Přihlásit se

Software | Bezpečnost | Malware

Nejděravější software posledních let? Ne, Windows to nikdy nebyly

5. ledna 2017
AirBar vytvoří na jakémkoli notebooku dotykový displej, třeba i na MacBooku SDÍLET NA FACEBOOKU TWEETNOUT
  • Z děravých Windows si leckdo dělá legraci
  • Jenže realita je úplně jiná
  • Podívejte se, kdo je nejzranitelnější

Když softwaroví specialisté objeví v některém programu bezpečnostní chybu – zranitelnost, která může útočníkovi otevřít vrátka do vašeho systému, je třeba tuto chybu jednoznačně pojmenovat a evidovat v jakési standardní databázi, do které bude moci každý nahlédnout.

V USA se o tuto práci už od roku 1999 stará vládní Mitre Corporation, jejíž databáze Common Vulnerabilities and Exposures se v průběhu let stala v podstatě standardem. Setkal se s ní nejspíše každý čtenář Živě.cz, ale hlavně pod zkratkou CVE, která uvádí každé číslo takto evidované chyby.

Když tedy specialisté na sklonku minulého roku publikovali informace o závažné chybě v jedné z populárních knihoven webového jazyka PHP, získala unikátní identifikátor CVE-2016-10033. V éře fulltextových vyhledávačů pak stačí takové číslo zadat třeba do Googlu a zobrazí se vám všechny dostupné informace přesně o této konkrétní zranitelnosti.

Databáze CVE po necelých osmnácti letech provozu eviduje tisíce a tisíce zranitelností a můžeme z ní vyčíst hromadu zajímavých informací. Třeba to, který program trpí největším počtem evidovaných chyb. V tom nám pomůže další web – CVE Details, který zpracovává zajímavé žebříčky.

Děravý Microsoft? Bývávalo…

CVE Details například v tomto přehledu snadno vyvrátí jednu dodnes přežívající legendu. Redmondský Microsoft jsme dlouhé roky považovali za výrobce nejděravějších programů a při pohledu na historická data CVE tomu tak i skutečně bylo. Softwarová jednička Billa Gatese opravdu kralovala smutnému žebříčku už od jeho vzniku po následujících více než deset let.

Softwaroví výrobci s největším počtem hlášených chyb v letech 1999 až 2017

  • 1999: Microsoft (171)
  • 2000: Microsoft (143)
  • 2001: Microsoft (173)
  • 2002: Microsoft (243)
  • 2003: Microsoft (103)
  • 2004: Microsoft (148)
  • 2005: Microsoft (166)
  • 2006: Microsoft (267)
  • 2007: Microsoft (255)
  • 2008: Microsoft (236)
  • 2009: Microsoft (236)
  • 2010: Microsoft (317)
  • 2011: Google (295)
  • 2012: Oracle (380)
  • 2013: Oracle (505)
  • 2014: Oracle (471)
  • 2015: Apple (708)
  • 2016: Oracle (793)
  • 2017: Netgear (3) – k 5. lednu

Zlomilo se to až v roce 2011, kdy se nejděravějším producentem stal naopak Google a následně Oracle, který nejen kvůli Javě drží žezlo jedničky dodnes. Na stranu druhou, abychom byli spravedliví, to, že se nějaká firma ocitne na podobné nelichotivé pozici, ještě neznamená, že neumí dělat software.

478086857
Microsoft kraloval statistikám děravého softwaru dlouhé roky, hlavně ale kvůli Internet Exploreru a obecně kvůli tomu, že prostě produkuje ohromné množství programů.

Musíme totiž uvážit i kvantitu. Pakliže Microsoft vyvíjí desítky komplikovaných programů počínaje operačními systémy a servery a konče kancelářskými balíky a nakonec i programy pro mobilní telefony, je vcelku logické, že u něj najdete více chyb než u výrobce, který na trh dodává jeden jediný program, který ke všemu není v hledáčku bezpečnostních specialistů, a tak může sám trpět hromadou chyb, o kterých ale nikdo neví.

TOP10 nejděravějších výrobců softwaru za roky 1999 až 2017

  1. Microsoft (4 732)
  2. Oracle (3 918)
  3. Apple (3 498)
  4. IBM (3 015)
  5. Cisco (2 795)
  6. Google (2 172)
  7. Adobe (2 135)
  8. Mozilla (1 714)
  9. Sun (1 630)
  10. Linux (1 578)

V podobné pozici jsou i linuxové systémy. Mnozí měli dlouhé roky za to, že termín linuxový virus (v obecném slova smyslu) je v podstatě oxymóron, poněvadž malware pro Linux přeci neexistuje. Tato mantra přestala platit v okamžiku, kdy se o Linux díky jeho všudypřítomnosti na internetu začali ve velkém zajímat hackeři a stal se pro ně atraktivní platformou.

Jaká je situace dnes? Máme tu specializované linuxové botnety a internetová komunita jen tak nezapomene na krvavou aféru Heartbleed, která v plné nahotě ukázala, že je open-source sice skvělý, ale je také třeba, aby jej někdo pořádně auditoval a hledal v něm potenciální chyby, což se zjevně dříve nedělo dostatečně důkladně. Google, Microsoft a další velké společnosti proto po těchto zkušenostech a ve spolupráci s The Linux Foundation založily fond Core Infrastructure Initiative, který by měl financovat bezpečnostní kontrolu kódu alespoň těch nejdůležitějších open-source programů.

TOP10 nejděravějších výrobců softwaru v roce 2016

  1. Oracle (793)
  2. Google (698)
  3. Adobe (548)
  4. Microsoft (492)
  5. Novell (394)
  6. IBM (382)
  7. Cisco (353)
  8. Apple (324)
  9. Debian (320)
  10. Canonical (280)

Suma sumárum, zranitelné jsou úplně všechny operační systémy a je pouze ekonomickou otázkou, jestli se na danou platformu útočníkům vyplatí vyvíjet malware. Dokud byl Linux okrajový, byl okrajový i jejich zájem, to se však s rozvojem internetu a IoT mění.

Děravý Android

Zpět ale ke statistikám CVE Details. Pokud dnes žebříčkům firem vévodí Oracle, jak jsou na tom samotné programy? Tedy, který program se může pochlubit největším počtem hlášených bezpečnostních děr za rok 2016?

Stačí se podívat sem, kde najdete výpisy pro jednotlivé roku 1999-2017.

Software s největším počtem hlášených chyb v letech 1999 až 2017

  • 1999: Windows NT (64)
  • 2000: Red Hat Linux (47)
  • 2001: Red Hat Linux (47)
  • 2002: Internet Explorer (54)
  • 2003: Sun Solaris (44)
  • 2004: Internet Explorer (59)
  • 2005: Linux kernel (133)
  • 2006: Mac OS X (106)
  • 2007: PHP (114)
  • 2008: Mac OS X (94)
  • 2009: Firefox (126)
  • 2010: Chrome (152)
  • 2011: Chrome (266)
  • 2012: Chrome (249)
  • 2013: Linux kernel (189)
  • 2014: Internet Explorer (243)
  • 2015: Mac OS X (444)
  • 2016: Android (523)
  • 2017: Netgear Arlo Q Plus (2) – k 5. lednu

Jestli jsem před chvíli psal o linuxových systémech, loňský rok moje slova docela jednoznačně potvrzuje, nejvíce chybových hlášení se totiž postupně dočkal Android, Debian a Ubuntu.

490637434
Operační systém Windows byl nejděravějším softwarem podle databáze CVE naposledy v roce 1999 a to ve verzi NT

První příčce tedy kraluje nejpopulárnější mobilní platforma současnosti a bronz pak patří nejmasovější linuxové distribuci, ze které vychází opět hromada dalších odvozených operačních systémů.

TOP10 nejděravějšího softwaru v roce 2016

  1. Android (523)
  2. Debian (319)
  3. Ubuntu (278)
  4. Flash Player (266)
  5. Novell Leap (259)
  6. OpenSUSE (228)
  7. Acrobat Reader (227)
  8. Adobe Acrobat DC (227)
  9. Adobe Acrobat (224)
  10. Linux kernel (217)

Teprve bramborová medaile patří tolik proklínanému Flash Playeru, kterému se celý internet směje pro jeho bezpečnostní rizika. Opět je ale třeba zopakovat, že kompletní linuxová distribuce je samozřejmě nepoměrně komplikovanější kus softwaru než Flash Player.

A Windows? Desítky najdete až na 13. příčce za surovým linuxovým kernelem a Mac OS. Starší Sedmičky a Osmičky jsou ještě hlouběji, protože se jim už odborná komunita jakožto zastaralým systémům tolik nevěnuje.

TOP10 nejděravějšího softwaru za roky 1999 až 2017

  1. Mac OS X (1 679)
  2. Linux kernel (1 564)
  3. Firefox (1 437)
  4. Chrome (1 370)
  5. iOS (984)
  6. Flash Player (973)
  7. Debian (933)
  8. Internet Explorer (825)
  9. Ubuntu (797)
  10. OpenSUSE (783)

Hrozí mi tedy nebezpečí?

Samotný zápis chyby programu v databázi CVE je ale vlastně dobrou zprávou. Znamená to, že specialista chybu řádně zdokumentoval, a výrobce tak může připravit opravu. Mnohem zákeřnější jsou naopak chyby, o kterých široká odborná veřejnost zatím neví, ale ruský hacker nad nimi právě píše nový ransomware, který nějakému nebožákovi za pár týdnů zašifruje celý počítač.

Podstatné je tedy to, jak rychle autor softwaru po zveřejnění chyby vydá záplatu. A zde mají mnohdy výrobci ještě mezery. Zatímco u klíčových programů, kam patří jak Windows, tak další operační systémy, dorazí v rámci průběžných nebo i mimořádných aktualizací oprava zpravidla poměrně rychle, u zmíněného Flash Playeru nebo i Javy se čekání na opravu nejednou protáhlo na dlouhé měsíce. A to je už samozřejmě ostuda a obrovské riziko.

Co udělat s novým počítačem s Windows, než ho začnete používat

Diskuze (52) Další článek: AirBar vytvoří na jakémkoli notebooku dotykový displej, třeba i na MacBooku

Témata článku: Software, Apple, Windows, Linux, Bezpečnost, Operační systémy, Hacking, Antivirus, Malware, Únik dat, Statistiky, CVE, Žezlo, The Linux Foundation, Nový ransomware, Mantra, Jediný program, Dlouhá léta, Nejpopulárnější kus, Kernel, Odborná komunita, Linuxový kernel, Dlouhý rok, Identifikátor, Zastaralý systém, Produkty Apple na jednom místě - Heureka.cz




Doporučujeme

Dubnový Computer

Aktuální číslo časopisu Computer

Jak používat VR k práci

Megatest 18 levných monitorů

Test lokátorů s Bluetooth

Průvodce nákupem RAM

Kupte si časopis nebo předplatné

O webu


AVmania.cz

Proč si předplatit Netflix? Třeba kvůli těmto filmům. Všechny mají dabing nebo české titulky

AVmania.cz

25 nejlepších válečných filmů, kterým můžete věřit. Víme, jestli a kde je můžete najít online

SportRevue.cz

FOTO : Sexy Soccer! I takhle (kdysi) vypadalo žhavé (a polonahé) fotbalové léto

Blesk.cz

Útok na Sněmovnu? Poslanci budou nacvičovat. Svět není bezpečný, říká její kancléř Plíšek

Reflex.cz

Karel Steigerwald: Zásadní zprávou z posledního kongresu ODS je, že byl zcela nevýznamný

Reflex.cz

Nejúspěšnější česká hra posledních let se vrací. Kingdom Come 2 vyjde letos. Nabídne Kutnou Horu i pistole

Živě.cz

Mysleli na bezpečnost, dnes to působí jako vtip. Vybíráme kuriozity z hlav automobilových konstruktérů

Živě.cz

Místo žhavého pekla globálního otepleni možná přijde mrazivé sevření nové doby ledové

Auto.cz

Borgward Isabella (1954-1962): Labutí píseň impéria

Auto.cz

Auta na vodík to mají asi spočítané. V USA je nikdo nechce