Szerző: Bodnár Ádám

2013. március 4. 09:29

25 év sebezhetőségeinek története

Érdekes elemzést tett közzé az RSA konferencián Sourcefire biztonsági cég - a vállalat szakértői az NIST által kezelt CVE sebezhetőségi lista eddigi 50 ezer bejegyzését fésülték át azt kutatva, mely szoftverekben találták a legtöbbet.

Figyelemre méltó elemzést prezentált a múlt heti RSA konferencián a Sourcefire biztonsági cég, amely a CVE (Common Vulnerabilities and Exposures) és NVD (National Vulnerability Database) adatbázisok alapján rajzolta fel az elmúlt 25 év fenyegetettségi történetét.

2006 volt a biztonsági mélypont

Az elmúlt 25 évben biztonsági szempontól 2006 volt a mélypont, állítja a Sourcefire, akkor 6612 sebezhetőséget dokumentáltak különféle szoftverekben. 1988-tól kezdve évről évre meredeken emelkedett a dokumentált sebezhetőségek száma (egyedüli kivétel 2003 volt), az évtized második felétől azonban a gyártók láthatóan egyre jobban elkezdtek figyelni a biztonságra, 2011-re a jelentett sérülékenységek száma 4151-re csökkent, viszont 2012-ben ismét nagyot nőve 5218-ra emelkedett - hogy ez az ugrás egyszeri vagy trendszerű, egyelőre nem tudni.

A Sourcefire elemzése szerint a súlyos és kritikus, a CVSS skálán 7 vagy magasabb besorolású sebezhetőségeket tekintve sokat javult a helyzet mostanában, az előző évtizedben a megtalált hibák átlagosan 45 százaléka esett e két kategóriába, míg tavaly csak 33 százalék. Az ilyen sérülékenységek száma 2007 óta folyamatosan csökken, 2012-ben alig több mint fele volt a 2007-es csúcsnak. Ugyanakkor ha csak a kritikus (CVSS besorolás szerint 10) sebezhetőségeket vizsgáljuk, az látszik,hogy az arányuk az évek során az összes sebezhetőségen belül 2011-ben volt a legmagasabb (9,32%) az ezredforduló óta és 2012-ben sem volt sokkal kevesebb

A legtöbb súlyos vagy kritikus sebezhetőség puffertúlcsordulásos (több mint 7800), de a "cross-site scripting" hibák (több mint 7000) is ott vannak az "élmezőnyben" - emellett a hozzáférés-kezelés, a SQL injection, illetve a az "input validation" sérülékenységek is 10-10 százalékkal részesednek az összes dokumentált hibából. Ha csak a súlyos és kritikus sebezhetőségeket vizsgáljuk, akkor is a pufferhibát okozók állnak az élen, második helyen a SQL injection, csak a kritikus sebezhetőségeket tekintve pedig még magasabb a pufferhibával kapcsolatos biztonsági rések aránya - derül ki a Sourcefire által nyilvánosságra hozott számokból. Érdemes megjegyezni, hogy a fenti adatok a CVS lista teljes, 25 éves időtartamára érvényesek, 2012-ben az acces control jellegű hibákból volt a legtöbb.

A Windows vagy a Linux a sebezhetőbb?

Az NVD adatait összesítve a Soucefire összeállítást készített a "legtöbb sérülékenységet előállító" szoftvergyártókról is, 25 éves teljesítményük alapján. A jelentés szerint a legtöbb sebezhetőséget a Microsoft szoftvereiben találták, második az Apple, harmadik az Oracle a "szégyenpadon", majd az IBM, a Sun, a Cisco, a Mozilla, a Linux (kernelfejlesztő közösség), a HP és az Adobe következik. Ha csak a súlyos vagy kritikus sebezhetőségeket vesszük figyelembe, a Microsoft és az Apple marad az élen, de a harmadik már a Cisco, negyedik a Sun, ötödik az Adobe, ezt követően IBM, Mozilla, HP, Google, Oracle a sorrend. Teljesen feje tetejére áll a lista azonban, ha csak a kritikus (CVSS=10) sérülékenységeket vizsgáljuk: az Oracle vezet a HP előtt, majd az IBM, a Mozilla és a Sun következik, a Microsoft csak hatodik. A redmondi céget az Adobe, a Google, a Cisco és az Apple követi.

Mindent vivő munkahelyek

Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Mindent vivő munkahelyek Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

A gyártók teljesítményét éves bontásban vizsgáló grafikonon jól látszik, hogy az Oracle 2008 óta egyre több sebezhetőségért felelős, ez feltehetően a Sun felvásárlásának és a Java megszerzésének az eredménye. 2006 óta meredeken emelkedik az Apple-sérülékenységek száma is, miközben a listát 2010-ig minden évben vezető Microsoftnál látványosan csökkent a dokumentált biztonsági rések száma az elmúlt két évben. 2010-ben 300 fölött volt a CVE adatbázisban szereplő Microsoft-sebezhetőségek száma, 2012-ben ez 170 körülre esett vissza.

A Sourcefire még ennél is tovább ment és megpróbálta a sérülékenység-adatbázisok statisztikai vizsgálatával megtalálni a legsebezhetőbb termékeket. A cég elemzése szerint a legsebezhetőbb szoftver a dokumentált hibák alapján a Linux kernel és a Mozilla Firefox, majd az OS X és a Chrome következik, ezt követi a rangsorban a Windows XP és az Internet Explorer - érdekes módon a "rossz hírű" Adobe Flash még az első tíz közé sem fért be ezen a listán. Ha a súlyos vagy kritikus sérülékenységeket vizsgáljuk csak, a Windows XP és a Mozilla Firefox vezet - ezek lényegében kiemelkednek a mezőnyből a bennük talált sérülékenységek számát tekintve, a Windows XP-ben 453, a Firefoxban pedig 433 súlyos vagy kritikus hibát dokumentáltak eddig.

Érdemes megjegyezni, hogy a Linux kernel ebben az összesítésben egy termékként szerepel, míg a különféle Windows-változatok külön termékként, így a rendszerek közvetlen összehasonlítása nem lehetséges. A Sourcefire azonban összegyűjtötte az összes Windows-sebezhetőséget és azt találta, a számuk 1000 feletti, ami több mint a Linux kernelben megtalált sérülékenységek száma összesen (937). Jól látható az adatokból az is, hogy a Windows-verziók az idő előrehaladtával egyre kevésbé sérülékenyek, a Windows XP-ben 629 sebezhetőséget dokumentáltak, a Vistában már csak 359-et, a Windows 7-ben pedig 225-öt - igaz, a termékek nem egyforma ideje vannak piacon.

Az iOS a legsérülékenyebb mobil platform

Az okostelefonos platformok közül toronymagasan az iOS rendelkezik a legrosszabb mutatókkal, 210 sebezhetőséget tart nyilván róla a CVE, míg az Androidban csak 24-et, a mobil Windowsokban (Mobile, Phone,CE, RT) 14-et, a BlackBerry OS-ben pedig 11-et. Az iOS minden évben toronymagasan vezette a mobil operációs rendszerekben dokumentált sérülékenységek listáját, ráadásul a sebezhetőségek számra évről évre folyamatosan nő - 2012-ben már 86 sebezhetőséget találtak benne.

Kubernetes képzéseinket már közel 300 szakember végezte el. A nagy sikerre való tekintettel a tanfolyamot aktualizált tananyaggal június 18-án újra elindítjuk! A 8 alkalmas, élő képzés képzés órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról