Přesně před rokem se touto dobou naplno rozjížděla bezpečnostní aféra okolo zranitelností Spectre, Meltdown a postupně dalších, které zneužívaly podobného principu.
Mnozí varovali, že chyby bude možné opravit jen za cenu citelného snížení výkonu procesorů (zranitelnosti totiž spočívají v optimalizačních technikách čipů) a někteří i věstili drtivý propad akcií Intelu jakožto klíčového výrobce integrovaných obvodů pro PC a servery.
S odstupem času můžeme konstatovat, že, jak už tomu bývá, Meltdown i Spectre odvál čas, faktický dopad na Intel nebyl nikterak drtivý a dnes si už na události z loňského ledna vzpomene jen málokdo.
Když objevíš chybu, zapíšeš ji do CVE
Když softwaroví specialisté objeví v některém programu bezpečnostní chybu – zranitelnost, která může útočníkovi otevřít vrátka do vašeho systému, je třeba tuto chybu jednoznačně pojmenovat a evidovat v jakési standardní databázi, do které bude moci každý nahlédnout.
V USA se o tuto práci už od roku 1999 stará příspěvková organizace MITRE, jejíž databáze Common Vulnerabilities and Exposures se v průběhu let stala v podstatě standardem. Setkal se s ní nejspíše každý čtenář Živě.cz, ale hlavně pod zkratkou CVE, která uvádí každé číslo takto evidované chyby.
Když tedy specialisté v roce 2017 objevili několik možných zranitelností v procesorech, které na přelomu roku zveřejnili pod označením Meltdown a Spectre, v registru CVE získaly unikátní kódy CVE-2017-5715, CVE-2017-5753 a CVE-2017-5754.
Chyba za chybou: Databáze CVE se plní v podstatě každý den. I během soboty.
V éře fulltextových vyhledávačů pak stačí takové číslo zadat třeba do Googlu a zobrazí se vám všechny dostupné informace přesně o této konkrétní zranitelnosti.
Databáze CVE po dvaceti letech provozu eviduje tisíce a tisíce zranitelností a můžeme z ní vyčíst hromadu zajímavých informací. Třeba to, který program trpí největším počtem známých chyb. V tom nám pomůže další web – CVE Details, který zpracovává zajímavé žebříčky.
Nejděravější firmy roku 2018
Třeba žebříček nejděravějších firem za daný rok – tedy firem, jejichž produktů se v daném období týkalo nejvíce nových hlášení v databázi CVE.
Spojení nejděravějších firem jsem napsal kurzívou schválně, rozhodně to totiž nemusí znamenat, že tyto firmy najímají špatné programátory, kteří nasekají v kódu hromadu chyb. Na CVE totiž můžeme pohlížet i opačně.
Mohl bych například napsat, že tyto firmy mají dostatek bezpečnostních inženýrů, aby mohly provádět podrobné kybernetické audity. CVE totiž eviduje jen známé chyby, nikdo však vlastně netuší, kolik jich je v kódu doopravdy.
Jinými slovy, firma, která v žebříčku figuruje až kdesi na chvostu, nemusí být automaticky lepší a její produkty bezpečnější. Možná je to dáno jen tím, že její kód nikdo pečlivě nekontroluje, případně že firma vyrábí oproti těm na vrcholu zanedbatelné množství produktů.
TOP30
Ale už dost teoretických řečí, jak tedy vypadá TOP30 za rok 2018? Podívejte se:
- Debian (939): Linux
- Google (784): Android, web, B2B, cloud
- Microsoft (707): Windows, Office, B2B, cloud
- Oracle (691): Databáze, B2B
- Red Hat (627): Linux, B2B, cloud
- IBM (596): Linux/Unix, software, B2B, cloud
- Canonical (484): Linux
- Cisco (415): Síťové prvky, B2B
- Qualcomm (374): ARM procesory, čipy
- Adobe (372): Kreativní software
- Mozilla (359): Firefox
- Foxit Software (247): PDF software, web
- Hevlett-Packard (225): Hardware, B2B
- Huawei (186): Hardware, Android, B2B
- Apple (184): Hardware, OS, web
- Linux (171): Linuxové jádro
- Jenkins (150): Software
- Apache (145): Software
- SAP (115): Software, B2B
- F5 (80): Bezpečnost, B2B
- Wireshark (79): Software, analýza sítě
- GNU (76): Software
- ImageMagick (71): Software
- TP-Link (67): Síťové prvky, B2B
- Samsung (62): Hardware, Android, spotřební elektronika
- Trend Micro (59): Bezpečnost
- Schneider Electric (59): IoT, B2B
- Intel (58): Procesory, hardware, B2B
- Atlassian (56): Software, B2B
- D-Link (50): Síťové prvky, B2B
Vedle výrobce je v závorce vždy uvedený počet bezpečnostních zranitelností objevených v loňském roce a pak ve vší stručnosti předmět podnikání.
Jak vidno, žerty o děravých Windows jsou již do jisté míry přežitek, první příčka totiž patří tvůrci jedné z nejstarších a také nejpopulárnějších linuxových distribucí Debian, ze které vychází celá řada odvozených systémů počínaje Ubuntu a konče Raspbianem pro mikropočítače Raspberry Pi.
Nejděravější firmou/entitou roku 2018 byl Debian, tvůrce populární linuxové distribuce. Loni se v jeho případě enormně zvýšil počet hlášených chyb.
Na druhém místě je s bezmála osmi sty objevenými zranitelnostmi Google. Nutno podotknout, že je to právě Google, který má jeden z nejlepších bezpečnostních týmů na odhalování chyb v softwaru a jeho inženýři stáli za většinou těch nejmedializovanějších z posledních let (včetně citovaných Spectre a Meltdown).
Vysoké číslo objevených chyb za rok 2018 zároveň ještě zvyšuje důležitost měsíčních pravidelných záplat pro Android – bohužel, tato praxe stále není samozřejmostí u každého výrobce zařízení s tímto operačním systémem a spíše se omezuje jen na Pixel a telefony z programu Android One.
A takhle vypadá souhrnná statistika pro Google. Nejhorším rokem pro něj zatím byl 2017.
Třetí příčka konečně patří Microsoftu – jednomu z největších softwarových výrobců a zároveň hráčů na poli cloudových B2B služeb. V tomto směru a při srovnání s ostatními v první desítce se vlastně nejedná o nikterak hrozivé číslo.
Také Microsoft má silný tým bezpečnostních analytiků, kteří aktivně auditují nejen jeho vlastní software, ale i programy třetích stran a hledají v nich podobné zranitelnosti.
TOP10 nejděravějších produktů roku 2018
Dobrá, to jsou tedy firmy a co konkrétní produkty? Tentokrát výběr omezíme jen na prvních deset, přičemž všechny ostatní najdete na webu CVE Details.
- Debian (938)
- Android (611)
- Ubuntu (484)
- RHEL Server (393)
- RHEL Workstation (377)
- RHEL Desktop (368)
- Firefox (333)
- Acrobat Reader DC (286)
- Acrobat DC (286)
- Windows 10 (254)
Za názvem produktu je opět počet objevených zranitelností v minulém roce. První příčka znovu patří Debianu, protože jeho klíčovým dílem je stejnojmenná linuxová distribuce. Druhá příčka patří zdaleka nejrozšířenějšímu operačnímu systému pro mobilní zařízení. Aktuální verze Androidu by měla i z tohoto důvodu zajímat každého, kdo takový telefon nosí v kapse.
Struktura zranitelností v Androidu
Třetí místo patří další linuxové distribuci Ubuntu a následující tři pozice podnikovému Linuxu od Red Hatu. Pak následuje populární webový prohlížeč od Mozilly, evergreen všech statistik zranitelností – PDF čtečka a editor od Adobe, no a desítku konečně uzavírá Windows 10 – stále klíčový produkt od Microsoftu.
Struktura zranitelností ve Windows 10
Slovní obrat děravá Windows plná chyb je tedy sice také evergeen mnoha vtipů, při velikosti tohoto softwaru a počtu bezpečnostních auditorů, které zaměstnává přímo Microsoft i ostatní výrobci softwaru, však skutečné umístění Windows v tabulce možná ukazuje něco trošku jiného.
