25 jaar aan kwetsbaarheden in software

Sourcefire, een Amerikaanse leverancier van netwerk beveiligingsoplossingen, heeft een rapport uitgebracht over 25 jaar aan kwetsbaarheden in software. Hierin staan enkele opvallende bevindingen over softwarelekken door de jaren heen.

Het rapport is samengesteld uit data aangeleverd tussen 1988 en 3012 aan de CVE-database en de NV-database. Het rapport bevat data die op bepaalde punten opvalt. Allereerst de toename van kwetsbaarheden die jaarlijks stapsgewijs toenam. Tussen 2004 en 2006 nam de toename zelfs flinke sprongen, om geleidelijk minder sterk toe te nemen tot 2007. Na 2007 nam het aantal ontdekte kwetsbaarheden ineens af.

Een afname van softwarelekken

Het rapport legt niet uit waarom softwarelekken vanaf 2007 afnemen. Mogelijk heeft het te maken met maatregelen die Microsoft trof. In 2007 schroefde het bedrijf namelijk de beveiliging van Windows Vista op.

Vulnerabilities by year
Vanaf 2007 nam het aantal aangetroffen kwetsbaarheden af. Bron: Sourcefire Vulnerability Team

iOS, Android, Windows en BlackBerry

Wat smartphones betreft bevat iOS verreweg de meeste lekken. 81 procent van het aantal lekken is in het besturingssysteem van Apple gevonden. Android neemt een tweede plaats in met 24,9 procent. Daarachter volgen Windows Phone (14,6 procent) en BlackBerry (11,4 procent). Opvallend, want hoewel het aandeel van Android laatste jaren flink steeg, is het aantal gemelde lekken juist afgenomen. De hoofdonderzoeker Yves Younan zegt dat dit te maken heeft met het gesloten karakter van iOS. Juist doordat Android meer open is en het gemakkelijk is om malafide software voor het besturingssysteem te schrijven en in de Play Store te plaatsen, proberen cybercriminelen lekken te vinden in de iOS-software zelf.

Smartphone vulnerabilities
iOS kent verreweg de meeste kwetsbaarheden. Opvallend gezien het stijgende marktaandeel van Android. Bron: Sourcefire Vulnerability Team

Kritisch

Het rapport laat zien dat veiligheid en het voorkomen van kwetsbaarheden in software nog sterk voor verbetering vatbaar is.  Lang niet alle kwetsbaarheden worden ontdekt en als dat wel zo is is het vaak te laat. Dit betekent dat de gevonden resultaten in het rapport zijn gebaseerd op kwetsbaarheden die we op dit moment kennen, en ook enkel vanuit de CVE- en NV-database. De conclusie van het rapport: software die we dagelijks gebruiken kan kwetsbaar zijn. Wellicht kwetsbaarder dan wijzelf, en de onderzoekers, beseffen. Dat is niet iets om bang voor te zijn, maar wel iets om rekening mee te houden.

Vulnerabilities by year
25 jaar aan kwetsbaarheden in software
Sourcefire heeft een rapport uitgegeven waarin enkele opvallende bevindingen gedaan worden.