Podle nezávislé studie Frost & Sullivan: Analysis of the Global Public Vulnerability Research Market, 2017 bylo v loňském roce nalezeno a nahlášeno celkem 1 522 nových zranitelností, tedy potenciálně zneužitelných softwarových chyb. V průměru se tak jedná o 4 nové zranitelnosti denně, které jsou navíc ve více než polovině případů kriticky závažné (26 %) nebo velmi závažné (36 %).
Softwarové zranitelnosti jsou chyby, které lze pomocí exploitů zneužít například pro získání dat nebo ovládnutí počítače za účelem instalace a šíření počítačových hrozeb, jako je malware či ransomware. V loňském roce si velkou pozornost vysloužila například zranitelnost EternalBlue, která se týkala chyby v zabezpečení zastaralé služby Windows pro sdílení souborů SMB a umožnila vznik ransomwaru WannaCry. Ten napadl více než 230 000 počítačů ve 150 zemích po celém světě a způsobil škody za miliardy dolarů. S rostoucím počtem zranitelností se zvyšuje i počet útoků, které tyto zranitelnosti zneužívají a rostou i finanční škody, zejména ve firemní sféře.
Podle Frost & Sullivan se na odhalování zranitelností podílejí z drtivé většiny třetí strany. Pouze ve 2 % případů našel novou zranitelnost samotný výrobce softwaru. Nejčastěji hlásili zranitelnosti jednotlivci. Za závažnou zranitelnost je možné získat i desítky tisíc dolarů.
Kdo se na zranitelnosti zaměřuje
Na odhalování zranitelností se zaměřuje řada firem i organizací. Podle analýzy Frost & Sullivan má na svědomí nejvíce nalezených zranitelností iniciativa Trend Micro Zero Day Initiative (ZDI), která odhalila 1 009 z celkového počtu 1522 zranitelností. Na druhém místě je s velkým odstupem Google Project Zero s 340 zranitelnostmi a US-CERTS s 54 zranitelnostmi.
Mezi další hlavní zjištění studie společnosti Frost & Sullivan patří:
- Nejvíce potenciálně zneužitelných chyb bylo odhaleno v přehrávačích médií (292), operačních systémech (212) a webových prohlížečích (120)
- Z pohledu konkrétních produktů na tom byl nejhůře Adobe Reader/Acrobat (166 zranitelností), Adobe Flash Player (119) a Microsoft Internet Explorer / Edge (92).
- Na operační systémy Microsoft Windows připadlo 54 zranitelností a MS Office 53 zranitelností.
Jak dlouho trvá odstranění zranitelnosti
Ze statistik Trend Micro ZDI za rok 2017 dále vyplývá, že výrobce softwaru potřebuje v průměru 72 dní na vytvoření záplaty pro danou zranitelnost, kterou ZDI vykoupí a nahlásí výrobci. U produktů Microsoft je to v průměru 43 dní, u Adobe 63 dní. Nastal ovšem i případ, kdy zranitelnost zůstala nevyřešená až 252 dní.
Hledání zranitelností v České republice
Na hledání zranitelností se podílí i Česká republika. Součástí společnosti Trend Micro je tým Advanced Threat Research, který sídlí i v Praze. Má na starosti analýzu nových malwarů, vyhledávání nových hrozeb nebo tvorbu algoritmů pro strojové učení. Dále v Praze sídlí laboratoře Digital Vaccine Labs (DVLabs), které mají na starosti implementaci filtrů pro Intrusion Prevention Systems (IPS) po nalezení nových zranitelností.
„Díky tomu, že nalezneme zranitelnost dříve než kdokoli jiný, můžeme zajistit ochranu proti tzv. zero-day hrozbám dříve, než je zneužijí hackeři. Standardně nabídneme výrobci softwaru informaci o zranitelnosti a dáme mu 3měsíční lhůtu na to, aby vytvořil na svůj produkt záplatu – patch. Až poté zranitelnost, či částečné informace o ní oznámíme veřejně,“ říká Robin Bay, Sales Engineer společnosti Trend Micro.
Hledání zranitelností jako soutěž
Součástí iniciativ společnosti Trend Micro je i soutěž Pwn2Own a Mobile Pwn2Own, která probíhá od roku 2007 a jejímž cílem je nalezení těch nejkritičtějších zranitelností. Účastníci musí v časovém limitu na plně záplatovaném systému, aplikaci nebo zařízení najít a zneužít zcela novou zranitelnost. Za ročník Pwn2Own 2017 byla výhercům vyplacena celková částka v přepočtu přibližně 18,3 milionu Kč. Jednou z nejzajímavějších objevených zranitelností byl únik z virtuálního stroje VMware. To je něco, čeho se řada zákazníků velmi obává. V lednu 2018 se podařilo to samé z virtuálního stroje Oracle. Na nově objevenou zranitelnost ihned v průběhu soutěže vyvíjejí výrobci daného softwaru záplatu a Trend Micro filtr do svých IPS systémů.