Svært at håndtere rettelser

Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

En stadig strøm af rettelser af sikkerhedshuller i software er en udfordring for it-afdelingerne.

85 sikkerhedshuller i Oracle-software. 24 huller i Weblogic fra BEA. 14 sikkerhedshuller i Microsoft-programmer. Alt sammen inden for den sidste måned.

Umiddelbart ser det ud til, at det er galt fat med it-sikkerheden. Men tallene er i virkeligheden udtryk for det modsatte: Der er nemlig løsninger på alle de sikkerhedsproblemer, de afdækker. Producenterne offentliggør hullerne samtidig med programrettelser, der lukker dem.

Når Oracle kommer med rettelser til 85 sikkerhedshuller på en gang, skyldes det, at firmaet har valgt at begrænse udsendelsen af rettelser til fire gange om året. På samme måde kommer Microsoft kun med rettelser en gang om måneden. Det skyldes, at softwarehusene forsøger at tage hensyn til deres kunder. At installere programrettelser kræver ofte, at en computer tages ud af drift. Det ønsker ingen it-afdeling at gøre alt for tit.

En anden positiv side ved de store mængder rettelser er, at de viser, at sikkerhedshullerne nu bliver offentliggjort. For ti år siden har der sikkert været mindst lige så mange sikkerhedsproblemer som i dag, men dengang hørte vi ikke om dem. I 1995 registrerede CERT/CC således 171 sårbarheder, sidste år nåede tallet op på 3.780.

Alligevel udgør de mange sikkerhedsrettelser også et problem. It-afdelingerne skal stadig finde tid til at installere dem. Mange firmaer er i dag aktive på internettet. Så hvor man i gamle dage kunne installere en programrettelse efter lukketid, er det ikke længere muligt – web har døgnåbent.

Derfor bliver it-afdelingerne nødt til at oprette testsystemer, som de kan bruge til at afprøve rettelserne på. Erfaringen viser nemlig, at en programrettelse kan give problemer med andre programmer, der kører på samme computer. Endvidere kan det være en fordel at indføre en metode til at skifte mellem flere servere, så systemet stadig er tilgængeligt, mens serverne en for en får installeret rettelsen.

Endelig skal it-cheferne sikre sig, at de får besked om alle sikkerhedsrettelser til de systemer, de anvender. Her er mailinglister fra softwareproducenterne en god kilde. Flere og flere systemer får også en indbygget funktion, der selv tjekker leverandørens websted og giver besked om nye rettelser.

Oprindelig bragt på Computerworld Online den 28. oktober 2005

 

Keywords: