25 év sebezhetőségeinek története

Figyelemre méltó elemzést prezentált a múlt heti RSA konferencián a Sourcefire biztonsági cég, amely a CVE (Common Vulnerabilities and Exposures) és NVD (National Vulnerability Database) adatbázisok alapján rajzolta fel az elmúlt 25 év fenyegetettségi történetét.

2006 volt a biztonsági mélypont

Az elmúlt 25 évben biztonsági szempontól 2006 volt a mélypont, állítja a Sourcefire, akkor 6612 sebezhetőséget dokumentáltak különféle szoftverekben. 1988-tól kezdve évről évre meredeken emelkedett a dokumentált sebezhetőségek száma (egyedüli kivétel 2003 volt), az évtized második felétől azonban a gyártók láthatóan egyre jobban elkezdtek figyelni a biztonságra, 2011-re a jelentett sérülékenységek száma 4151-re csökkent, viszont 2012-ben ismét nagyot nőve 5218-ra emelkedett - hogy ez az ugrás egyszeri vagy trendszerű, egyelőre nem tudni.

A Sourcefire elemzése szerint a súlyos és kritikus, a CVSS skálán 7 vagy magasabb besorolású sebezhetőségeket tekintve sokat javult a helyzet mostanában, az előző évtizedben a megtalált hibák átlagosan 45 százaléka esett e két kategóriába, míg tavaly csak 33 százalék. Az ilyen sérülékenységek száma 2007 óta folyamatosan csökken, 2012-ben alig több mint fele volt a 2007-es csúcsnak. Ugyanakkor ha csak a kritikus (CVSS besorolás szerint 10) sebezhetőségeket vizsgáljuk, az látszik,hogy az arányuk az évek során az összes sebezhetőségen belül 2011-ben volt a legmagasabb (9,32%) az ezredforduló óta és 2012-ben sem volt sokkal kevesebb

A legtöbb súlyos vagy kritikus sebezhetőség puffertúlcsordulásos (több mint 7800), de a "cross-site scripting" hibák (több mint 7000) is ott vannak az "élmezőnyben" - emellett a hozzáférés-kezelés, a SQL injection, illetve a az "input validation" sérülékenységek is 10-10 százalékkal részesednek az összes dokumentált hibából. Ha csak a súlyos és kritikus sebezhetőségeket vizsgáljuk, akkor is a pufferhibát okozók állnak az élen, második helyen a SQL injection, csak a kritikus sebezhetőségeket tekintve pedig még magasabb a pufferhibával kapcsolatos biztonsági rések aránya - derül ki a Sourcefire által nyilvánosságra hozott számokból. Érdemes megjegyezni, hogy a fenti adatok a CVS lista teljes, 25 éves időtartamára érvényesek, 2012-ben az acces control jellegű hibákból volt a legtöbb.

A Windows vagy a Linux a sebezhetőbb?

Az NVD adatait összesítve a Soucefire összeállítást készített a "legtöbb sérülékenységet előállító" szoftvergyártókról is, 25 éves teljesítményük alapján. A jelentés szerint a legtöbb sebezhetőséget a Microsoft szoftvereiben találták, második az Apple, harmadik az Oracle a "szégyenpadon", majd az IBM, a Sun, a Cisco, a Mozilla, a Linux (kernelfejlesztő közösség), a HP és az Adobe következik. Ha csak a súlyos vagy kritikus sebezhetőségeket vesszük figyelembe, a Microsoft és az Apple marad az élen, de a harmadik már a Cisco, negyedik a Sun, ötödik az Adobe, ezt követően IBM, Mozilla, HP, Google, Oracle a sorrend. Teljesen feje tetejére áll a lista azonban, ha csak a kritikus (CVSS=10) sérülékenységeket vizsgáljuk: az Oracle vezet a HP előtt, majd az IBM, a Mozilla és a Sun következik, a Microsoft csak hatodik. A redmondi céget az Adobe, a Google, a Cisco és az Apple követi.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

A gyártók teljesítményét éves bontásban vizsgáló grafikonon jól látszik, hogy az Oracle 2008 óta egyre több sebezhetőségért felelős, ez feltehetően a Sun felvásárlásának és a Java megszerzésének az eredménye. 2006 óta meredeken emelkedik az Apple-sérülékenységek száma is, miközben a listát 2010-ig minden évben vezető Microsoftnál látványosan csökkent a dokumentált biztonsági rések száma az elmúlt két évben. 2010-ben 300 fölött volt a CVE adatbázisban szereplő Microsoft-sebezhetőségek száma, 2012-ben ez 170 körülre esett vissza.

A Sourcefire még ennél is tovább ment és megpróbálta a sérülékenység-adatbázisok statisztikai vizsgálatával megtalálni a legsebezhetőbb termékeket. A cég elemzése szerint a legsebezhetőbb szoftver a dokumentált hibák alapján a Linux kernel és a Mozilla Firefox, majd az OS X és a Chrome következik, ezt követi a rangsorban a Windows XP és az Internet Explorer - érdekes módon a "rossz hírű" Adobe Flash még az első tíz közé sem fért be ezen a listán. Ha a súlyos vagy kritikus sérülékenységeket vizsgáljuk csak, a Windows XP és a Mozilla Firefox vezet - ezek lényegében kiemelkednek a mezőnyből a bennük talált sérülékenységek számát tekintve, a Windows XP-ben 453, a Firefoxban pedig 433 súlyos vagy kritikus hibát dokumentáltak eddig.

Érdemes megjegyezni, hogy a Linux kernel ebben az összesítésben egy termékként szerepel, míg a különféle Windows-változatok külön termékként, így a rendszerek közvetlen összehasonlítása nem lehetséges. A Sourcefire azonban összegyűjtötte az összes Windows-sebezhetőséget és azt találta, a számuk 1000 feletti, ami több mint a Linux kernelben megtalált sérülékenységek száma összesen (937). Jól látható az adatokból az is, hogy a Windows-verziók az idő előrehaladtával egyre kevésbé sérülékenyek, a Windows XP-ben 629 sebezhetőséget dokumentáltak, a Vistában már csak 359-et, a Windows 7-ben pedig 225-öt - igaz, a termékek nem egyforma ideje vannak piacon.

Az iOS a legsérülékenyebb mobil platform

Az okostelefonos platformok közül toronymagasan az iOS rendelkezik a legrosszabb mutatókkal, 210 sebezhetőséget tart nyilván róla a CVE, míg az Androidban csak 24-et, a mobil Windowsokban (Mobile, Phone,CE, RT) 14-et, a BlackBerry OS-ben pedig 11-et. Az iOS minden évben toronymagasan vezette a mobil operációs rendszerekben dokumentált sérülékenységek listáját, ráadásul a sebezhetőségek számra évről évre folyamatosan nő - 2012-ben már 86 sebezhetőséget találtak benne.