Software | Bezpečnost | Operační systémy | Statistiky

Nejděravější firmy a produkty roku 2018: Debian, Google, Android a Ubuntu

  • Když expert objeví novou zranitelnost, zaregistruje ji v databázi CVE
  • Web CVE Details z ní zpracovává skvělé statistiky
  • Nejvíce hlášení se loni dočkal Debian, Google a Microsoft

Přesně před rokem se touto dobou naplno rozjížděla bezpečnostní aféra okolo zranitelností Spectre, Meltdown a postupně dalších, které zneužívaly podobného principu.

Mnozí varovali, že chyby bude možné opravit jen za cenu citelného snížení výkonu procesorů (zranitelnosti totiž spočívají v optimalizačních technikách čipů) a někteří i věstili drtivý propad akcií Intelu jakožto klíčového výrobce integrovaných obvodů pro PC a servery.

S odstupem času můžeme konstatovat, že, jak už tomu bývá, Meltdown i Spectre odvál čas, faktický dopad na Intel nebyl nikterak drtivý a dnes si už na události z loňského ledna vzpomene jen málokdo.

Když objevíš chybu, zapíšeš ji do CVE

Když softwaroví specialisté objeví v některém programu bezpečnostní chybu – zranitelnost, která může útočníkovi otevřít vrátka do vašeho systému, je třeba tuto chybu jednoznačně pojmenovat a evidovat v jakési standardní databázi, do které bude moci každý nahlédnout.

V USA se o tuto práci už od roku 1999 stará příspěvková organizace MITRE, jejíž databáze Common Vulnerabilities and Exposures se v průběhu let stala v podstatě standardem. Setkal se s ní nejspíše každý čtenář Živě.cz, ale hlavně pod zkratkou CVE, která uvádí každé číslo takto evidované chyby.

Když tedy specialisté v roce 2017 objevili několik možných zranitelností v procesorech, které na přelomu roku zveřejnili pod označením Meltdown a Spectre, v registru CVE získaly unikátní kódy CVE-2017-5715, CVE-2017-5753 a CVE-2017-5754.

Klepněte pro větší obrázek
Chyba za chybou: Databáze CVE se plní v podstatě každý den. I během soboty.

V éře fulltextových vyhledávačů pak stačí takové číslo zadat třeba do Googlu a zobrazí se vám všechny dostupné informace přesně o této konkrétní zranitelnosti.

Databáze CVE po dvaceti letech provozu eviduje tisíce a tisíce zranitelností a můžeme z ní vyčíst hromadu zajímavých informací. Třeba to, který program trpí největším počtem známých chyb. V tom nám pomůže další web – CVE Details, který zpracovává zajímavé žebříčky.

Nejděravější firmy roku 2018

Třeba žebříček nejděravějších firem za daný rok – tedy firem, jejichž produktů se v daném období týkalo nejvíce nových hlášení v databázi CVE.

Spojení nejděravějších firem jsem napsal kurzívou schválně, rozhodně to totiž nemusí znamenat, že tyto firmy najímají špatné programátory, kteří nasekají v kódu hromadu chyb. Na CVE totiž můžeme pohlížet i opačně.

Mohl bych například napsat, že tyto firmy mají dostatek bezpečnostních inženýrů, aby mohly provádět podrobné kybernetické audity. CVE totiž eviduje jen známé chyby, nikdo však vlastně netuší, kolik jich je v kódu doopravdy.

Jinými slovy, firma, která v žebříčku figuruje až kdesi na chvostu, nemusí být automaticky lepší a její produkty bezpečnější. Možná je to dáno jen tím, že její kód nikdo pečlivě nekontroluje, případně že firma vyrábí oproti těm na vrcholu zanedbatelné množství produktů.

TOP30

Ale už dost teoretických řečí, jak tedy vypadá TOP30 za rok 2018? Podívejte se:

  1. Debian (939): Linux
  2. Google (784): Android, web, B2B, cloud
  3. Microsoft (707): Windows, Office, B2B, cloud
  4. Oracle (691): Databáze, B2B
  5. Red Hat (627): Linux, B2B, cloud
  6. IBM (596): Linux/Unix, software, B2B, cloud
  7. Canonical (484): Linux
  8. Cisco (415): Síťové prvky, B2B
  9. Qualcomm (374): ARM procesory, čipy
  10. Adobe (372): Kreativní software
  11. Mozilla (359): Firefox
  12. Foxit Software (247): PDF software, web
  13. Hevlett-Packard (225): Hardware, B2B
  14. Huawei (186): Hardware, Android, B2B
  15. Apple (184): Hardware, OS, web
  16. Linux (171): Linuxové jádro
  17. Jenkins (150): Software
  18. Apache (145): Software
  19. SAP (115): Software, B2B
  20. F5 (80): Bezpečnost, B2B
  21. Wireshark (79): Software, analýza sítě
  22. GNU (76): Software
  23. ImageMagick (71): Software
  24. TP-Link (67): Síťové prvky, B2B
  25. Samsung (62): Hardware, Android, spotřební elektronika
  26. Trend Micro (59): Bezpečnost
  27. Schneider Electric (59): IoT, B2B
  28. Intel (58): Procesory, hardware, B2B
  29. Atlassian (56): Software, B2B
  30. D-Link (50): Síťové prvky, B2B

Vedle výrobce je v závorce vždy uvedený počet bezpečnostních zranitelností objevených v loňském roce a pak ve vší stručnosti předmět podnikání.

Jak vidno, žerty o děravých Windows jsou již do jisté míry přežitek, první příčka totiž patří tvůrci jedné z nejstarších a také nejpopulárnějších linuxových distribucí Debian, ze které vychází celá řada odvozených systémů počínaje Ubuntu a konče Raspbianem pro mikropočítače Raspberry Pi.

Klepněte pro větší obrázek
Nejděravější firmou/entitou roku 2018 byl Debian, tvůrce populární linuxové distribuce. Loni se v jeho případě enormně zvýšil počet hlášených chyb.

Na druhém místě je s bezmála osmi sty objevenými zranitelnostmi Google. Nutno podotknout, že je to právě Google, který má jeden z nejlepších bezpečnostních týmů na odhalování chyb v softwaru a jeho inženýři stáli za většinou těch nejmedializovanějších z posledních let (včetně citovaných Spectre a Meltdown).

Vysoké číslo objevených chyb za rok 2018 zároveň ještě zvyšuje důležitost měsíčních pravidelných záplat pro Android – bohužel, tato praxe stále není samozřejmostí u každého výrobce zařízení s tímto operačním systémem a spíše se omezuje jen na Pixel a telefony z programu Android One.

Klepněte pro větší obrázek
A takhle vypadá souhrnná statistika pro Google. Nejhorším rokem pro něj zatím byl 2017.

Třetí příčka konečně patří Microsoftu – jednomu z největších softwarových výrobců a zároveň hráčů na poli cloudových B2B služeb. V tomto směru a při srovnání s ostatními v první desítce se vlastně nejedná o nikterak hrozivé číslo.

Také Microsoft má silný tým bezpečnostních analytiků, kteří aktivně auditují nejen jeho vlastní software, ale i programy třetích stran a hledají v nich podobné zranitelnosti.

TOP10 nejděravějších produktů roku 2018

Dobrá, to jsou tedy firmy a co konkrétní produkty? Tentokrát výběr omezíme jen na prvních deset, přičemž všechny ostatní najdete na webu CVE Details.

  1. Debian (938)
  2. Android (611)
  3. Ubuntu (484)
  4. RHEL Server (393)
  5. RHEL Workstation (377)
  6. RHEL Desktop (368)
  7. Firefox (333)
  8. Acrobat Reader DC (286)
  9. Acrobat DC (286)
  10. Windows 10 (254)

Za názvem produktu je opět počet objevených zranitelností v minulém roce. První příčka znovu patří Debianu, protože jeho klíčovým dílem je stejnojmenná linuxová distribuce. Druhá příčka patří zdaleka nejrozšířenějšímu operačnímu systému pro mobilní zařízení. Aktuální verze Androidu by měla i z tohoto důvodu zajímat každého, kdo takový telefon nosí v kapse.

Klepněte pro větší obrázek
Struktura zranitelností v Androidu

Třetí místo patří další linuxové distribuci Ubuntu a následující tři pozice podnikovému Linuxu od Red Hatu. Pak následuje populární webový prohlížeč od Mozilly, evergreen všech statistik zranitelností – PDF čtečka a editor od Adobe, no a desítku konečně uzavírá Windows 10 – stále klíčový produkt od Microsoftu.

Klepněte pro větší obrázek
Struktura zranitelností ve Windows 10

Slovní obrat děravá Windows plná chyb je tedy sice také evergeen mnoha vtipů, při velikosti tohoto softwaru a počtu bezpečnostních auditorů, které zaměstnává přímo Microsoft i ostatní výrobci softwaru, však skutečné umístění Windows v tabulce možná ukazuje něco trošku jiného.

Diskuze (89) Další článek: 100× rychlejší 3D tisk? Stačí použít světlo a skutečný trojrozměrný tisk

Témata článku: Software, Google, Microsoft, Windows, Android, Bezpečnost, Operační systémy, Firefox, USA, Linux, Samsung, Intel, Zajímavosti, Malware, Statistiky, Huawei, IBM, ARM, Adobe, Mozilla, Ubuntu, Oracle, PDF, Qualcomm, Viry, Telefony apple na Mall.cz


Určitě si přečtěte

Byli tam! Důkazy o přistání na Měsíci, Lunochody i čínská sonda jsou vidět z vesmíru

Byli tam! Důkazy o přistání na Měsíci, Lunochody i čínská sonda jsou vidět z vesmíru

** Sonda LRO pořídila z oběžné dráhy Měsíce zajímavé snímky ** Jsou na nich vidět artefakty všech misí programu Apolla, které přistály na povrchu Měsíce ** Jde například o části lunárních modulů, rovery a dokonce i vlajky

Petr Kubala | 71

Chcete zhubnout? Vynechte snídani!

Chcete zhubnout? Vynechte snídani!

** Vydatná snídaně patří přinejmenším půlstoletí k pilířům zdravé výživy ** Jenže lidé po celá tisíciletí nezačínali den tím, že si nacpali břicha a vyrazili za obživou ** Současné výzkumy nedokazují, že by vydatná snídaně pomáhala hubnout

Jaroslav Petr | 44

Osudová havárie Concordu: Před 18 lety přišel konec nadzvukových dopravních letadel

Osudová havárie Concordu: Před 18 lety přišel konec nadzvukových dopravních letadel

** Concorde byl nejrychlejším dopravním letadlem ** Atlantik dokázal přeletět za cca 3 až 3,5 hodiny ** Před osmnácti lety tragická havárie provoz těchto letadel prakticky ukončila

David Polesný, Jiří Černý | 39

Čína si věří: „Naše hypersonické střely potopí americké letadlové lodě“

Čína si věří: „Naše hypersonické střely potopí americké letadlové lodě“

** Číně roste sebevědomí ** Nedávno uvedla, že její nové hypersonické střely mohou potopit velké letadlové lodě US Navy ** Podle komentátorů Čína nejspíše takové střely má, i když není jasné kolik

Stanislav Mihulka | 59