarheter i slik programvare.
Et godt og aktuelt eksempel på både utvikling og vedlikehold av åpen kildekode-programvare, er nettleseren Mozilla Firefox. Da et sikkerhetshull ble påvist i en tidlig versjon, ble problemet løst og en ny versjon var ute påfølgende dag. Sikkerhetshull som blir påvist i Firefox' konkurrent Internet Explorer, som er lukket programvare, blir sjelden fikset på under en uke - gjennomsnittet er 16 dager. Enkelte hull har tatt opptil seks måneder å tette. (Denne linken (http://csoinformer.com/research/solve.shtml) sammenlikner tiden det tar Microsoft, RedHat og Sun på å tette sikkerhetshull).
For å holde seg oppdatert på hva slags sikkerhetshull som oppdages og hvordan man skal beskytte seg mot dem, lønner det seg å følge med på e-postlister som f.eks. BugTraq (http://www.securityfocus.com/).
Eksterne ressurser
- SecurityFocus (http://www.securityfocus.com/)
- SANS (http://www.sans.org/)
- Internet Storm Center (http://isc.sans.org/)
- US Computer Emergency Readiness Team (http://www.us-cert.gov/)
- IT- SikkerhetsForum (http://www.isf.no/) (norsk)
