Software | Bezpečnost | Operační systémy

Nejděravější firmy a operační systémy roku 2021: Juniper, Qualcomm, ale i macOS a Windows

  • Po roce jsme opět prošli 16 803 bezpečnostních záznamů
  • A spočítali 120 491 zasažených produktů
  • Zdrojem nám byla obří databáze zranitelností NIST NVD

Na konci prosince jsme zrekapitulovali největší události roku, ale definitivně jej uzavřeme až dnes, podíváme se totiž na už tradiční soupis těch nejděravějších operačních systémů a firem/výrobců roku 2021.

Zdrojem dat nám bude obří textový soubor nvdcve-1.1-2021.json, jehož zabalenou verzi v ZIP stáhnete z webu NIST NVD Data Feeds. NVD je zkratka pro National Vulnerability Database a NIST pak zkratka pro americký National Institute od Standards and Technology, který ji spravuje.

Klepněte pro větší obrázek
Karta jedné z mnoha tisíc zranitelností na webu NIST NVD a sekce zasažených produktů, které jsme počítali. Jak? To se dozvíte v závěru článku

Textová databáze obsahuje podrobný seznam všech evidovaných zranitelností, které mají přidělený mezinárodní identifikátor CVE, tedy Common Vulnerabilities and Exposures, a o kterých v mnoha případech píšeme i na Živě.cz. Zvláště pak o těch nejzávažnějších.

16 803 zranitelností

Od ledna do prosince 2021 bezpečnostní inženýři takových chyb v programech, operačních systémech a firmwarech nejrůznějších čipů nasbírali rovných 16 803 a 9 039 z nich mělo vysokou závažnost HIGH nebo CRITICAL (skóre vyšší než 7,0 podle škál CVSS 2.0 a CVSS 3.0).

Dohromady se týkaly neuvěřitelných 120 491 produktů – respektive různých kombinací zasažených verzí!

Klepněte pro větší obrázek
Pro naše účely jsme si napsali program, který projde celou databázi zranitelností za rok 2021

Pojďme se podívat na několik tematických žebříčků, které jsme z celoročního logu vygenerovali v Pythonu. Kompletní data včetně samotného generátoru v Pythonu najdete na našem GitHubu.

Čím více známých chyb, tím paradoxně lépe

Ale pozor, ještě než začneme, je třeba zdůraznit základní pravidlo. Slovíčko „nejděravější“ rozhodně nemusí automaticky znamenat, že je takový produkt nebo firma i fakticky nejnebezpečnější k používání.

Velmi často platí pravý opak. Znamená to totiž, že bezpečnostní experti v produktu X objevili chybu, svět o ní už ví, autor ji může opravit a záškodník ji už nezneužije.

Skutečně nebezpečný software a firmware je ten, ve kterém chyby vůbec nehledáme, protože to třeba zatím nikomu nestálo za to. Přitom právě ten pak může sloužit jako zadní vrátka pro záškodníky všeho druhu. 

Nejděravější firmy roku 2021

Takže jdeme na to. Nejprve se podíváme na nejděravější firmy. Tedy na firmy, které se ve výčtu zasažených produktů vyskytovali nejčastěji.

Horním příčkám kraluje výrobce podnikových síťových prvků Juniper, následuje armový Qualcomm a další síťový hegemon Cisco. Tyto firmy okupují čelní příčky už pravidelně a není se čemu divit, síťový software a firmware totiž zpravidla podléhá těm nejnáročnějším kontrolám.

  1. Juniper: 17 285
  2. Qualcomm: 16 503
  3. Cisco: 10 883
  4. Microsoft: 9 243
  5. Apple: 5 998
  6. Netgear: 3 140
  7. Zoho: 2 827
  8. F5: 2 728
  9. Google: 2 647
  10. Intel: 2 605

Nejděravější operační systémy roku 2021

A toto je už výčet nejděravějších operačních systémů. Tedy opět součet, kolikrát se v různých verzích objevily napříč celou databází zranitelností za rok 2021.

Na prvním místě figuruje Junos na bázi FreeBSD/Linux od Juniperu, který zvítězil i v předchozím žebříčku. Junos OS pohání jeho síťové routery a switche. Druhé místo konečně patří mnohem známějšímu produktu – desktopovému operačnímu systému od Applu macOS – a první trojku uzavírá Windows 10. Do první desítky se dostala také linuxová Fedora, Debian a samozřejmě i Android. 

  1. Juniper Junos: 16 888
  2. Apple macOS: 4 509
  3. Microsoft Windows 10: 3 503
  4. Cisco IOS XE: 3 437
  5. Cisco IOS: 2 747
  6. Fedora: 1 916
  7. Microsoft Windows Server 2016: 1 458
  8. Google Android: 1 419
  9. Debian Linux: 842
  10. Microsoft Windows Server 2012: 641

Firmy podle nejzávažnějších chyb roku 2021

Jak už jsme si řekli výše, z celkových 16 803 zranitelností objevených v roce 2021 jich má 9 039 a podle škál CVSS 2.0 a CVSS 3.0 skóre vyšší nebo rovno 7,0 a spadají do kategorie HIGH a CRITICAL. Pojďme si tedy vypsat desítku nejděravějších firem podle toho, kolik jejich produktů bylo zasaženo těmi nejhoršími zranitelnostmi roku.

Klepněte pro větší obrázek
Škály závažnosti CVSS. V tomto žebříčku jsme počítali jen zranitelnosti se skóre alespoň 7,0 

Tentokrát se nám pořadí trošku přeskládalo a první trojka patří společnostem Qualcomm, Juniper a Microsoftu, který předběhl Cisco. Do desítky se dostal také Siemens a naopak vypadl Intel.

  1. Qualcomm: 13 201
  2. Juniper: 8 586
  3. Microsoft: 7 078
  4. Cisco: 5 895
  5. Apple: 3 986
  6. Zoho: 2321
  7. Netgear: 2 187
  8. F5: 2 125
  9. Siemens: 1 904
  10. Google: 1 354

Nejděravější software roku 2021

Na závěr se ještě podívejme na desítku nejcitovanějšího softwaru v databázi zranitelností CVE. Běžný smrtelník asi bude zklamaný, figurují zde totiž převážně relativně neznámé specializované a podnikové aplikace a nikoliv to, co má každý z vás na počítači.

Jedinou výjimkou je snad Chrome, který desítku uzavírá, a zároveň jeho balík knihoven pro strojové učení a neuronové sítě TensorFlow.

  1. Liferay DXP: 1 378
  2. Google TensorFlow: 893
  3. GitLab: 798
  4. Zoho ManageEngine ServiceDesk Plus: 739
  5. Zoho ManageEngine OpManager: 616
  6. Zoho ManageEngine AdSelfService Plus: 411
  7. VMware vCenter Server: 378
  8. Canonical Apport: 364
  9. Cisco Identity Services Engine: 348
  10. Google Chrome: 314

Jak jsme to spočítali?

V souboru nvdcve-1.1-2021.json najdete základní popis a identifikační údaje pro každou zranitelnost CVE. Co je však nejdůležitější, nechybí ani výčet produktů, kterých se každá zranitelnost týká. Autoři pro to používají standardní strojový formát CPE 2.3 URI (Common Platform Enumeration).

Může mít třeba takovouto podobu:

cpe:2.3:o:apple:mac_os_x:10.14.6:-:*:*:*:*:*:*

V tomto případě se jedná o produkt, kterého se týkala velmi závažná zranitelnost CVE-2021-1736 poprvé publikovaná zkraje dubna. Každý čtenář už jistě od oka rozpoznal, že se jedná o operační systém (o), jeho autorem je firma Apple (apple), název produktu je macOS X (mac_os_x) a zranitelnost se dotýká konkrétně jeho verze 14.6.

Klepněte pro větší obrázek
Výřez z obrovského souboru s výčtem zasažených produktů pomocí identifikátorů CPE 2.3

Každá podobná chyba se může týkat až mnoha desítek produktů a v našem obřím textovém souboru jsou zakódované právě pomocí podobných identifikátoru CPE.

My jsme tedy s pomocí Pythonu prošli zranitelnost po zranitelnosti a v každé z nich vyhledali všechny validní CPE URI, kterých bylo dohromady oněch 120 491 kousků. Z nich už lze vyčíst, jaké firmě daný produkt patří (žebříček firem) a podle typu produktu (a, o, h) jsme zároveň zjistili, jestli to je aplikační software, OS/firmware nebo chyba v hardwaru.

Vše jsme nakonec vystavili na GitHubu, kde najdete i samotný a opravdu narychlo zbastlený skript v Pythonu, který může přelouskat i další soubory ve formátu JSON z archivu NIST NVD.

Snad najdou inženýři tisíce chyb i letos

Na závěr musíme popřát bezpečnostním inženýrům to, aby i letos objevili tisíce a tisíce nových zranitelností. Pokud se jim to totiž podaří, dají vědět výrobci a poté ji zveřejní pod identifikátorem CVE, znamená to, že se s největší pravděpodobností dočkáme záplaty a takový program, operační systém nebo čip nebude moci zneužít zlý útočník z Ruska, Číny nebo třeba Pardubic.

Produkty, které netrpí na žádné známé zranitelnosti, totiž vůbec nemusejí být bezchybné. Pravděpodobně je v nich pouze zatím nikdo nenašel. Dost možná proto, že to nikomu nestálo za to. A to je chyba.  

Diskuze (22) Další článek: Startupy – inovace ve financích

Témata článku: Google, Windows, Microsoft, Apple, Software, Linux, Intel, Programování, Bezpečnost, Android, Operační systémy, Chrome, macOS, iOS, Hacking, Qualcomm, Fedora, Čína, Python, Malware, GitHub, Viry, Rusko, Debian, Debian Linux, Produkty Apple na jednom místě - Heureka.cz



Šedý trh s předplatným se vymyká kontrole. Spotify, Netflix nebo Disney+ můžete mít doslova za pár korun

Šedý trh s předplatným se vymyká kontrole. Spotify, Netflix nebo Disney+ můžete mít doslova za pár korun

** Sdílení účtů mezi kamarády je jen začátek ** Dnes letí nákupy předplatných v Indii nebo na Aliexpressu ** Superlevné „netflixy“ ale mohou nakonec spíš škodit

Lukáš Václavík
PředplatnéNetflixSpotify
QR kódy jsou skvělý pomocník, ale i zlý pán. Tohle jsou nejčastější podvody, které vás mohou připravit o peníze

QR kódy jsou skvělý pomocník, ale i zlý pán. Tohle jsou nejčastější podvody, které vás mohou připravit o peníze

** Čtvercový grafický kód usnadňuje život už mnoho let ** S rostoucí oblibou a využitím přibývá i podvodů ** Nejčastěji jsou podvody zaměřeny na podstrčení falešného kódu

Martin Miksa
PodvodQR kódBezpečnost
Izrael díky speciální kamufláži zařídil pro své vojáky „neviditelnost“

Izrael díky speciální kamufláži zařídil pro své vojáky „neviditelnost“

** Materiál „Kit 300“ představuje vizuální i termální kamufláž ** Dokáže zablokovat tepelné vyzařování maskovaného vojáka či třeba stroje ** Velký kus materiálu Kit 300 může ukrýt vozidlo až do velikosti Hummeru

Stanislav Mihulka
IzraelMateriálArmáda
Lék proti depresi za stokorunu snižuje riziko těžkého průběhu i úmrtí na onemocnění covid-19

Lék proti depresi za stokorunu snižuje riziko těžkého průběhu i úmrtí na onemocnění covid-19

** Klinická studie zkoumala vliv antidepresiva fluvoxamin na covid-19 ** Počet úmrtí souvisejících s covidem-19 klesl zhruba o 90 % ** Potřeba intenzivní lékařské péče se snížila zhruba o 65 %

Karel Kilián
COVID-19LékyDepreseMedicína
Rusko obviňuje astronautku NASA ze sabotáže Mezinárodní vesmírné stanice
Jiří Černý
Mezinárodní vesmírná staniceNASARusko
Kouzlo jménem Opinion Rewards. Google dá za vyplnění dotazníku pár korun měsíčně na přilepšenou

Kouzlo jménem Opinion Rewards. Google dá za vyplnění dotazníku pár korun měsíčně na přilepšenou

** Už žádné VPN a pokoutné fingování vaši přesné polohy ** V Česku již funguje aplikace Odměny za průzkumy Google ** Za několik průzkumů týdně dostanete pár korun do Google Play

Martin Chroust
Google Opinion RewardsGoogle PlayPrůzkum
Dron Mojave je smrtící novinkou se 16 raketami Hellfire. Může operovat i z letadlových lodí

Dron Mojave je smrtící novinkou se 16 raketami Hellfire. Může operovat i z letadlových lodí

** Americká společnost General Atomics už delší dobu vyvíjí nový dron Mojave ** Ten je určený k operacím v komplikovaných a nebezpečných prostředích ** Plně vybavený Mojave se 16 střelami Hellfire vzlétne z dráhy o délce cca 300 metrů

Stanislav Mihulka
VojenstvíDrony