מחקר של 20 שנה: מיקרוסופט ואורקל מובילות בהיקף פרצות האבטחה במוצריהן
מחקר המתבסס על נתוני מכון התקנים והטכנולוגיה האמריקאי: היקף הפרצות המזוהות גדל כל שנה בצורה מדאיגה והכפיל את עצמו כמעט פי 4 מאז 2016. באיזה מקום נמצאת אפל?
מחקר שמתבסס על נתוני מכון התקנים והטכנולוגיה האמריקאי מצא שאורקל ומיקרוסופט מובילות בהיקף פרצות וחולשות האבטחה שנרשמו על שמה (Common Vulnerabilities and Exposures או CVE). הנתונים עובדו על ידי אתר Tech Monitor הבריטי ופורסמו בשבוע שעבר. רשימת החולשות כוללת כיום כ-124 אלף רשומות המסכמות כמעט שני עשורים של מעקב ומחקר ומאוחסנת בידי המכון מאז החלו לרשום אותן ב-2002.
- אפל שילמה 288 אלף דולר בלבד לחוקרים שהצילו את מערכותיה מאסון
- חוקרים ישראלים גילו פרצות חמורות בשירות הענן Azure של מיקרוסופט
- פרצה בגרינדר אפשרה להשתלט על חשבונות המשתמשים באמצעות המייל
החוקרים מצאו גם שהיקף הפרצות המזוהות גדל כל שנה בצורה מאוד מדאיגה. כך למשל ב-2016 נרשמו כ-5,580 פרצות, ב-2019 המספר זינק לכ-14 אלף פרצות והשנה הוא כבר עבר את 20 אלף. המחקר מציע שהגידול הניכר בפרצות נובע בין היתר בגידול האדיר במוצרי אלקטרוניקה ומחשוב - רמקולים חכמים, חיישנים לבית חכם, מכוניות חכמות שהתווספו למחשבים, סמארטפונים, טאבלטים ומיליוני האפליקציות הנלוות.
מנכ"ל מיקרוסופט סאטיה נאדלה צילום: גטי
עם זאת חשוב לציין שאין חברה שלא התגלו אצלה פרצות. מיקרוסופט אמנם מובילה את הטבלה ביחד עם אורקל כאשר לשתיהן כמעט 7,000 פרצות מזוהות, אך מאחוריהן יש את גוגל במקום השלישי, IBM במקום הרביעי ואפילו אפל במקום החמישי. לחובבי הלינוקס, מתברר שגם לגרסת הלינוקס Debian הפופולרית יש מעל 4,000 פרצות וחולשות שרשומות על שמה. אין כמעט מפתחת, טכנולוגיה או יצרנית חשובה שנעדרת מהרשימה. עם זאת ישנן כאלה שנהנות מהיקף חולשות קטן יותר. את הרשימה סוגרות למשל SAP, SUSE ואדובי שלהן פחות מכ-1,500 רשומות.
חשוב לציין שהמצאותן של חולשות או פרצות לאו דווקא מצביע על כך שהמוצרים של חברה מסוימת פחות טובים. לפעמים גם היקף המוצרים פשוט מגדיל באופן מלאכותי את היקפן. ככל שלחברה יש יותר מהם, כך המספר יגדל בהתאם וכך גם מספר חוקרי הסייבר שינסו לגלות אותן. בנוסף, לא תמיד מספר הפרצות הוא זה שקורא להאקר לנסות את מזלו. לפעמים מספיקה פרצה אחת, קלה מאוד לניצול, כדי להצליח לבצע פריצה.
אדובי פוטושופ צילום: שאטרסטוק
כך למשל אדובי סבלה מפריצה מתוקשרת מאוד שבה נגנבו פרטים של מיליוני משתמשים, זאת בעוד מוצריה נהנים ממספר פרצות מזוהה נמוך ביחס לממוצע. במקרה אחר, האקרים ניצלו פרצות בווינדוס כדי לייצר סדרה של נוזקות כופר ששימשו במספר מתקפות לפני כשנתיים-שלוש ושהביאו לנזקים של מיליארדי דולרים.
עוד נתון מדאיג שהתברר לאחר ניתוח של הפרצות השונות הוא שהיקף הפרצות החמורות והקריטיות גדל עם השנים. אלה מהוות כיום כמעט 15% מסך כל החולשות הרשומות בעוד היקפן היה כ-10% ב-2016, אז החלו להירשם. עם זאת, חשוב לשים לב לכך שאין שינוי ניכר בהתפלגות מספר ה-CVE החמורים, הבינוניים והקלים במשך השנים - מה שיכול להביא למסקנה שהחברות לא באמת שיפרו את תהליכי הפיתוח שלהן - לפחות מבחינת אבטחה.
