Ze statystyk przedstawionych przez Grossmana wynika, że w 2011 r. średnia liczba poważnych luk znalezionych w serwisach internetowych wynosiła 148 - to znacząco mniej niż latach 2010 (230 luk) i 2009 (kiedy to znajdowano średnio 480 błędów). Wyliczenia te zaprezentowano na konferencji Open Web Application Security Project, która rozpoczęła się wczoraj w Sydney.

Mowa jest tu o błędach programistycznych oraz błędach w konfiguracji oprogramowania serwerowego, które wprowadzone zostały przez twórców danej strony - nie są to luki w gotowym oprogramowaniu, które można by w prosty sposób usunąć aplikując poprawkę przygotowaną przez producenta. Są one znacznie trudniejsze do usunięcia, ponieważ są "niestandardowe" - dlatego też, jak wynika z analiz przeprowadzonych przez WhiteHat Security, usunięcie tylko połowy z nich zajmuje firmom ok. 100 dni (od uzyskania informacji o tym, że coś wymaga poprawienia).

Zobacz również:

• Apple ostrzega użytkowników w 92 krajach. Uwaga na ataki szpiegowskie
• VMware wzywa do pilnej aktualizacji oprogramowania Aria for Network Operations

Z takich luk chętnie korzystają przestępcy, bo choć są one unikalne, to można je stosunkowo łatwo znaleźć korzystając z powszechnie dostępnych narzędzi hakerskich. Efektem są włamania, w tym również te najgłośniejsze - zdaniem analityków z firmy Stratfor Global Intelligence to właśnie takie niestandardowe luki pozwoliły przestępcom na włamanie się m.in. do systemów informatycznych firm Sony oraz AT&T.

Co więcej, umiejętności hakerów stają się coraz wyższe - internetowi przestępcy rozumieją, że mogą świetnie zarobić na takiej działalności - chętnie się uczą i specjalizują w danym rodzaju błędów.

To samo robią zresztą pracownicy WhiteHat Security - firma specjalizuje się bowiem w testach penetracyjnych serwisów internetowych dużych korporacji, przeprowadzanych w warunkach "polowych". Jej konsultanci działają dokładnie tak samo, jak przestępcy - próbuję skutecznie zaatakować serwer-cel tylko na podstawie informacji, które uzyskać można za pomocą typowych narzędzi hakerskich (tyle, że cała operacja odbywa się za zgodą właścicieli witryny).

"Tak naprawdę to cały czas włamujemy się na jakieś strony. Jesteśmy całodobowym LulzSec czy Anonymous. Nie mamy przerw" - tłumaczył Jeremiah Grossman.

Po przeprowadzeniu skutecznego ataku na serwis internetowy klienta, firma przekazuje szczegółowy raport na temat stanu zabezpieczeń oraz rekomendację dotyczącą rozwiązania problemów. Decyzja o tym, które błędy załatać, a które pozostawić, pozostaje w gestii klienta. W wielu przypadkach błędy zostają - ponieważ firmy uznają, że nie opłaca im się odciągać developerów od bieżących projektów tylko po to, by usunąć lukę, która być może nigdy nie zostanie znaleziona przez hakerów.