A Internet Security Systems da IBM (ISS) anunciou que existe uma "diferença colossal" entre o número de vulnerabilidades detectadas em software publicadas e aquelas que realmente existem. Gunter Ollmann, director desta divisão, escreveu no seu blog que apesar dos analistas darem conta de 7247 falhas de software ao longo do ano passado, o número real de erros poderão ter chegado aos 132,115 mil, ou seja, o público apenas tomou conhecimento de 5,48 por cento das vulnerabilidades existentes.




O responsável refere que as pessoas subestimam o número de erros existentes no software que utilizam em casa e nos escritórios, um perigo que ganha outras dimensões se tivermos em conta a dimensão de casos existentes não reportados.




Ollmann salienta que muitas vezes as vulnerabilidades descobertas internamente pelos vendedores são corrigidas discretamente, sem que os erros sejam tornados públicos. Por sua vez, existem casos em que as falhas reportadas ao fabricante são mantidos em segredo até que seja descoberto um patch, aí sim, é possível anunciar que existem falhas mas que existe também uma correcção para elas.




Para o membro da ISS, o facto de consultores e analistas descobrirem bugs diariamente mas manterem metade das falhas encobertas é um dos motivos que faz com que a discrepância entre os valores conhecidos e os reportados seja tão elevada. Ollmann fundamenta esta teoria referindo que "se são descobertas cinco falhas por dia por cada entidade contratada para a pesquisa, isso eleva o número de bugs detectados por ano para os 3,750,000", ou seja, mesmo que "90 por cento dos bugs descobertos sejam repetidos, isso significa que continuam a ser detectadas 125 mil novas falhas todos os anos".




Notícias Relacionadas:

2007-06-01 - Segurança dos computadores afectada por falha no Google Desktop