Ông Gunter Ollmann, giám đốc chiến lược bảo mật của bộ phận này đã viết trên nhật ký mạng cá nhân của mình rằng mặc dù các nhà khoa học của ISS đã phân tích khoảng hơn 7.000 lỗi bảo mật được công bố rộng rãi hồi năm ngoái, nhưng thực tế số lượng các lỗi bảo mật mới được phát hiện trong các mã lệnh mỗi năm có thể lên tới gần 140 nghìn lỗi.
Con số này được ông Ollmann tính toán bằng cách gộp các lỗi bảo mật đã được các hãng phần mềm công bố và hiện đang được xử lý, và các lỗi bảo mật mà các hãng tự phát hiện và đã khắc phục một cách lặng lẽ.
Ông nói thêm rằng các lỗi bảo mật kiểu zero-day có thể đã được các tổ chức mua lại từ các nhà nghiên cứu bảo mật, và sau đó lại được nhượng lại theo các thỏa thuận kín cho các khách hàng của những tổ chức đó. Một số tin tặc và các tổ chức khác cũng lén lút sử dụng các lỗi zero-day để tạo ra các phần mềm phá hoại.
Theo ông Ollmann, tổng số lỗi bảo mật sẽ là một con số "khổng lồ" nếu tính gộp cả những lỗi được phát hiện theo hợp đồng với một dịch vụ bảo mật, cộng thêm các lỗi mà những người phát hiện ra nhưng cho rằng không cần công bố rộng rãi, và các lỗi bảo mật trong các phần mềm sử dụng các ngôn ngữ ngoài tiếng Anh, và khiến cho việc phân tích gặp khó khăn.
Tuy nhiên, một số chuyên gia bảo mật lại đặt dấu hỏi về định nghĩa của ông Ollmann về các lỗi bảo mật đã biết và chưa biết.
Ông Greg Day, nhà phân tích người Anh của hãng bảo mật McAfee nói: "Cái mà ông Ollmann xếp là các lỗi mới và chưa biết đến thực sự đang được xử lý bởi những người đã biết rõ chúng".
Ông Day nói rằng ông không muốn nêu ra cụ thể số lỗi bảo mật chưa được công bố. Ông nói: "Có một thực tế rất đơn giản là có quá nhiều mã lệnh trong các ứng dụng, các hệ thống và cơ sở hạ tầng nên có thể sẽ có rất nhiều nguy cơ".
Theo Nhân dân