Conheças quem são os mais vulneráveis dos últimos de 25 anos
As vulnerabilidades estão presentes na maioria dos sistemas. A empresa de segurança SourceFire, disponibilizou recentemente um relatório intitulado “25 Years of Vulnerabilities ” (em português – 25 anos de vulnerabilidades), onde se podem consultar os resultados,interessantíssimos, sobre as CVE (Critical Vulnerabilities and Exposures) dos últimos anos, presentes em vários sofwares e dispositivos móveis.
O modelo CVE fornece uma lista de nomes standarizadas para vulnerabilidades e exposições de segurança (podem saber mais aqui). No relatório criado e agora disponibilizado por Yves Younan da SourceFire são apresentados um conjunto de interessantes resultados. Alguns resultados são surpreendentes como por exemplo o facto do Kernel Linux ter o mais numero de vulnerabilidades em comparação com os outros outros produtos…ou por exemplo, menos surpreendente, a Microsoft ser a empresa com o registo de mais vulnerabilidades.
Estatísticas das vulnerabilidades
Por ano
Começamos pelo volume de vulnerabilidades registadas nos últimos 25 anos. Como podemos ver pelo gráfico seguinte, entre 1988 e 2005 houve um crescimento rápido de vulnerabilidades detectadas e reportadas, tendo apenas sido registado uma quebra em 2003. O pico de vulnerabilidades foi em 2006 e nos anos seguintes tem havido uma ligeiro decréscimo.
Por tipo
Buffer overflows são o tipo de vulnerabilidades mais populares dos últimos 25 anos , tendo sido reportadas 7809 vulnerabilidades.O Cross site scripting (XSS) é também uma vulnerabilidade importante, tendo sido reportadas 7006 vulnerabilidades deste tipo.
Por empresa
Um pouco mais controverso, é a abordagem relativamente às vulnerabilidades por empresa. A Microsoft ocupa o primeiro lugar da empresa com mais vulnerabilidades reportadas dos seus produtos (no total 2934), seguido da Apple e Oracle com 1927 e 1531, respectivamente.
Por produto (vulnerabilidades de alto risco)
No segmento dos produtos, o surpreendente Kernel Linux ocupa a primeira posição com 937 CVEs reportadas de alto risco. Segue-se o Firefox com 864 e o MacOS X com 783.
Por produto (vulnerabilidades criticas)
Se avaliarmos por produtos mas considerando que as CVS’s são apenas críticas, o Firefox destaca-se com174 vulnerabilidades, seguido pelo cliente de e-mail Thunderbird. Relativamente ao Chrome, foram registadas 95 vulnerabildiades.
…e já que falamos em distribuições Linux, há que referenciar que o Red Hat ocupa o primeiro lugar (uma boa percentagem), seguido do Suse. O Ubuntu, apesar de ser o mais popular, ocupa o ultimo lugar neste ranking (..onde os últimos são os melhores).
E se for o Windows? Bem, neste caso o Windows XP lidera (estranho não ser o Windows ME). Segue-se o Windows Server 2003 e o Windows 2000.
E agora o resultado que todos esperavam….E nos dispositivos móveis, qual o equipamento com mais “buracos”? Tal como indica o titulo deste artigo, o iPhone foi o equipamento mais hackeado dos últimos anos (ou seja, onde foram encontradas mais vulnerabilidades). No total 210, que corresponde a cerca de 81%, seguido pela plataforma Android que registou apenas 24, o que corresponde a 9%. Será que a Apple não tem apostado na segurança?
De referir que relativamente ao Windows, estão englobadas todas as plataformas: Windows CE, Windows Mobile, Windows RT e Windows Phone
Em resumo
Os resultados apresentados agrupam informação de 25 anos. São dados interessantes que nos permitem deduzir quais são as tendências e também quais as plataformas mais vulnerabilidades. Um dos resultados mais surpreendes é o facto do iPhone ser o mais vulnerável mas é provável que também seja o mais “apetecível “ de hackear. A Microsoft tem apostado forte na segurança nos últimos anos e a posição que ocupa é certamente porque a empresa tem no mercado um numero significativo de produtos. Relativamente aos browsers, o Chrome tem tido muitas vulnerabilidades nos últimos tempos, ao contrário do Safari para o qual foram registadas poucas vulnerabilidades. O Android continua a surpreender pela positiva, com poucas vulnerabilidades detectadas-
