Tro inte rubriker som hävdar att OS X var den “mest utsatta” programvaran från 2015

0 Shares

Tro inte rubriker som hävdar att OS X var den “mest utsatta” programvaran från 2015

halv-äpple-600x300

Det finns ett gammalt ordspråk som alltid är värt att komma ihåg: “Det finns tre typer av lögner: lögner, förbannade lögner och statistik.”

Det är tanken som kom upp i mitt sinne de senaste dagarna när jag läste nyheter som hävdade att OS X var årets mest utsatta programvara (t.ex. Hackread, SC Magazine, Techworm, Fudzilla och otaliga andra …).

Nyhetsrapporterna härrör från en rapport som producerats av CVE Details, en webbplats som håller antalet säkerhetsproblem baserat på deras CVE-identifierare. Enligt CVE Details tilldelades Apple fler nya CVE-nummer under 2015 än något annat företag.

Ja, mer än Adobe eller Microsoft eller Google eller Oracle …

Och topplistan över CVE-detaljer, som produkten med de mest identifierade säkerhetsproblemen av alla, är Apples OS X-operativsystem.

Sårbarhetsdiagram

Enligt diagrammet fick OS X imponerande 384 sårbarheter, marginellt före iOS vid 375, och sedan en mängd Adobe-produkter, men klart framför Microsofts första inträde – Internet Explorer – på 7: e plats med 231 rapporterade sårbarheter.

Sammantaget räknade forskarna 654 offentliggjorda säkerhetsfel i Apple-produkter, 83 fler än Microsoft som kom på andra plats i företagstabellen med 571 sårbarheter och långt före Cisco (488), Oracle (479), Adobe (460), Google (323), IBM, (312) och Mozilla (188). Men återigen kan denna statistik vara vilseledande.

Det grundläggande problemet med diagram som detta – eller snarare de nyheter som de kan generera – är att antagandet att fler säkerhetsråd motsvarar större sårbarhet är i sig själv, om du ursäktar ordspelet, i grunden felaktigt.

Varför frågar du? Eftersom CVE Details-diagram inte berättar för oss något om svårighetsgraden av de sårbarheter som hittades, vad den potentiella påverkan var eller om bristerna någonsin utnyttjades i naturen.

Detta innebär att om ett företag gör ett bra jobb med att hitta mindre allvarliga säkerhetshål och lappar dem omedelbart, kan det ändå hamna högt uppe i ett diagram över vad media kan framställa som “mest utsatta” program- eller teknikföretag mest plågade av säkerhetsfrågor.

I själva verket kan ett enda kritiskt säkerhetshål i en mjukvara (t.ex. en fjärrkörningsfel) lätt uppväga vikten av hundra mindre viktiga sårbarheter som finns i en annan.

Även om nörd i många av oss älskar idén att göra listor och rangordna programvara och leverantörer i ett försök att avgöra vem som kan vara minst eller säkrast, är det helt enkelt inte att räkna med antalet offentliggjorda sårbarheter. .

Och förresten argumenterar jag inte för att Apple på något sätt är perfekt eller att OS X inte är orolig för säkerhetsfrågor. En snabb återblick på Intego Mac Security Blog hittar ett antal artiklar om allvarliga sårbarheter som har hittats i Apples programvara för OS X och iOS.

Men att försöka göra en förnuftig slutsats om vilken programvara som är “mest sårbar” kommer att leda dig ner på en väg av lögner, jävla lögner och statistik …

fotokredit: flickr foto delat av Cayusa under Creative Commons (BY-NC) licens

Om Graham Cluley

Graham Cluley är en prisbelönt säkerhetsbloggare, forskare och talare. Han har arbetat inom datasäkerhetsbranschen sedan början av 1990-talet, efter att ha varit anställd av företag som Sophos, McAfee och Dr Solomon’s. Han har talat om datasäkerhet för några av världens största företag, arbetat med brottsbekämpande organ för utredningar av hackingsgrupper och dyker regelbundet upp på TV och radio för att förklara datasäkerhetshot. Graham Cluley togs in i InfoSecurity Europe Hall of Fame 2011 och fick ett hedersomtal i de “10 största britterna i IT-historien” för sitt bidrag som en ledande myndighet inom internetsäkerhet. Följ honom på Twitter på @gcluley. Visa alla inlägg av Graham Cluley → Det här inlägget postades i Apple, Software & Apps och taggade Apple, iOS, OS X, sårbarhet. Bokmärk permalänken.

0 Shares