CERT: Статистика выявленных уязвимостей за 2006 год

Координационный центр Computer Emergency Response Team (CERT) опубликовал отчёт, содержащий статистику выявленных уязвимостей за 2006 год. Сбор статистики группой CERT осуществляется на основе публичных источников и тех отчётов, которые присылают пользователи. Всего выявлено 8064 уязвимости, что на 35% больше, чем в 2005 году.

Другие «сборщики» также зафиксировали существенный рост количества уязвимостей: данные Vulnerability Database, Open-Source Vulnerability Database и Symantec Vulnerability Database говорят о росте на 20-35%.

По мнению Арта Маниона, представителя CERT, причина такого скачка в данных статистики обусловлена, прежде всего, тем, что появилось достаточное количество качественных сервисов и программ, которые облегчили выявление «слабых мест» в ПО. Ощутимый вклад вносят и сообщества пользователей, достаточно активно информирующих о тех или иных проблемах безопасности.

Простой поиск с помощью Google Code Search помогает специалистам и просто опытным пользователям выявлять потенциальные уязвимости. «Большое количество отчётов о возможных уязвимостях специалисты компаний, специализирующихся на вопросах безопасности ПО, получили от пользователей, которые использовали этот поисковый механизм», - говорит Стивен Кристи, редактор CVE Project. В этой связи он также отмечает активное использование grep - утилиты для Unix-систем.

Повышение количества уязвимостей не означает, что интернет стал намного опасней для пользователей по сравнению с 2005 годом. К примеру, многие веб-приложения, в которых были обнаружены уязвимости, создаются и используются относительно небольшими сообществами, а не крупными игроками сетевого рынка. Однако в то же время приложения, написанные на PHP, занимают особо «почётное» место в статистических отчётах: доля этих приложений в списке «незащищенных» составляет 43%. PHP используют не только небольшие сетевые проекты, но и крупные компании вроде Yahoo и Google.

Доля уязвимостей, обнаруженных в операционных системах, за 2006 год снизилась, особенно на фоне доминирования в этом вопросе веб-приложений. Однако это вовсе не означает, что безопасность тех или иных ОС возросла. «Вредоносные приложения по-прежнему пытаются атаковать системы, просто сейчас они реже используют для этого уязвимости ядра ОС», - говорит Оливер Фредрикс, директор по вопросам безопасности компании Symantec.