Byznys | Bezpečnost | Malware

Nejděravější firmy a programy roku 2019: Android, Debian a Windows

  • Když expert objeví novou zranitelnost, zaregistruje ji v databázi CVE
  • Web CVE Details z ní zpracovává skvělé statistiky
  • Nejvíce hlášení se loni dočkal Android, Debian a Windows 10

Když softwaroví specialisté objeví v některém programu bezpečnostní chybu – zranitelnost, která může útočníkovi otevřít vrátka do vašeho systému, je třeba tuto chybu jednoznačně pojmenovat a evidovat v jakési standardní databázi, do které bude moci každý nahlédnout.

V USA se o tuto práci už od roku 1999 stará příspěvková organizace MITRE, jejíž databáze Common Vulnerabilities and Exposures se v průběhu let stala v podstatě standardem. Setkal se s ní nejspíše každý čtenář Živě.cz, ale hlavně pod zkratkou CVE, která uvádí každé číslo takto evidované chyby.

15c80417-4d37-4d44-955a-294aaa2c11c4
Růst počtu evidovaných zranitelností CVE v posledních 20 letech

Katalog k dnešnímu dni eviduje bezmála 132 tisíc chyb včetně těch, které pronikly i do masmédií. Třeba rodinu zranitelností Spectre a Meltdown, které na přelomu let 2017 a 2018 potrápily zejména Intel, anebo Heartbleed, která způsobila paniku o pár let dříve, když experti přišli na vážnou chybu v šifrovací a hojně používané technologii OpenSSL.

Nejděravější firmy a produkty roku 2019 

Databáze CVE je obrovská, postupně nad ní proto vyrostly další weby, které ji chtějí nějakým způsobem zjednodušit a přiblížit běžnému smrtelníkovi. Jedním z nich je stránka CVE Details, na které najdete hromadu statistik a žebříčků, zranitelnosti totiž řadí podle data, konkrétních produktů, kterých se týkají, no a nakonec i firem.

b4c5ff1f-0b55-4dcd-8ef3-13feb1c952de
Zranitelnosti CVE podle typu. Převažuje spuštění cizího kódu (Code Execution) a DoS.

Díky tomu se můžeme podívat na ty nejděravější v daném měsíci nebo celém roce. A přesně to uděláme. Jak tedy vypadá seznam TOP 30 nejděravějších firem/entit roku 2019?

Nejděravější firmy/entity

Údaj v závorkách představuje počet zaznamenaných CVE v daném roce.

  1. Microsoft (668)
  2. Google (609)
  3. Oracle (489)
  4. Adobe (441)
  5. Cisco (440)
  6. IBM (364)
  7. Debian (360)
  8. cPanel (321)
  9. Red Hat (257)
  10. Jenkins (254)
  11. Apple (229)
  12. Canonical (197)
  13. Fedora (187)
  14. Qualcomm (171)
  15. Linux (170)
  16. Foxit Software (162)
  17. openSUSE (148)
  18. HP (129)
  19. GitLab (119)
  20. Mozilla (118)
  21. NetApp (112)
  22. Apache (108)
  23. Intel (92)
  24. SAP (75)
  25. Magento (72)
  26. F5 (63)
  27. Siemens (62)
  28. D-Link (61)
  29. ImageMagick (57)
  30. GNU (55)  

Zatímco statistice za rok 2018 s přehledem kralovala komunita okolo linuxového operačního systému Debian, která nahlásila 1 200 zranitelností, loni to byl Microsoft a jeho 668 zdokumentovaných bezpečnostních chyb. Na druhém místě se nachází Google a bronz patří Oraclu.

„Nejděravější“ v uvozovkách

Jelikož lze takový a jen zdánlivě nelichotivý žebříček velmi snadno špatně interpretovat, připomenu klíčové pravidlo. Být na vrcholu nemusí automaticky znamenat, že daný subjekt neumí psát software. Stejně tak to totiž může znamenat, že je jeho programům věnovaná tak vysoká péče, že interní i externí bezpečnostní experti prostě něco objeví.

A pokud už něco objeví a vystaví v databázi CVE, samotný hříšník o tom zpravidla v rámci dobrých mravů ví s předstihem a už pracuje na opravě. Autor softwaru má zpravidla několikaměsíční lhůtu, než nálezce chyby vše zveřejní.

da782b41-100f-4221-8b55-cf21c3d3d3b7fbe633af-7f97-44bd-a6b5-e3735f5a1ca63cbe3ef4-4f99-4898-bbb5-d94826f380bc
Vývoj počtů hlášených zranitelností v průběhu let pro Microsoft, Google a Oracle

V případě Microsoftu, Googlu, Oraclu nebo předloni Debianu tedy víme, že jejich produkty sice trpěly hromadou zranitelností, inženýři je ale postupně opravili.

Naopak tvůrci méně populárních produktů, kteří se takového zájmu bezpečnostních expertů netěší a nemají ani své vlastní auditory kódu, se sice v žebříčku TOP30 vůbec nemusejí vyskytovat, to však automaticky neznamená, že je jejich software bezchybný. Může být děravý jak vyzrálý ementál, chyby však zatím nikdo neobjevil a hlavně nezveřejnil, což je ten nejnebezpečnější možný případ.

Nejděravější produkty

  1. Google Android (414)
  2. Debian (360)
  3. Microsoft Windows 10 (357)
  4. Microsoft Windows Server 2016 (357)
  5. Microsoft Windows Server 2019 (351)
  6. Adobe Acrobat Reader DC (342)
  7. Adobe Acrobat DC (342)
  8. cPanel (321)
  9. Microsoft Windows 7 (250)
  10. Microsoft Windows Server 2008 (248)
  11. Microsoft Windows Server 2012 (246)
  12. Microsoft Windows 8.1 (242)
  13. Microsoft Windows RT 8.1 (235)
  14. Ubuntu (190)
  15. Fedora (184)
  16. Google Chrome (177)
  17. Linux Kernel (170)
  18. Apple iOS (156)
  19. openSUSE Leap (146)
  20. Qualcomm Snapdragon 625 Mobile Platform (145)
  21. Qualcomm Snapdragon X5 LTE Modem (141)
  22. Qualcomm Snapdragon 835 Mobile Platform (136)
  23. Qualcomm Snapdragon 660 Mobile Platform (135)
  24. Foxit PhantomPDF (133)
  25. Qualcomm Snapdragon 425 Mobile Platform (133)
  26. Qualcomm Mobile Data Modem MDM9650 (132)
  27. Qualcomm Snapdragon 636 Mobile Platform (132)
  28. Qualcomm Snapdragon 820 Automotive Platform (129)
  29. Qualcomm MDM9206 IoT Modem (128)
  30. Qualcomm Snapdragon 450 Mobile Platform (128)

Pohled na nejděravější produkty je už možná trošku zajímavější. Čelní pozice patří operačním systémům – zejména různým verzím Windows, což vzhledem k jejich tržnímu podílu není nic překvapivého.

Zajímavější je tentokrát naopak chvost TOP 30, vysvětluje totiž, proč se mezi firmami tak vysoko umístil americký Qualcomm. Jeden z největších výrobců mobilních čipů všeho druhu počínaje modemy a konče procesorovými čipsety pro ně totiž pochopitelně píše i firmwary. A i ty jsou občas děravé.

Nejděravější produkty v letech 1999 až 2019:

  1. Debian (3 067)
  2. Google Android (2 563)
  3. Linux Kernel (2 357)
  4. Apple OS X/macOS (2 212)
  5. Ubuntu (2007)
  6. Mozilla Firefox (1 873)
  7. Google Chrome (1 858)
  8. Apple iOS (1 655)
  9. Microsoft Windows Server 2008 (1 421)
  10. Microsoft Windows 7 (1 283)

V TOP30 proto figurují jeho obvyklé mobilní platformy a případ Qualcommu připomíná, že vedle operačních systémů a klientských programů nesmíme zapomínat ani na software na úrovni železa.

Bude-li děravý, veškeré zabezpečení OS o patro výše může být v důsledku naprosto k ničemu – třeba zrovna v případě Androidu. Poměrně děravý byl nicméně loni i konkurenční operační systém telefonů Apple iPhone.

Diskuze (32) Další článek: Amazon smazal přes milion položek ve svém obchodě. Jejich prodejci chtěli vydělávat na strachu z koronaviru

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , , ,