Štítky článku: •  

Linuxem letem světem (6)

V tomto dílu jsem měl původně v úmyslu začít s přípravou systémového disku pro zavedení operačního systému Linux, ale zdá se mi účelné ještě jednou se krátce vrátit k bezpečnosti (nejen) operačních systémů.

Po dlouhé roky patřilo k psaným i nepsaným pravidlům, že nejnebezpečnějším operačním systémem jsou Windows (libovolného typu) a nejnebezpečnější prohlížeč Internetu (browser) je Internet Explorer. Do jisté míry je to pravda i dnes, i když je třeba tento axiom poněkud korigovat. Nikdo nebude tvrdit, že Windows jsou bezchybné a vyjdeme-li z předpokladu, že je to nejrozšířenější operační systém, s největším počtem uživatelů, pak samozřejmě každá jednotlivá chyba krát počet uživatelů rovná se gigantické číslo potenciálních míst k napadení počítače.

A obdobně můžeme tvrdit, že pokud hackeři (pro mne z poněkud těžko pochopitelných důvodů) se neustále pokoušejí prorazit bezpečnostní systémy jakéhokoliv softwaru, pak svoje úsilí zaměřují především na nejrozšířenější software, aby mohli způsobit co nejplošnější a největší škody. A stejně tak musíme vzít v úvahu i nesporný fakt, že software je čím dál tím komplikovanější a jsme-li obeznámeni s programátorským pravidlem číslo jedna, že v každém programu je obsažena alespoň jedna chyba, pak je jasné, že operační systém konstruovaný modulárním způsobem obsahuje nejméně tolik chyb, kolik obsahuje modulů. A ty moduly můžeme u operačního systému počítat na velké desetitisíce. (Aktuálně obsahuje systém Windows 7 přes 84 000 souborů, které zabírají přes 21 GB.)

Jak vypadá souhrnná statistika hlášených chyb podle výrobců za delší období (1999–2017)?

  1. Microsoft (4 732)
  2. Oracle (3 918)
  3. Apple (3 498)
  4. IBM (3 015)
  5. Cisco (2 795)
  6. Google (2 172)
  7. Adobe (2 135)
  8. Mozilla (1 714)
  9. Sun (1 630)
  10. Linux (1 578)

Takže zopakuji tvrzení, které je sice poměrně rozšířené, ale žel dnes již ne zcela platné, že pro operační systém Linux v podstatě neexistuje žádný virus ani malware. Tento axiom přestal platit v okamžiku, kdy se Linux začal internetem šířit v masovějším měřítku a i o něj se hackeři začali zajímat. Takže už se dnes běžně setkáme i s linuxovými botnety (například aféra heartbleed). A tvrzení, že takzvané Open Source programy (s otevřeným kódem) jsou dokonalou zárukou bezpečnosti, je již dnes hluboce otřeseno. Spíš bychom mohli tvrdit, že jsou sice poměrně dobré, ale jsou pouze nedostatečně otestované na potenciální útoky.

Výsledek uvidíme, pokud se podíváme na obdobnou tabulku za rok 2016 podle výrobců:

  1. Oracle (793) — zejména JRE, Java Runtime Environment
  2. Google (698)
  3. Adobe (548)
  4. Microsoft (492)
  5. Novell (394)
  6. IBM (382)
  7. Cisco (353)
  8. Apple (324)
  9. Debian (320)
  10. Canonical (280)

Takže tvrzení musíme opravit tak, že zranitelné jsou úplně všechny operační systémy a aplikace, a je pouze ekonomickou otázkou, od kdy se útočníkům vyplatí pro ně malware vyvíjet. Dokud byl Linux okrajovým operačním systémem, nestálo to za tu práci.

Výbornou vypovídací schopnost v čase má následující tabulka, která zobrazuje postupně v letech nejděravější producenty programů:

  • 1999: Microsoft (171)
  • 2000: Microsoft (143)
  • 2001: Microsoft (173)
  • 2002: Microsoft (243)
  • 2003: Microsoft (103)
  • 2004: Microsoft (148)
  • 2005: Microsoft (166)
  • 2006: Microsoft (267)
  • 2007: Microsoft (255)
  • 2008: Microsoft (236)
  • 2009: Microsoft (236)
  • 2010: Microsoft (317)
  • 2011: Google (295)
  • 2012: Oracle (380)
  • 2013: Oracle (505)
  • 2014: Oracle (471)
  • 2015: Apple (708)
  • 2016: Oracle (793)
  • 2017: Netgear (3) — už k 5. lednu

Dobře si všimněte zlomového roku 2011!!! To jsme se prošli přehledem přes producenty softwaru. A nyní se podívejme na konkrétní produkty s největším počtem nalezených bezpečnostních chyb (1999–2017):

  • 1999: Windows NT (64)
  • 2000: Red Hat Linux (47)
  • 2001: Red Hat Linux (47)
  • 2002: Internet Explorer (54)
  • 2003: Sun Solaris (44)
  • 2004: Internet Explorer (59)
  • 2005: Linux kernel (133)
  • 2006: Mac OS X (106)
  • 2007: PHP (114)
  • 2008: Mac OS X (94)
  • 2009: Firefox (126)
  • 2010: Chrome (152)
  • 2011: Chrome (266)
  • 2012: Chrome (249)
  • 2013: Linux kernel (189)
  • 2014: Internet Explorer (243)
  • 2015: Mac OS X (444)
  • 2016: Android (523)
  • 2017: Netgear Arlo Q Plus (2) — k 5. lednu

Jak uvidíme postupně v následujícím přehledu, ke slovu se zvolna dostávají i linuxové operační systémy. S masovým rozvojem chytrých telefonů se do čela dostává zcela logicky Android a hned za ním následují standardní distribuce Linuxu Debian a Ubuntu.

TOP10 nejděravějšího softwaru v roce 2016

  1. Android (523)
  2. Debian (319)
  3. Ubuntu (278)
  4. Flash Player (266)
  5. Novell Leap (259)
  6. OpenSUSE (228)
  7. Acrobat Reader (227)
  8. Adobe Acrobat DC (227)
  9. Adobe Acrobat (224)
  10. Linux kernel (217)

A pokud byste měli pochybnost a ptali se, kde se mi v tomto seznamu ztratily ty proklínané Windows? Kupodivu až na třináctém místě leží Windows 10 (před nimi kupodivu i Mac OS), a daleko, daleko za nimi se ztrácí Windows 7 a zcela propadákové Windows 8, které jsou sice děravé jako řešeto, ale hackeři se jimi pro jejich minoritu už nezabývají.

TOP10 nejděravějšího softwaru za roky 1999 až 2017

  1. Mac OS X (1 679)
  2. Linux kernel (1 564)
  3. Firefox (1 437)
  4. Chrome (1 370)
  5. iOS (984)
  6. Flash Player (973)
  7. Debian (933)
  8. Internet Explorer (825)
  9. Ubuntu (797)
  10. OpenSUSE (783)

A aby tento přehled nebyl příliš dlouhý, uděláme si už jenom krátkou exkurzi do loňského roku (2019):

Za loňský rok bylo celkově evidováno 17 310 zranitelností, tedy 5% nárůst oproti roku předchozímu a trend počtu nalezených zranitelností je vzestupný již třetí rok za sebou. Nejvíce nových zranitelností bylo zaregistrováno v operačních systémech Google Android, Debian Linux, Windows Server 2016 a Windows 10. Z aplikací potom Adobe Acrobat, cPanel a Google Chrome.

Na celkovém ohrožení se vloni podílely především zranitelnosti u operačních systémů, které zaujaly prvních 7 z 10 nejvíce ohrožených softwarových produktů, přičemž v první desítce nejzranitelnějších figuruje hned pět systémů Windows. První místo mezi nejohroženějšími výrobci patří tedy opět Microsoftu, který vystřídal v roce 2018 nejzranitelnější Debian.

Klíčové údaje roku 2019:

  • Nejohroženějším desktopovým operačním systémem byl v roce 2019 Debian Linux (360), následují Windows Server 2016 a Windows 10 shodně s 357 zranitelnostmi. Windows 7, které letos přestaly být podporovány, registrovaly vloni 250 a Apple Mac OS X 117 zranitelností.
  • U mobilních operačních systémů bylo zjištěno 414 zranitelností u Google Android a 156 měl Apple iOS.
  • Mezi aplikacemi byl ji tradičně nejvíce zranitelný Adobe Acrobat (342), dále pak webhostingová aplikace cPanel (321), z webových prohlížečů Google Chrome (177), Mozilla Firefox (105) a Microsoft Edge (90).
  • Top 5 výrobců softwaru s nejvyšším celkovým počtem zranitelností zahrnuje Microsoft, Google, Oracle, Adobe a Cisco.

Tolik tedy k přehledu bezpečnostních děr nejen v operačních systémech, ale i v jednotlivých typech účelového softwaru. Je třeba mít stále na paměti, že za všech okolností a vždy jsou hackeři v předstihu a výrobci a vývojáři komerčních i nekomerčních produktů teprve reagují na odhalené bezpečnostní chyby. Průměrná doba reakce vývojových týmů na nalezenou bezpečnostní díru se pohybuje v průměru kolem 30 dnů, a pokud je mi známo, tak jedna z poměrně velmi rizikových bezpečnostních děr zůstala neošetřená plných 270 dnů. Tož nás tedy opatruj pánbůh!

Zdroje:

PeTaX

Autor článku: | Vydáno: | Přečteno: 213 × | Prestiž Q1: 5,13

+4 plus Známkuj článek minus –0

Interní diskuse

Komentáře

Článek má 2 komentářů.

Pravidla pro diskutující

Přidáním komentáře souhlasíte s tím, že budete dodržovat základní pravidla slušné výměny názorů. Vítám jejich střet, ale snažte se je vždy vést v rámci kultivované debaty. Bude-li se někdo chovat jako sprostý nevychovanec, pokud bude urážet ostatní komentující, nebo mi bude zanášet diskusi nevyžádanou reklamou, takové příspěvky nekompromisně zablokuji. Na oplátku slibuji, že kontroverzní příspěvky nebudu editovat, ani mazat. Za deset porušení těchto pravidel budete z diskuse nekompromisně a navždy vyřazeni (včetně IP adresy). PeTaX

Napsat nový komentář
wenkovan

Bylo by férové uvést např. u Debianu, kolik zranitelností bylo skutečně pouhého Debianu a kolik jich bylo ve volitelných balíčcích ostatního SW.

PeTaX

To zdroj neuvádí explicitně, ale předpokládám, že jde o kernel Debianu a ne o appky.

Napsat nový komentář

Zbývá 2048 znaků.

Svobodný svět

Jen svoboda jednotlivce vede ke svobodné společnosti

top