Nejděravější firmy a produkty roku 2020: Hlavně Windows a je to dobrá zpráva

Když softwaroví specialisté objeví v některém programu bezpečnostní chybu – zranitelnost, která může útočníkovi otevřít vrátka do vašeho systému, je třeba tuto chybu jednoznačně pojmenovat a evidovat v jakési standardní databázi, do které bude moci každý nahlédnout.

V USA se o tuto práci už od roku 1999 stará například příspěvková organizace MITRE, jejíž databáze Common Vulnerabilities and Exposures se v průběhu let stala v podstatě standardem. Setkal se s ní nejspíše každý čtenář Živě.cz, ale hlavně pod zkratkou CVE, která uvádí každé číslo takto evidované chyby.

Katalog k dnešnímu dni eviduje něco přes 147 tisíc chyb včetně těch, které pronikly i do masmédií. Třeba rodinu zranitelností Spectre a Meltdown, které na přelomu let 2017 a 2018 potrápily zejména Intel, anebo Heartbleed, která způsobila paniku o pár let dříve, když experti přišli na vážnou chybu v šifrovací a hojně používané technologii OpenSSL.

„Nejděravější“ v uvozovkách

Poslední roky do této obří databáze vždy v lednu nahlédneme i my, sečteme chyby za posledních dvanáct měsíců podle firem a produktů a sestavíme několik zajímavých žebříčků.

Jelikož za slovní spojení „Nejděravější firmy a programy“ občas schytáme pěknou čočku, protože ne každý čtenář dočte článek až do konce, kde vždy vysvětlíme, co to vlastně znamená být nejděravějším, tentokrát tím raději rovnou začneme.

Být na vrcholu nemusí automaticky znamenat, že firma X neumí psát software a program Y je děravější něž cokoliv jiného. Naopak to může být dokladem kvalitního vnitřního i vnějšího auditu kódu, což platí zejména u velkých jmen v žebříčcích níže.

Stručně řečeno, ročním statistikám často kraluje Microsoft, Google nebo někdo další podobné velikosti. Je to ale dáno tím, že všechny toto velké firmy vyvíjejí ohromné množství kritických programů a je v zájmu celé IT komunity, aby podléhaly co nejvyšší kontrole.

Pokud totiž někdo odhalí kritickou zranitelnost, která může otevřít zadní vrátka třeba do Windows nebo Androidu, je to svým způsobem vlastně dobrá zpráva, protože hodný hacker mohl chybu zdokumentovat a zveřejnit, no a autor opravit. Zlý hacker ji pak už nemůže zneužít.

Samozřejmě by bylo skvělé, kdyby chyby vůbec nevznikaly, při složitosti dnešního kódu je to už ale prakticky nemožné. Právě proto je naprosto klíčové, aby tyto chyby experti nacházeli a tvůrci programů opravovali.

Prošmejdili jsme obrovský texťák od NIST

S tímto vědomím tedy prosím pohlížejte i na žebříčky níže. Jako zdroj dat jsme použili odvozenou databázi NVD (National Vulnerability Database), která obsahuje i všechny hlášené zranitelnosti CVE.

Analyzovali jsme textový soubor CVE-2020 od amerického NIST.  Za tímto účelem jsme si napsali jednoduchý program v Pythonu, který v textu vyhledával a počítal zasažené produkty jednotlivými zranitelnostmi.

Databázi spravuje americký institut pro standardy a technologie NIST, a pokud se rádi šťouráte v datech, můžete si to zkusit také. Na stránce NVD Data Feeds najdete několik zabalených textových souborů ve formátech JSON a XML rozdělené po jednotlivých letech.

My jsme použili verzi v JSON a prošli detaily o 14 763 evidovaných chybách a 92 784 zasažených produktech. A právě tyto produkty rozlišené podle výrobce, názvu a verze jsme konečně počítali do našich žebříčků. Mohou to být firmwary procesorů a dalších čipů, operační systémy a konečně aplikace třetích stran.

Nejděravější firmy roku 2020

Jak už jsme si vysvětlili výše, záznam o každé chybě obsahuje také seznam produktů a jejich tvůrců, kterých se problém týká. Jedno hlášení CVE se tedy může týkat hned několika zasažených programů – třeba čtyř různých verzí Windows. V prvním žebříčku jsme všechny tyto zasažené produkty spočítali a seřadili podle jejich autorů.

Produkty od Microsoftu byly mezi zasaženými nejčastěji

Zdaleka nejčastěji jsme naráželi na Microsoft a Cisco, v první patnáctce ale jak vidno nechybí ani většina dalších velkých softwarových jmen. V závorce je počet výskytů tohoto výrobce napříč zasaženými produkty v roce 2020.

1. Microsoft (14 299)
2. Cisco (11 885)
3. Juniper Networks (8 055)
4. Intel (5 978)
5. VMware (3 695)
6. Qualcomm (3 648)
7. Oracle (3 398)
8. F5 Networks (3 078)
9. HP (1 971)
10. Netgear (1 738)
11. Google (1 502)
12. IBM (1 290)
13. Apple (1 237)
14. Adobe (1 186)
15. CData (1 120)

Nejděravější produkty roku 2020

V dalším žebříčku jsme namísto autorů spočítali názvy produktů. To znamená, že kdybychom v seznamu zasažených produktů, kterých se daná zranitelnost týká, nejčastěji naráželi třeba na operační systém Android, bude kralovat i našemu druhému žebříčku.

Z hlediska citovaných zasažených produktů se v záznamech CVE pro rok 2020 nejčastěji objevují různé verze klientských a serverových WIndows

Dopadlo to ale trošku jinak a nejcitovanějším zasaženým produktem v katalogu od NIST byl v roce 2020 specializovaný operační systém Juniper Junos, který je založený na FreeBSD a ovládá podnikové síťové prvky Juniper. Na druhé příčce se už ale skví Windows 10, přičemž v seznamu níže nechybí ani Android.

1. Juniper Junos (7 998)
2. Microsoft Windows 10 (5 709)
3. Cisco IOS (5 473)
4. VMware ESXI (3 448)
5. Cisco IOS XE (3 276)
6. Microsoft Windows Server 2016 (2 979)
7. HP Intelligent Management Center (1 651)
8. Oracle OpenJDK (1 393)
9. Google Android (1 192)
10. Microsoft Windows Server 2008 (910)
11. Microsoft Windows Server 2012 (851)
12. Microsoft Windows Server 2019 (779)
13. Gitlab Gitlab (635)
14. Cisco NX-OS (556)
15. Symantec Endpoint Protection (54)

Nejděravější verze produktů roku 2020

Do třetice se podívejme na patnáctku produktů podle jejich verze. V tomto případě patří tabulka TOP15 s převahou jednotlivým jarním a podzimním verzím Windows 10, byt první příčce vévodí podnikové produkty od VMware a HP.

1. VMware ESXI 6.7 (2 292)
2. HP Intelligent management center 7.3 (1 587)
3. Vmware ESXI 6.5 (1 129)
4. Microsoft Windows 10 1903 (814)
5. Microsoft Windows 10 1909 (803)
6. Microsoft Windows 10 1809 (784)
7. Microsoft Windows 10 1803 (743)
8. Microsoft Windows Server 2016 1909 (736)
9. Microsoft Windows Server 2016 1903 (730)
10. Microsoft Windows Server 2019 (726)
11. Juniper Junos 17.4 (726)
12. Juniper Junos 18.2 (726)
13. Microsoft Windows 10 1607 (702)
14. Juniper Junos 15.1x53 (673)
15. Oracle OpenJDK 8 (665)

Nejděravější produkty Microsoftu roku 2020

Na závěr si ještě zobrazme nejděravější produkty konkrétních výrobců, které nás zajímají nejvíce. Začněme Microsoftem. Tyto produkty se mezi zasaženými vyskytovaly nejčastěji.

1. Microsoft Windows 10  1903 (814)
2. Microsoft Windows 10  1909 (803)
3. Microsoft Windows 10  1809 (784)
4. Microsoft Windows 10  1803 (743)
5. Microsoft Windows Server 2019 (741)
6. Microsoft Windows Server 2016  1909 (736)
7. Microsoft Windows Server 2016  1903 (730)
8. Microsoft Windows 10  1607 (702)
9. Microsoft Windows 10  1709 (651)
10. Microsoft Windows server 2016 (641)

Nejděravější produkty Googlu roku 2020

Dále se podívejme na Google. V jeho případě tabulce samozřejmě dominuje Android 10, který Google uvolnil na konci léta 2019. V následujících měsících se po telefonech Pixel postupně dostával na telefony dalších výrobců a bezpečnostní komunita v něm tak postupně objevovala chyby v průběhu celého roku 2020.

Průběžné záplaty, které dnes Google pro Android vydává, jsou tedy stejně důležité jako jejich obdoba ve světě Windows.

1. Google Android 10.0 (364)
2. Google Chrome (250)
3. Google Android  11.0 (234)
4. Google Android 9.0 (195)
5. Google Android 8.1 (149)
6. Google Android 8.0 (148)
7. Google Tensorflow (22)
8. Google Asylo (12)
9. Google Gerrit (11)
10. Google Android  7.2 (10)

Nejděravější produkty Applu roku 2020

Na úplný závěr se podívejme na Apple, u kterého žebříčku analogicky vládne mobilní a desktopová platforma s největším počtem uživatelů, a tak i nejvyšším zájmem bezpečnostních analytiků.

1. Apple iPhoneOS (228)
2. Apple MacOS (233)
3. Apple iPadOS (223)
4. Apple watchOS (162)
5. Apple tvOS (157)
6. Apple iCloud (109)
7. Apple iTunes (66)
8. Apple Safari (52)
9. Apple Exposure Notifications (1)
10. Apple Nioextras (1)

I když objev kritické chyby v populárním produktu pokaždé způsobí negativní senzaci a není to na první pohled zrovna nejlepší reklama, z obecnějšího hlediska to je už svým způsobem dobrá zpráva. Dokumentací a nápravou totiž opravdu ubývá cest, které mohou útočníci zneužít ke svým lumpárnám.

Platí to i o podzimní aféře okolo zranitelné verze podnikového síťového systému SolarWinds Orion, kvůli které útočníci zasáhli hromadu firem i úřadů po celém světě. Pro firmu to byl nečekaný průšvih, ale na druhou stranu průšvih, který výhledově jistě opět o něco zvýší bezpečnostní standardy a zlepší drahé auditování.

Tedy alespoň doufejme.