Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 22/4/2008
Forskere har fundet en metode til automatisk at danne et angrebsprogram ud fra en sikkerhedsrettelse.Et angrebsprogram er et program, der udnytter en sårbarhed i et it-system til at angribe det. Fire amerikanske forskere har udviklet et program, der kan lave et angrebsprogram helt automatisk. Deres program skal blot kende to ting: Det program, der skal angribes, og en rettelse, der lukker den pågældende sårbarhed.
I en videnskabelig artikel beskriver de, hvorledes de har taget fem sårbarheder i forskellige Microsoft-programmer og automatisk fået dannet programmer, der kan udnytte dem. Det tager under fire minutter at danne et angrebsprogram.
Forskerne konkluderer, at den eksisterende måde at distribuere fejlrettelser på gør det let at danne angrebsprogrammer. De anbefaler, at man finder en metode, der mindsker risikoen for, at det kan lade sig gøre.
I en kommentar skriver sikkerhedsforsker Eric Rescorla, at man længe har ment, metoden var teoretisk mulig. I praksis venter han ikke, det får den store betydning: En dygtig programmør kan danne et angrebsprogram på nogle timer, hvor han med det nye system kan gøre det på få minutter. Men da der ofte går både timer og dage, fra en sikkerhedsrettelse bliver udsendt og til brugerne installerer den, har det ingen praktisk betydning.