آسیب پذیری ها به مرور زمان

داده های مصرف کننده ، که باید خصوصی نگه داشته شود ، ممکن است سود بیشتری از نفت داشته باشد – قانون فدرال اجازه می دهد تا به ارائه دهندگان خدمات اینترنتی (ISP) از داده های شما سود ببرند. . با این حال ، فعالیت آنلاین شما در معرض سوء استفاده توسط مهاجمین است که به دنبال "دستیابی غیرمجاز یا سوء استفاده از شبکه و منابع آن" هستند.

فقط 894 آسیب پذیری فنی در سال 1999 گزارش شد. 20 سال بعد ، این رقم تقریباً 14 برابر افزایش یافته و به 12174 رسیده است. با این حال ، 2018 بیشترین تعداد آسیب پذیری را نشان داد: 16556 . مطابق با پایگاه داده ملی آسیب پذیری ، Debian GNU / Linux ، مخزن منبع باز ، در سال 2018 دارای 1919 آسیب پذیری بوده است. با توجه به ماهیت نرم افزار منبع باز ، این مجوز مجاز است تا کاربران بتوانند از آن استفاده کنند ، کپی کنند ، مطالعه کنند. انجام و سیمهای منبع را در مخازن جعلی خود تغییر دهید.

در حالی که چنین تعداد زیادی می تواند نگران کننده باشد ، به طور متوسط ​​در 197 روز و در 69 سالگی آسیب پذیری های فنی تشخیص داده می شود ، اما یک نقض دو ساله اخیر iOS که بر هزاران آیفون تأثیر می گذارد ، متخصصان ترسناک است. با این وجود ، بیشترین آسیب پذیری گزارش شده در Android در سال 2016 ، 2017 و 2019 وجود داشته است ، اگرچه iOS به هیچ وجه این لیست را ایجاد نکرد.

Granted Access

انواع مختلفی از آسیب پذیری وجود دارد: برخی از مهاجمان کمک هزینه می توانند به اطلاعات خصوصی دسترسی داشته باشند ، در حالی که برخی دیگر دستورات ناخواسته یا برنامه های خرابی را فعال می کنند. نقض iOS به دلیل طولانی بودن توجه ، بلکه به دلیل دامنه آن بسیار مهیج بود. در میان "14 نقص امنیتی" که با استفاده از یک زنجیره کد دسترسی داشتند ، این حمله به شکارچیان امکان جمع آوری اطلاعات حساس در مورد کاربران آیفون ، از جمله گذرواژه ها ، و گوش دادن به ارتباطات رمزگذاری شده را داد.

اجرای کد ، که به یک مهاجم اجازه می دهد دستورات دلخواه را اجرا کند ، مسئولیت بیش از 1 از 4 آسیب پذیری فنی در سال 2019 و به دنبال آن اسکریپت های متقاطع (17.7٪) بود. اجرای کد با 3،041 سوراخ امنیتی متداول ترین نوع آسیب پذیری در سال 2018 بود.

حملات انکار سرویس (DoS) تنها در حدود 10٪ از آسیب پذیری های محصول در سال 2019 بود ، اما بیش از سایر آسیب پذیری ها در سال 2017. با این حال ، GitHub بیشترین حمله DoS را متحمل شد. بزرگترین وب سایت تا کنون در سال 2018 که وب سایت آن ویروسی شد. حدود 5 دقیقه آفلاین است. به همین دلیل است که در سال 2019 فقط 919 حمله DoS رخ داده است – شرکت ها توجه داشته باشند و محصولات خود را با حمایت های لازم متناسب کنند.

تقسیم پاسخ HTTP از نظر تاریخی کمترین نوع آسیب پذیری فنی بوده است. احتمالاً این امر به این دلیل است كه برنامه ها در شناسایی مقادیر ورودی خارجی موفق هستند.

فروشندگان امتحان

مشاغل بیش از 20 سال گذشته به داده های دیجیتال ، محاسبات ابری و تحرک نیروی کار وابسته شده اند ، که این امر باعث افزایش مواجهه آن با امنیت سایبر می شود.

که در سال 1975 تأسیس شد ، مایکروسافت یكی از موفق ترین شركت های فناوری در جهان است. 668 آسیب پذیری مایکروسافت در سال 2019 گزارش شده است. از سال 2009 ، مایکروسافت 6،814 آسیب پذیری فنی را ذکر می کند.

با این حال ، لینوکس در پایگاه داده ملی آسیب پذیری NIST به عنوان گزارش شده ترین آسیب پذیری در هر محصول در 139.4 مشخص شد ، احتمالاً به این دلیل که شرکت نرم افزاری نسبتاً جوان است و محصولات کمتری دارد. .

لازم به ذکر است. اینکه فروشنده و طبقه بندی محصولات همه چیزهایی هستند که بانک اطلاعات را شناسایی می کنند.

با سیستم عامل خود مشکلی دارید؟

طی 20 سال گذشته ، دبیان لینوکس نرم افزارهای رایگان و کاربر پسند را در دیتابیس قرار داد ، زیرا دچار 3،067 آسیب پذیری فنی گزارش شده است. . به گفته وب سایت خود ، جامعه ای که از Debian Linux استفاده می کند "بسیار پاسخگو است" و آسیب پذیری ها معمولاً طی چند روز برطرف می شوند.

Android 54 آسیب پذیری های بیشتری نسبت به Debian Linux در سال 2019 نشان داد. این ممکن است به این دلیل باشد که تلفن های اندرویدی با برنامه های شخص ثالث از پیش نصب شده ساخته شده اند و در نهایت کاربران را در معرض اشکالات بررسی نشده قرار می دهند.

سه محصولی که Android و Debian Linux را دنبال کردند از مایکروسافت آمده اند: ویندوز سرور 2016 ، ویندوز 10 و ویندوز سرور 2019.

آیا باید نگران باشید؟

با استفاده از سیستم امتیاز دهی مشترک آسیب پذیری (CVSS) ، که از 0 تا 10 متغیر است ، ما محصولات با بالاترین آسیب پذیری در معرض خطر از سال 1999 تا 2019 را تشریح کردیم. با نگاهی به 50 محصول بیشترین آسیب پذیری 20 سال گذشته ، Adobe Flash Player بالاترین میانگین وزن را در 9.4 داشت.

از 15 محصول ذکر شده ، watchOS و iTunes (هر دو محصول اپل) شدیدترین آسیب پذیری محصول را دارند (اگرچه قرار گرفتن در معرض آنها در محدوده 7.0 باقی مانده است).

مرور خصوصی

دسترسی به اینترنت یک حقوق بشر است ، اما کارشناسان گزارش می دهند که اکثر آمریکایی ها احساس می کنند که حریم شخصی آنها کنترل چندانی ندارد. و دلیلی برای نگرانی وجود دارد. نتایج ما نشان می دهد که طی 20 سال گذشته ، محصولات فناوری حاوی داده های حساس شما به طور فزاینده ای در برابر بدافزار آسیب پذیر شده اند. همه چیز از اطلاعات بانکی گرفته تا آنچه چاپ می کنید مستعد است ، اما لازم نیست که قابل قبول باشد.

در حالی که حدود 6 از 10 آمریکایی معتقدند که نمی توان بدون جمع آوری داده های آنها زندگی روزمره را طی کرد ، هنوز می توانید اطلاعات حساس خود را کنترل کنید. در نظر بگیرید که یک شبکه خصوصی مجازی (VPN) ایجاد کنید تا سابقه و داده های مرور خود را از دست جنایی حفظ نکنید. برای راهنمایی ها و منابع مقایسه از TheBestVPN.com دیدن کنید تا به شما در انتخاب بهترین VPN برای حفظ فعالیت آنلاین خود خصوصی کمک کنید.

روش شناسی

با استفاده از داده های پایگاه داده ملی آسیب پذیری انستیتوی ملی و فناوری ، از طریق پایگاه داده امنیتی CVE Details ، به آسیب پذیری های فنی برخی از فروشندگان فن آوری و محصولات مصرفی رسیدیم.

داده ها برای هر سال از سال 1999 تا 2019 در دسترس بودند. داده های مربوط به سال 2019 در 2 ژانویه سال 2020 کشیده شد ، و شامل داده هایی برای هر ماه از آن سال تقویم بود. از آنجا که دیتابیس دائماً به روز می شود ، ممکن است اعداد ارائه شده تغییر کرده باشند.

این پایگاه داده به 13 نوع آسیب پذیری فنی می پردازد. ما همه انواع را در تجزیه و تحلیل داده های خود گنجانده ایم. لازم به ذکر است که منابع دیگر ممکن است انواع مختلفی از آسیب پذیری را توصیف یا نامگذاری کنند. ما تصمیم گرفتیم كه نامهای نوع را مطابق با نامهای موجود در دیتابیس قابل دسترسی از طریق CVE Data نگهداریم.

بنابراین همه طبقه بندی محصولات و فروشندگان در این پروژه در پایگاه داده NIST مشخص شده اند. ما هیچ طبقه بندی دستی ای انجام ندادیم و داده هایی را که در پایگاه داده ذکر شده است ارائه کردیم. این می تواند با مقایسه بین محصولات مختلف و فروشندگان مشکلات بالقوه ایجاد کند.

محاسبه آسیب پذیری های حاصل از محصول با تقسیم تعداد کل آسیب پذیری های فروشنده بر تعداد محصولات گزارش شده توسط فروشنده انجام می شود. محاسبه در پایگاه داده انجام شد. با این حال ، ما دوباره محاسبه را انجام دادیم و اعداد را گردآوری کردیم ، اما بانک اطلاعاتی مقادیر محاسبه شده را گرد آورده است. بنابراین ، اعداد ارائه شده در اینجا ممکن است کمی از دیتابیس تغییر کند.

هنگام جستجوی محصولات خاص ، بانک اطلاعاتی لیست محصولات اصلی آسیب پذیری را محاسبه می کند. ما تصمیم گرفتیم که 20 نمایش برتر را در نمایش های نهایی داده ها به نمایش بگذاریم ، به استثنای نمرات CVSS که در آن 25 رتبه برتر را نیز درج می کنیم.

با ذکر لیست محصولات ، توجه به این نکته ضروری است که برخی از محصولات بارها و بارها با نام های مختلف در پایگاه داده تعریف می شوند. بنابراین ، ممکن است همین محصول با نام های مختلف در لیست های ما ظاهر شود.

سرانجام ، ما خطر آسیب پذیری محصول را بررسی کردیم. این کار با استفاده از سیستم امتیاز دهی مشترک آسیب پذیری (CVSS) انجام شد. بر اساس معیارهای متعدد ، به آسیب پذیری ها نمره 0 تا 10 داده می شود. اطلاعات بیشتر در مورد این سیستم را می توان در اینجا یافت.

این پایگاه داده با توجه به تعداد کل آسیب پذیری های خاص ، میانگین وزنی CVSS را برای 50 محصول برتر فراهم کرد. نمایندگی نهایی ما 25 محصول برتر با بالاترین میانگین وزن CVSS را نشان می دهد. اطلاعات بیشتر در مورد چگونگی محاسبه رسانه وزنی را می توان در اینجا یافت.

بیانیه استفاده منصفانه

ما در دنیایی به طور فزاینده متصل ، با مزایا و معایب آن زندگی می کنیم. بهترین راه برای محافظت ، آگاهی و آگاه ماندن است. اگر شخصی که می دانید از اطلاعات ارائه شده در این پروژه بهره مند شود ، شما می توانید آن را برای هرگونه استفاده مجدد غیر تجاری به اشتراک بگذارید. با این حال ، ما می خواهیم که شما به اینجا لینک دهید تا افراد بتوانند کل پروژه را مشاهده کرده و متدولوژی را بخوانند. این امر به شرکت کنندگان ما نیز اعتبار می دهد تا چنین پروژه هایی را امکان پذیر سازند.