National Vulnerability Database opublikowało listę luk wykrytych w zabezpieczeniach aplikacji

W ostatnim czasie więcej luk w zabezpieczeniach jest wykrywanych w Linuksie niż w systemach operacyjnych Microsoftu. Takie statystyki nie powinny jednak prowadzić do wniosku, że któryś z systemów operacyjnych jest bardziej bezpieczny. W każdym oprogramowaniu znajdą się luki umożliwiające włamanie.

Średnio 19 nowych luk dziennie zgłaszano w 2014 r., wynika z informacji podanych przez amerykańską National Vulnerability Database. NVD udostępnia listę luk wykrytych w zabezpieczeniach aplikacji. Warto przyjrzeć się jej bliżej i zastanowić, jakie rysują się trendy. Jakiego rodzaju luki są wykrywane, czy są to luki krytyczne (np. umożliwiające zdalne wykonanie kodu) i czy widać wzrost liczby wykrywanych błędów? W jakich aplikacjach wykrywa się najwięcej luk?

Takie statystki są ważne, ponieważ dla produktów, które zajmują wysokie miejsca na liście najbardziej podatnych aplikacji, łatki bezpieczeństwa są udostępniane najczęściej. Aby zapewnić bezpieczeństwo firmowej infrastruktury, administratorzy IT powinni śledzić tę listę i dla najbardziej zagrożonych aplikacji regularnie sprawdzać dostępność nowych łatek.

Więcej luk

W całym 2014 r. do bazy NVD wpisano 7038 nowych luk w bezpieczeństwie. Jest to liczba znacznie większa niż w 2013 r. Trend wzrostowy utrzymuje się już od kilku lat. Prawie jedna czwarta z tej liczby (24%) została oznaczona statutem ?wysokie zagrożenie?. Jest to odsetek mniejszy niż w 2013 r. Jednak w wartościach absolutnych liczba tego typu luk zwiększyła się. Głównym źródłem zagrożenia są aplikacje ? wykryte w nich luki stanowią 80% wszystkich zgłoszeń. Odsetek luk w systemach operacyjnych wyniósł 13%, natomiast 4% to luki sprzętowe. Co ciekawe, systemy operacyjne Microsoftu, mimo że wciąż wykrywa się w nich znaczącą liczbę podatności, wypadły z pierwszej trójki, w której ?królują? Mac OS X, iOS oraz na pierwszym miejscu jądro Linuksa.

Z punktu widzenia bezpieczeństwa 2014 był trudnym rokiem dla użytkowników Linuksa. Jedne z najpoważniejszych wykrytych w tym okresie luk znaleziono w aplikacjach, które z reguły działają w systemach linuksowych. Przykładowo, Heartbleed to krytyczna luka występująca w OpenSSL, a Shellshock to podatność znaleziona w wierszu poleceń Bash.

Lista najbardziej zagrożonych aplikacji jest jednak bardzo podobna do tej z 2013 r. Nie powinno zaskakiwać, że przeglądarki internetowe to kategoria, w której zgłoszono najwięcej luk. Są one narzędziem dającym dostęp do zasobów serwerowych, a także służą do rozprzestrzeniania szkodliwego kodu w urządzeniach klienckich. Sporą liczbę luk wykryto w bezpłatnych produktach Adobe oraz w Javie, ale przeglądarki wciąż zajmują szczyt tabeli już szósty rok z rzędu. Firefox znalazł się na pierwszym miejscu w 2009 i 2012, Google Chrome w 2010 oraz 2011, z kolei Internet Explorer był na szczycie w 2013 i 2014 r.

Własny raport o lukach w aplikacjach (Vulnerability Review 2015) opublikowała Secunia, firma z branży bezpieczeństwa IT. W 2014 roku zarejestrowała 15 435 podatności w 3 870 aplikacjach. Najwięcej błędów wystąpiło w przeglądarce Google Chrome (504), drugiej miejsce zajął Oracle Solaris (483), trzecie Gentoo Linux (350), a na czwartym znalazł się Internet Explorer (289). Apple Mac OS X zajął 13. miejsce (147), Windows 8 miejsce 20. (105). Spośród systemów Microsoftu najwięcej luk zgłoszono właśnie w Windows 8, ale ich liczba w 2014 roku była mniejsza o ok. 33% niż rok wcześniej. Z kolei w Windows 7 wykryto ?zaledwie? 33 luki w 2014 r. Rok wcześniej znalazły się ich aż 102.

Jednak pierwsza dwudziestka została zdominowana przez oprogramowanie IBM ? zmieściło się w niej aż 8 produktów tego producenta. Są to, m.in. Tivoli Endpoint Manager, Tivoli Storage Productivity Center, IBM Websphere Application Server, IBM Domino oraz IBM Lotus Notes. Trzeba dodać, że programy pochodzącego od jednego producenta mogą zawierać te same błędy, więc sytuacja IBM może być nieco lepsza niż to wynika z suchych statystyk.

Środki zapobiegawcze

Aby zapewnić bezpieczeństwo firmowej infrastruktury IT, administratorzy powinni skupić się (aktualizować w pierwszej kolejności) na następującym oprogramowaniu:

  • systemach operacyjnych (Windows, Linux, Mac OS X),
  • przeglądarkach internetowych,
  • Javie,
  • bezpłatnych produktach Adobe (Flash Player, Reader, Shockwave Player, AIR).



Trzeba podkreślić, że statystyki takie, jak ten opublikowane przez NVD czy Secunię nie mają na celu obwiniania kogokolwiek. Ich celem jest uświadomienie użytkowników, że każde oprogramowanie, a nawet sprzęt, mogą zawierać luki w bezpieczeństwie. Jednocześnie warto dodać, że częstotliwość publikowania łatek bezpieczeństwa rośnie wraz ze wzrostem popularności danej aplikacji.

Dla administratora IT takie zestawienie jest jak przewodnik wskazujący obszary, na które należy zwrócić szczególną uwagę. Trzeba jednak zaznaczyć, że nie należy traktować tego jako pretekstu do zaniedbywania innych obszarów. Uwagi bowiem wymagają wszystkie produkty funkcjonujące w firmowej infrastrukturze IT. Nie należy też sądzić, że programy, w których wykryto mniej luk są bardziej bezpieczne. W każdym oprogramowaniu można znaleźć luki, które da się wykorzystać. Dlatego podstawowym przykazaniem jest szybkie instalowanie aktualizacji. Według danych z raportu Vulnerability Review 2015 wynika, że w przypadku 83% wykrytych podatności odpowiednia łatka została opublikowana tego samego dnia, kiedy informacja o luce trafiła do publicznej wiadomości.

 

Źródło : http://www.computerworld.pl/