reklama

Nejděravější software posledních let? Ne, Windows to nikdy nebyly

  • Z děravých Windows si leckdo dělá legraci
  • Jenže realita je úplně jiná
  • Podívejte se, kdo je nejzranitelnější

Když softwaroví specialisté objeví v některém programu bezpečnostní chybu – zranitelnost, která může útočníkovi otevřít vrátka do vašeho systému, je třeba tuto chybu jednoznačně pojmenovat a evidovat v jakési standardní databázi, do které bude moci každý nahlédnout.

V USA se o tuto práci už od roku 1999 stará vládní Mitre Corporation, jejíž databáze Common Vulnerabilities and Exposures se v průběhu let stala v podstatě standardem. Setkal se s ní nejspíše každý čtenář Živě.cz, ale hlavně pod zkratkou CVE, která uvádí každé číslo takto evidované chyby.

Když tedy specialisté na sklonku minulého roku publikovali informace o závažné chybě v jedné z populárních knihoven webového jazyka PHP, získala unikátní identifikátor CVE-2016-10033. V éře fulltextových vyhledávačů pak stačí takové číslo zadat třeba do Googlu a zobrazí se vám všechny dostupné informace přesně o této konkrétní zranitelnosti.

Databáze CVE po necelých osmnácti letech provozu eviduje tisíce a tisíce zranitelností a můžeme z ní vyčíst hromadu zajímavých informací. Třeba to, který program trpí největším počtem evidovaných chyb. V tom nám pomůže další web – CVE Details, který zpracovává zajímavé žebříčky.

Děravý Microsoft? Bývávalo…

CVE Details například v tomto přehledu snadno vyvrátí jednu dodnes přežívající legendu. Redmondský Microsoft jsme dlouhé roky považovali za výrobce nejděravějších programů a při pohledu na historická data CVE tomu tak i skutečně bylo. Softwarová jednička Billa Gatese opravdu kralovala smutnému žebříčku už od jeho vzniku po následujících více než deset let.

Softwaroví výrobci s největším počtem hlášených chyb v letech 1999 až 2017

  • 1999: Microsoft (171)
  • 2000: Microsoft (143)
  • 2001: Microsoft (173)
  • 2002: Microsoft (243)
  • 2003: Microsoft (103)
  • 2004: Microsoft (148)
  • 2005: Microsoft (166)
  • 2006: Microsoft (267)
  • 2007: Microsoft (255)
  • 2008: Microsoft (236)
  • 2009: Microsoft (236)
  • 2010: Microsoft (317)
  • 2011: Google (295)
  • 2012: Oracle (380)
  • 2013: Oracle (505)
  • 2014: Oracle (471)
  • 2015: Apple (708)
  • 2016: Oracle (793)
  • 2017: Netgear (3) – k 5. lednu

Zlomilo se to až v roce 2011, kdy se nejděravějším producentem stal naopak Google a následně Oracle, který nejen kvůli Javě drží žezlo jedničky dodnes. Na stranu druhou, abychom byli spravedliví, to, že se nějaká firma ocitne na podobné nelichotivé pozici, ještě neznamená, že neumí dělat software.

Klepněte pro větší obrázek
Microsoft kraloval statistikám děravého softwaru dlouhé roky, hlavně ale kvůli Internet Exploreru a obecně kvůli tomu, že prostě produkuje ohromné množství programů.

Musíme totiž uvážit i kvantitu. Pakliže Microsoft vyvíjí desítky komplikovaných programů počínaje operačními systémy a servery a konče kancelářskými balíky a nakonec i programy pro mobilní telefony, je vcelku logické, že u něj najdete více chyb než u výrobce, který na trh dodává jeden jediný program, který ke všemu není v hledáčku bezpečnostních specialistů, a tak může sám trpět hromadou chyb, o kterých ale nikdo neví.

TOP10 nejděravějších výrobců softwaru za roky 1999 až 2017

  1. Microsoft (4 732)
  2. Oracle (3 918)
  3. Apple (3 498)
  4. IBM (3 015)
  5. Cisco (2 795)
  6. Google (2 172)
  7. Adobe (2 135)
  8. Mozilla (1 714)
  9. Sun (1 630)
  10. Linux (1 578)

V podobné pozici jsou i linuxové systémy. Mnozí měli dlouhé roky za to, že termín linuxový virus (v obecném slova smyslu) je v podstatě oxymóron, poněvadž malware pro Linux přeci neexistuje. Tato mantra přestala platit v okamžiku, kdy se o Linux díky jeho všudypřítomnosti na internetu začali ve velkém zajímat hackeři a stal se pro ně atraktivní platformou.

Jaká je situace dnes? Máme tu specializované linuxové botnety a internetová komunita jen tak nezapomene na krvavou aféru Heartbleed, která v plné nahotě ukázala, že je open-source sice skvělý, ale je také třeba, aby jej někdo pořádně auditoval a hledal v něm potenciální chyby, což se zjevně dříve nedělo dostatečně důkladně. Google, Microsoft a další velké společnosti proto po těchto zkušenostech a ve spolupráci s The Linux Foundation založily fond Core Infrastructure Initiative, který by měl financovat bezpečnostní kontrolu kódu alespoň těch nejdůležitějších open-source programů.

TOP10 nejděravějších výrobců softwaru v roce 2016

  1. Oracle (793)
  2. Google (698)
  3. Adobe (548)
  4. Microsoft (492)
  5. Novell (394)
  6. IBM (382)
  7. Cisco (353)
  8. Apple (324)
  9. Debian (320)
  10. Canonical (280)

Suma sumárum, zranitelné jsou úplně všechny operační systémy a je pouze ekonomickou otázkou, jestli se na danou platformu útočníkům vyplatí vyvíjet malware. Dokud byl Linux okrajový, byl okrajový i jejich zájem, to se však s rozvojem internetu a IoT mění.

Děravý Android

Zpět ale ke statistikám CVE Details. Pokud dnes žebříčkům firem vévodí Oracle, jak jsou na tom samotné programy? Tedy, který program se může pochlubit největším počtem hlášených bezpečnostních děr za rok 2016?

Stačí se podívat sem, kde najdete výpisy pro jednotlivé roku 1999-2017.

Software s největším počtem hlášených chyb v letech 1999 až 2017

  • 1999: Windows NT (64)
  • 2000: Red Hat Linux (47)
  • 2001: Red Hat Linux (47)
  • 2002: Internet Explorer (54)
  • 2003: Sun Solaris (44)
  • 2004: Internet Explorer (59)
  • 2005: Linux kernel (133)
  • 2006: Mac OS X (106)
  • 2007: PHP (114)
  • 2008: Mac OS X (94)
  • 2009: Firefox (126)
  • 2010: Chrome (152)
  • 2011: Chrome (266)
  • 2012: Chrome (249)
  • 2013: Linux kernel (189)
  • 2014: Internet Explorer (243)
  • 2015: Mac OS X (444)
  • 2016: Android (523)
  • 2017: Netgear Arlo Q Plus (2) – k 5. lednu

Jestli jsem před chvíli psal o linuxových systémech, loňský rok moje slova docela jednoznačně potvrzuje, nejvíce chybových hlášení se totiž postupně dočkal Android, Debian a Ubuntu.

Klepněte pro větší obrázek
Operační systém Windows byl nejděravějším softwarem podle databáze CVE naposledy v roce 1999 a to ve verzi NT

První příčce tedy kraluje nejpopulárnější mobilní platforma současnosti a bronz pak patří nejmasovější linuxové distribuci, ze které vychází opět hromada dalších odvozených operačních systémů.

TOP10 nejděravějšího softwaru v roce 2016

  1. Android (523)
  2. Debian (319)
  3. Ubuntu (278)
  4. Flash Player (266)
  5. Novell Leap (259)
  6. OpenSUSE (228)
  7. Acrobat Reader (227)
  8. Adobe Acrobat DC (227)
  9. Adobe Acrobat (224)
  10. Linux kernel (217)

Teprve bramborová medaile patří tolik proklínanému Flash Playeru, kterému se celý internet směje pro jeho bezpečnostní rizika. Opět je ale třeba zopakovat, že kompletní linuxová distribuce je samozřejmě nepoměrně komplikovanější kus softwaru než Flash Player.

A Windows? Desítky najdete až na 13. příčce za surovým linuxovým kernelem a Mac OS. Starší Sedmičky a Osmičky jsou ještě hlouběji, protože se jim už odborná komunita jakožto zastaralým systémům tolik nevěnuje.

TOP10 nejděravějšího softwaru za roky 1999 až 2017

  1. Mac OS X (1 679)
  2. Linux kernel (1 564)
  3. Firefox (1 437)
  4. Chrome (1 370)
  5. iOS (984)
  6. Flash Player (973)
  7. Debian (933)
  8. Internet Explorer (825)
  9. Ubuntu (797)
  10. OpenSUSE (783)

Hrozí mi tedy nebezpečí?

Samotný zápis chyby programu v databázi CVE je ale vlastně dobrou zprávou. Znamená to, že specialista chybu řádně zdokumentoval, a výrobce tak může připravit opravu. Mnohem zákeřnější jsou naopak chyby, o kterých široká odborná veřejnost zatím neví, ale ruský hacker nad nimi právě píše nový ransomware, který nějakému nebožákovi za pár týdnů zašifruje celý počítač.

Podstatné je tedy to, jak rychle autor softwaru po zveřejnění chyby vydá záplatu. A zde mají mnohdy výrobci ještě mezery. Zatímco u klíčových programů, kam patří jak Windows, tak další operační systémy, dorazí v rámci průběžných nebo i mimořádných aktualizací oprava zpravidla poměrně rychle, u zmíněného Flash Playeru nebo i Javy se čekání na opravu nejednou protáhlo na dlouhé měsíce. A to je už samozřejmě ostuda a obrovské riziko.

Témata článku: Software, Apple, Windows, Operační systémy, Linux, Bezpečnost, Statistiky, Hacking, Malware, Antivirus, Únik dat, Adobe Flash Player, Mantra

71 komentářů

Nejnovější komentáře

  • Petr Galansky 7. 1. 2017 0:31:49
    " krvavou aféru Heartbleed .. opensource .. aby jej někdo pořádně...
  • eoff 6. 1. 2017 20:51:29
    Mám trochu pochybnosti o relevantnosti výsledků této náročné studie :-D
  • Jan Smetana 6. 1. 2017 12:53:58
    "Nejderavejsi". No vite.. srovnavate podle poctu *nalezenych* chyb a...
reklama
Určitě si přečtěte

Vybíráte herní periferii nebo hardware? Pak zapomeňte na nálepku Gaming

Vybíráte herní periferii nebo hardware? Pak zapomeňte na nálepku Gaming

** Herní hardware se od toho běžného často liší jen vzhledem ** Při výběru stále nezapomínejte na základní parametry ** Poradíme jak vybrat herní hardware i periferie

20.  2.  2017 | Stanislav Janů | 36

10 nejhorších produktů v historii Microsoftu

10 nejhorších produktů v historii Microsoftu

20.  2.  2017 | Karel Javůrek | 133

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

** Každý bastlíř se po čase neobjede bez armády švábů ** Dnes si některé z nich vyzkoušíme ** Třeba zázračný posuvný registr

19.  2.  2017 | Jakub Čížek | 39

AMD oficiálně představilo procesory Ryzen. Známe i jejich české ceny

AMD oficiálně představilo procesory Ryzen. Známe i jejich české ceny

** AMD uvedlo první tři procesory Ryzen 7 ** Všechny budou pracovat s osmi jádry a šestnácti vlákny ** Na pulty obchodů se dostanou už za týden

22.  2.  2017 | Stanislav Janů | 131

EU se děsí Windows 10. Prý o nás vědí až příliš. Microsoft chystá změny

EU se děsí Windows 10. Prý o nás vědí až příliš. Microsoft chystá změny

** Evropští úředníci chtějí, aby byly Desítky transparentnější ** Microsoft od jara skutečně chystá změny ** Ochráncům soukromí to ale nestačí

21.  2.  2017 | Jakub Čížek | 217

Vyhledávání ve Windows není dokonalé, zkuste to 5× jinak

Vyhledávání ve Windows není dokonalé, zkuste to 5× jinak

** V macOS funguje vyhledávání Spotlight, ve Windows podobně propracovaná funkce chybí ** Alternativy se zaměřují na rychlé hledání souborů i externí zdroje ** Mnohé mohou vyhledávání ve Windows kompletně nahradit

18.  2.  2017 | Stanislav Janů | 58


Aktuální číslo časopisu Computer

Supertéma o počítačové bezpečnosti

AMD Ryzen přichází

Velké testy kinoprojektorů a levných špuntových sluchátek

Příslušenství do USB-C

reklama
reklama