Soluzioni tecniche

Qual è il software con più bachi?

31 Gennaio 2017

Se dovessimo premiare il sistema con più bachi, Linux quest'anno si prenderebbe la medaglia d'oro, d'argento e anche di bronzo. Batterebbe perfino il famigerato Adobe Flash.

Android Mobile OS, basato su kernel Linux, vince in maniera indiscutibile con 523 vulnerabilità nel solo 2016. Il secondo e terzo posto se li prendono le distribuzioni Debian e Ubuntu rispettivamente con 319 e 278 vulnerabilità. Il kernel di Linux (da solo) si prende la decima posizione, superando MaxOS e le recenti versioni di Windows.
 

I software più vulnerabili del 2016

La tabella che riporto qui sotto è basata sulle vulnerabilità riportate da ricercatori di sicurezza e pubblicamente documentate in CVE Details.

I software più vulnerabili del 2016

 

La situazione è cambiata rispetto al 2015, quando la classifica era capitanata da Apple, che oggi invece si può riposare sugli allori.

Ecco una rapida carrellata dei "vincitori" delle passate edizioni:

  • Apple Mac OS X nel 2015 (444 bugs)
  • Internet Explorer nel 2014 (243 bugs)
  • The Linux Kernel nel 2013 (189 bugs)
  • Google Chrome nel 2012 (249 bugs)
  • Google Chrome nel 2011 (266 bugs)
  • Google Chrome nel 2010 (152 bugs)
  • Mozilla Firefox nel 2009 (126 bugs)
  • Mozilla Firefox tied with Apple OS X nel 2008 (96 bugs)
  • PHP nel 2007 (114 bugs)
  • Apple OS X nel 2006 (106 bugs)
  • Linux Kernel nel 2005 (133 bugs)

Tutti gli sforzi che Microsoft ha fatto negli ultimi anni per rendere sicuri i propri sistemi sembra stiano dando qualche frutto: infatti nonostante i luoghi comuni continuino a “dare contro a Microsoft”, guardando ai numeri, il colosso del software non compare mai in cima a queste particolari classifiche.

I produttori di software con più bachi

Rileggendo sempre gli stessi dati, ma organizzando le vulnerabilità in base al produttore di software, esce un’altra interessante classifica.

Oracle è la regina incontrastata: è in testa con 793 vulnerabilità, e la maggior parte riguarda prodotti come Oracle, mySQL, Solaris (la propria distribuzione Linux).

Google si piazza al secondo posto con 698 bug (la maggior parte dei quali si trova in Android e Chrome); mentre la terza piazza se la aggiudica Adobe con 548 bug, distribuiti fondamentalmente fra Flash Player e Adobe Reader/Acrobat.

Ecco la classifica dettagliata: 

Una classifica del “male” fa sempre sorridere: ma c'è poco da sorridere se riflettiamo su tutte le “porte lasciate aperte” dal software che utilizziamo quotidianamente.
O ci ritiriamo in una caverna e abbandoniamo questo mondo (è una scelta che si può fare) oppure continuando a vivere su questo pianeta dobbiamo sfruttare la tecnologia e i software per lavorare meglio, nonostante tutti i rischi intrinsechi.

Se ti occupi di IT a livello professionale, la cosa migliore da fare per curare le vulnerabilità dei software è aggiornare in modo sistematico le applicazioni, utilizzando strumenti come Kaseya o Autotask Endpoint Management.

Tutto ciò potrebbe non essere sufficiente: per mettere al sicuro i tuoi dati occorre un sano backup (anche delle postazioni desktop, perché anche sui PC si trovano dati di importanza critica).
Se ancora non lo conosci ti segnalo che puoi provare gratuitamente BackupAssist Desktop.
 
Tratto dal blog di BackupAssist

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (2)
guest
2 Commenti
Più vecchio
Più recente Più votato
Inline Feedbacks
Guarda tutti i commenti
Luca Sasdelli
Luca Sasdelli
5 anni fa

Carissimo Claudio, in effetti queste sono "classifiche" che fanno veramente sorridere.
Nel mio lavoro ho messo le mani su RT-11, RSX-11M, SystemV, Xenix, SCO, MacOS, MacOSX, SunOS, Solaris, Windows, Linux, VxWorks e di bachi per un verso o per l’altro ne ho sempre trovati in quantità.
A mio avviso, per classificare in modo più obbiettivo bisognerebbe vagliare, piuttosto che le singole CVE, le CVSS e metterle in relazione al contesto applicativo.
Nei test di vulnerabilità che eseguo per conto di un grosso produttore di carte di credito, possono emergere zero notifiche per un firewall perimetrale coi controcosi e 140 notifiche "rosse" per un NAS messo lì per backup di roba poco importante: è chiaro che il firewall perimetrale NON DEVE avere nemmeno una "low", mentre il NAS per la robetta può anche stare così. E’ proprio grazie al calcolo CVSS che si può stimare, nel tempo, il rischio che una data piattaforma presenta, oltre a valutare la progressione del rischio e delle relative azioni correttive.
https://nvd.nist.gov/cvss/v2-calculator?

P.S.: indubbiamente l’argomento è per me affascinante e mi piacerebbe che se ne discutesse spesso, dato che è qualcosa in continuo divenire e il valore degli apparati si sta decisamente spostando sul valore dei dati gestiti.

Claudio Panerai
Claudio Panerai
5 anni fa

Concordo con quello che dici, ossia che le vulnerabilità vada messa in relazione al contesto applicativo. Ma le classifiche da un lato mi facevano sorridere, dall’altro è sempre necessario non abbassare la guardia e sensibilizzare gli operatori del settore ad aggiornare sistematicamente sistemi operativi e applicazioni.