Onlangs werd er een kritieke beveiligingsfout in de Linux-kernel ontdekt: Dirty COW of CVE-2016-5195 (die zelfs al een parodiesite heeft). Die zat al negen jaar in de kernel en wordt al actief misbruikt. Een gebruiker met een lokale account op een Linux-machine kan met een exploit op enkele seconden tijd rootrechten verkrijgen.

Gemiddeld vijf jaar verborgen

Dirty COW is geen uitzondering. In 2010 al deed Jon Corbet van LWN.net een analyse van kernelkwetsbaarheden. Zijn conclusie? Beveiligingsfouten zitten gemiddeld vijf jaar in de kernel.

Kees Cook, die voor Google aan de beveiliging van het op Linux gebaseerde Chrome OS werkt, deed die analyse nog eens over voor de 557 fouten met een CVE-nummer sinds 2011, met een update na het openbaren van Dirty COW. Zijn conclusie is zes jaar later dezelfde als die van Jon Corbet.

Ofwel vrij snel, ofwel vrij laat

Maar het gemiddelde is een misleidend getal: softwareontwikkelaar Ole Laursen maakte een histogram van de levensjaren van fouten, en daaruit blijkt een genuanceerder beeld. Wat blijkt? In de praktijk worden heel wat fouten in het eerste jaar van hun bestaan ontdekt, het jaar erna neemt de kans op ontdekking met bijna de helft af en de jaren erna is er nog een afname, tot in het achtste jaar de kans weer verdubbelt, waarna ze weer afneemt. Fouten worden dus ofwel vrij snel ontdekt, ofwel vrij laat.

In de praktijk nog langer onveilig

Deze cijfers gelden voor de Linux-kernel als je altijd de nieuwste versie zou draaien. In de praktijk draaien heel wat apparaten, zoals routers/modems, draadloze toegangspunten en IoT-apparaten, jaren dezelfde kernelversie omdat ze geen updates krijgen. Volgens Cook heeft de Linux-kernel dan ook proactieve zelfbescherming nodig.