IBM: Helft beveiligingslekken in 2008 niet gedicht

De securityspecialisten van IBM signaleren in het rapport twee belangrijke trends die tonen hoe cybercriminelen het grote publiek belagen met aanvallen via het web: het gebruik van webapplicaties en van kwaadaardige filmpjes en documenten.

Websites zijn volgens de onderzoekers de achilleshiel van grote ondernemingen geworden. Enerzijds intensiveren criminelen hun aanvallen op webapplicaties zodat ze pc's van eindgebruikers kunnen besmetten. Anderzijds gebruiken bedrijven standaardtoepassingen die bezaaid zijn met zwakke plekken of ze ontwikkelen zelf onveilige maatwerksoftware die niet valt te patchen.

In 2008 zat meer dan de helft van de nieuw ontdekte kwetsbaarheden in webtoepassingen. Voor driekwart ervan is nog geen patch beschikbaar. Het aantal aanvallen door middel van ´SQL-injectie', die websurfers omleidt naar kwaadaardige websites, nam tussen de zomer en eind vorig jaar met een factor dertig toe. Kris Lamb, operationeel manager van X-Force, noemt het 'schokkend' dat deze SQL-aanvallen bijna tien jaar nadat ze voor het eerst opdoken nog altijd wijdverbreid zijn zonder dat toereikende patches zijn ontwikkeld.

Aanvallers richten hun aandacht steeds meer op nieuwe aanvalsvormen, zoals verwijzingen naar Flash-animaties en PDF-documenten die kwaadaardige code bevatten. Alleen al in het vierde kwartaal lag het aantal kwaadaardige URL's 50 procent hoger dan in heel 2007, aldus de onderzoekers. Ook spammers bedienen zich meer en meer van deze methode.