Ty, kdo před začátkem roku 2017 ve své organizaci eliminovali software od Adobe, ohrožovalo v minulém roce bezmála o pětinu méně zranitelností. Z celkového počtu 1 522 zranitelností nahlášených v roce 2017 (zpráva Frost & Sullivan hodnotí 26 % z nich jako kritických a 35 % jako velmi vážných) jich totiž 166 připadalo na Adobe Reader a Acrobat a 119 na Adobe Flash Player. Na třetím místě pak skončily prohlížeče Explorer a Edge s 92 zranitelnostmi následované Windows (54) a Microsoft Office (53). Za zmínku stojí i fakt, že s výjimkou Windows jde oproti roku 2016 ve všech případech o nárůst.

Pouhá dvě procenta zranitelností přitom zveřejní sami tvůrci SW – drtivou většinu odhalují a zveřejňují třetí strany, v případě odhalení a zveřejnění v rámci programů či soutěží hledání a odhalování chyb je ale obvykle výrobci dán dostatečný čas na opravu zranitelnosti. Nízké procento zranitelností zveřejněných tvůrci SW je i způsob, jak si krýt záda. Pokud totiž výrobce přizná, že o zranitelnosti nějakou dobu věděl a publikoval ji například až po několika týdnech či měsících, když byla dokončena a distribuována oprava, mohl by teoreticky čelit postihům či soudním sporům za to, že zjištěné skutečnosti nezveřejnil ihned.

Bezmála polovinu zranitelností přitom objeví jednotlivci – v minulém roce to bylo 743, zatímco na bezpečnostní firmy a výrobce SW připadalo 611, na státní organizace (CERT apod.) 54 a anonymně jich bylo odhaleno 114. Mezi kyberbezpečnostními firmami je pak jednoznačnou jedničkou co do počtu zveřejněných zranitelností Trend Micro se svou Zero Day Initiative – v minulém roce šlo o 630 zranitelností (3,5x více než Google Project Zero, 15x více než US CERT a 20x více než FortiGuard Labs).

Stále populárnější jsou také odměny pro „lovce“ chyb a zranitelností nebo speciální soutěže. Jen Google v minulém roce pro tyto účely vyhradil devět miliard dolarů (plnou třetinu ale nakonec vyplatil už k lednu 2017), mezi další výrobce SW s podobnými programy patří Facebook, Mozilla, Microsoft a Yahoo. Patrně nejstarší otevřenou sponzorovanou soutěží je Pwn2Own podporovaná bezpečnostní společností Trend Micro – běží již od roku 2007 a jen v minulém roce bylo v jejím rámci vyplaceno přes 1,3 milionu dolarů v cenách za odhalení zranitelností na desktopech a mobilních zařízeních.

Doutnajícím soudkem prachu je pochopitelně svět IoT, jak upozornilo již v minulém roce Cisco, typické problémy IoT lze shrnout do dvou hlavních bodů:

• Velmi omezené či chybějící funkce pro nahlášení a záplatu běžných zranitelností
• Běží na specializovaných architekturách často se zastaralými a nezáplatovanými aplikacemi

Podle zprávy Altman Vilandrie & Co. se s nějakou formou narušení bezpečnosti související s IoT setkala již bezmála polovina amerických firem. Výtečnou ukázkou, jak může koordinovaný útok pomocí IoT zařízení vypadat, se v roce 2016 stal botnet Mirai, který pomocí DDoS způsobil nedostupnost Twitteru a Netflixu. Během následujících měsíců se objevoval v různých obměnách – jedna například během pár hodin zaútočila na bezmála milion domácích routerů Deutsche Telecom.

Objevují se také zcela nové typy IoT útoků, kde je cílem zařízení samo –  jako například PoS Malware, který útočí na prodejní pokladní systémy s cílem zcizit platební informace, což se stalo například řetězci Kmart nebo hotelům Hyatt.

Slajdy shrnující zprávu Frost & Sullivan si můžete stáhnout zde.

Mezi další hlavní zjištění studie společnosti Frost & Sullivan patří:

• Nejvíce potenciálně zneužitelných chyb bylo odhaleno v přehrávačích médií (292), operačních systémech (212) a webových prohlížečích (120)
• Z pohledu konkrétních produktů na tom byl nejhůře Adobe Reader/Acrobat (166 zranitelností), Adobe Flash Player (119) a Microsoft Internet Explorer / Edge (92).
• Na operační systémy Microsoft Windows připadlo 54 zranitelností a MS Office 53 zranitelností.

Ze statistik Trend Micro ZDI za rok 2017 dále vyplývá, že výrobce softwaru potřebuje v průměru 72 dní na vytvoření záplaty pro danou zranitelnost, kterou ZDI vykoupí a nahlásí výrobci. U produktů Microsoft je to v průměru 43 dní, u Adobe 63 dní. Nastal ovšem i případ, kdy zranitelnost zůstala nevyřešená až 252 dní.

Na hledání zranitelností se podílí i Česká republika. Součástí společnosti Trend Micro je tým Advanced Threat Research, který sídlí i v Praze. Má na starosti analýzu nových malwarů, vyhledávání nových hrozeb nebo tvorbu algoritmů pro strojové učení. Dále v Praze sídlí laboratoře Digital Vaccine Labs (DVLabs), které mají na starosti implementaci filtrů pro Intrusion Prevention Systems (IPS) po nalezení nových zranitelností.

„Díky tomu, že nalezneme zranitelnost dříve než kdokoli jiný, můžeme zajistit ochranu proti tzv. zero-day hrozbám dříve, než je zneužijí hackeři. Standardně nabídneme výrobci softwaru informaci o zranitelnosti a dáme mu 3měsíční lhůtu na to, aby vytvořil na svůj produkt záplatu – patch. Až poté zranitelnost, či částečné informace o ní oznámíme veřejně,“ říká Robin Bay, Sales Engineer společnosti Trend Micro.