אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
מחקר של 20 שנה: מיקרוסופט ואורקל מובילות בהיקף פרצות האבטחה במוצריהן צילום: pixabay

מחקר של 20 שנה: מיקרוסופט ואורקל מובילות בהיקף פרצות האבטחה במוצריהן

מחקר המתבסס על נתוני מכון התקנים והטכנולוגיה האמריקאי: היקף הפרצות המזוהות גדל כל שנה בצורה מדאיגה והכפיל את עצמו כמעט פי 4 מאז 2016. באיזה מקום נמצאת אפל?

24.10.2020, 13:59 | רפאל קאהאן

מחקר שמתבסס על נתוני מכון התקנים והטכנולוגיה האמריקאי מצא שאורקל ומיקרוסופט מובילות בהיקף פרצות וחולשות האבטחה שנרשמו על שמה (Common Vulnerabilities and Exposures או CVE). הנתונים עובדו על ידי אתר Tech Monitor הבריטי ופורסמו בשבוע שעבר. רשימת החולשות כוללת כיום כ-124 אלף רשומות המסכמות כמעט שני עשורים של מעקב ומחקר ומאוחסנת בידי המכון מאז החלו לרשום אותן ב-2002.

קראו עוד בכלכליסט

הנתונים שנאספים במאגר החולשות של ממשלת ארה"ב כוללים את בעלת או מפתחת המוצר, אילו מוצרים פרוצים וכיצד יש לטפל בה. אלה נרשמים לרוב לאחר שעברו אישור מצד היצרן או הוכחת היתכנות בידי חוקרי סייבר. חומרת הפרצות נעה בין "קלה" ל"חמורה מאוד", כאשר אלה שזוכות לציון האחרון מהוות שערי כניסה פתוחים להאקרים ועברייני סייבר.

החוקרים מצאו גם שהיקף הפרצות המזוהות גדל כל שנה בצורה מאוד מדאיגה. כך למשל ב-2016 נרשמו כ-5,580 פרצות, ב-2019 המספר זינק לכ-14 אלף פרצות והשנה הוא כבר עבר את 20 אלף. המחקר מציע שהגידול הניכר בפרצות נובע בין היתר בגידול האדיר במוצרי אלקטרוניקה ומחשוב - רמקולים חכמים, חיישנים לבית חכם, מכוניות חכמות שהתווספו למחשבים, סמארטפונים, טאבלטים ומיליוני האפליקציות הנלוות.

מנכ"ל מיקרוסופט סאטיה נאדלה, צילום: גטי מנכ"ל מיקרוסופט סאטיה נאדלה | צילום: גטי מנכ"ל מיקרוסופט סאטיה נאדלה, צילום: גטי

עם זאת חשוב לציין שאין חברה שלא התגלו אצלה פרצות. מיקרוסופט אמנם מובילה את הטבלה ביחד עם אורקל כאשר לשתיהן כמעט 7,000 פרצות מזוהות, אך מאחוריהן יש את גוגל במקום השלישי, IBM במקום הרביעי ואפילו אפל במקום החמישי. לחובבי הלינוקס, מתברר שגם לגרסת הלינוקס Debian הפופולרית יש מעל 4,000 פרצות וחולשות שרשומות על שמה. אין כמעט מפתחת, טכנולוגיה או יצרנית חשובה שנעדרת מהרשימה. עם זאת ישנן כאלה שנהנות מהיקף חולשות קטן יותר. את הרשימה סוגרות למשל SAP, SUSE ואדובי שלהן פחות מכ-1,500 רשומות.

חשוב לציין שהמצאותן של חולשות או פרצות לאו דווקא מצביע על כך שהמוצרים של חברה מסוימת פחות טובים. לפעמים גם היקף המוצרים פשוט מגדיל באופן מלאכותי את היקפן. ככל שלחברה יש יותר מהם, כך המספר יגדל בהתאם וכך גם מספר חוקרי הסייבר שינסו לגלות אותן. בנוסף, לא תמיד מספר הפרצות הוא זה שקורא להאקר לנסות את מזלו. לפעמים מספיקה פרצה אחת, קלה מאוד לניצול, כדי להצליח לבצע פריצה.

אדובי פוטושופ, צילום: שאטרסטוק אדובי פוטושופ | צילום: שאטרסטוק אדובי פוטושופ, צילום: שאטרסטוק

כך למשל אדובי סבלה מפריצה מתוקשרת מאוד שבה נגנבו פרטים של מיליוני משתמשים, זאת בעוד מוצריה נהנים ממספר פרצות מזוהה נמוך ביחס לממוצע. במקרה אחר, האקרים ניצלו פרצות בווינדוס כדי לייצר סדרה של נוזקות כופר ששימשו במספר מתקפות לפני כשנתיים-שלוש ושהביאו לנזקים של מיליארדי דולרים.

עוד נתון מדאיג שהתברר לאחר ניתוח של הפרצות השונות הוא שהיקף הפרצות החמורות והקריטיות גדל עם השנים. אלה מהוות כיום כמעט 15% מסך כל החולשות הרשומות בעוד היקפן היה כ-10% ב-2016, אז החלו להירשם. עם זאת, חשוב לשים לב לכך שאין שינוי ניכר בהתפלגות מספר ה-CVE החמורים, הבינוניים והקלים במשך השנים - מה שיכול להביא למסקנה שהחברות לא באמת שיפרו את תהליכי הפיתוח שלהן - לפחות מבחינת אבטחה.

תגיות