sábado, septiembre 22, 2007

Los valores incontables

Aunque sepamos que la seguridad depende de personas, procesos y tecnología, es chulo de vez en cuando poder hacer alguna comparación de seguridad entre distintos sistemas operativos.

Parece evidente, o al menos de uso común, que la unidad que debe ser manejada ha de ser el bug, el fallo de seguridad, el expediente. Y sobre él hacer rondar el resto de medidas, teniendo en cuenta el nivel de criticidad, la facilidad de explotación, el tiempo de exposición al riesgo, el tiempo necesario de abolición del bug, etc…

Para catalogar las vulnerabilidades, bug o fallos de seguridad se utilizan sistemas como el CVSS (Common Vulnerability Scoring System) que determinan un valor de criticidad de los mismos teniendo en cuenta todos los factores citados en el párrafo anterior. Dicho sistema, del cual es posible utilizar una calculadora en la siguiente URL [http://nvd.nist.gov], evalúa cosas como la existencia o no de un exploit público, la necesidad de estar autenticado en el sistema para explotar la vulnerabilidad o el nivel de acceso a datos que se obtiene para así sacar una nota final a cada bug.

Una vez definida la unidad “botella de vino” para las vulnerabilidades parece que ya estamos en camino para poder contar… pues no. La cosa se sigue torciendo, el siguiente escollo es ¿qué base de datos utilizamos para evaluar las vulnerabilidades?. Las bases de datos de vulnerabilidades tienen más o menos un conjunto igual de expedientes, es decir, los expedientes más famosos, probados o de más impacto tienen su representación en todas las bases de datos. Es decir, el fallo en el RPC de Windows que dio origen a Blaster está en todas las bases de datos. Por otra parte existe un porcentaje de “votantes indecisos” que tienen su representación en bases de datos como Secunia, Security Focus o Milw0rn y dichos expedientes no aparecen en todas. Podemos encontrarnos con un bug documentado en Secunia, que no aparece en Security Focus y del cual el fabricante no ha dicho nada o viceversa. ¿Qué política de validación de expedientes utilizar?

Una vez definida ya la política de expedientes y la métrica de las vulnerabilidades ya lo tenemos todo hecho, ¿o no? Pues no. Hay que definir exactamente qué es lo que vamos a comparar. Podemos aplicar una comparación como la de la campaña que ha hecho Apple en su publicidad: “Hola soy un PC. Hola soy un MAC”. En ella se comparan 300.000 virus en PC contra 0 en MAC. Se olvidan de decir que comparan los virus de toda la historia del IBM PC (incluido el de Ping Pong) contra la última versión de MacOS (para la que ya hay virus pero como son menos de 10 deben redondear a 0). Sí, es cierto que los datos no son comparables y que en Windows ha habido tradicionalmente muchos más virus, pero seguro que una comparación Windows Vista vs MacOS daría unos resultados menos dispares que 300.000 a 0.

Al hacer esto, en una comparación sobre la seguridad en los sistemas operativos, tenemos el problema con Linux. ¿Qué paquetes deben incluirse a la hora de hacer las comparaciones? Se han intentado realizar configuraciones similares a una distribución de Windows XP o de Windows Vista en lo que se denominan las “Apple to Apple Comparisons”, pero siempre es el caballo de batalla en la disputa.

Jeff Jones hizo un estudio cuidadoso en el que evalúa la seguridad de los sistemas operativos Linux, Windows XP, Red Hat Work Station 4 (aún no había llegado a 6 meses de vida la versión 5), Ubuntu 6.06, Novel Suse Linux Enterprise Desktop 10 y MacOs X 10. Para ello ha comparado las vulnerabilidades con las métricas establecidas para todas las vulnerabilidades y sólo para las de nivel High Severity, también ha intentando hacer un Apple-to-Apple reduciendo todo los sistemas operativos a algo equivalente y lo ha cruzado. Es decir, ha mirado todas las vulnerabilidades para todos los sistemas operativos, todas las vulnerabilidades para todos los sistemas operativos reducidos, vulnerabilidades high severity para todos los sistemas operativos y vulnerabilidades high severtiy para sistemas operativos reducidos.

Al final tras haber realizado todas las mediciones, resulta que el informe no vale. Por dos cosas principalmente: La primera es que gana Windows Vista en todas las gráficas y la segunda es que Jeff Jones trabaja en Micro... Spectra y, por tanto, todo lo que dice debe estar manipulado. Da igual que dé todas las formas de medida, los resultados no valen. Así pues, el último problema en la contabilidad de la seguridad es: ¿Quién lo va a contar?

Conclusión: La seguridad de los sistemas operativos sigue siendo INCONTABLE… “para aquellos a los que no les interese”. Si a ti te interesa puedes acceder al informe completo en la siguiente URL: [http://blogs.csoonline.com/node/371].

Artículo Publicado en Windows TI Magazine Septiembre 2007: Los Valores Incontables.

7 comentarios:

UnoMasDeTantos dijo...

datos:
La última estadística que ví de virus identificados en el laboratorio de una reconocida empresa de AV's doblaba los 300000 los virus identficados, y en sus estadísticas los SO de MS se llevaban la palma, curioso que Mac OS X no apareciera (lo mismo no lo scanearon, como MS el el más usado).
El problema está en que no somos conscientes de sis estamos identificados, las mafias hace su agosto a costa de los errores de diseño del SW.
Pregunta:
por qué solo esta cifra afecta a Windows? Será por que es mas vulnerable y fácil de distribuir? Si es el SO más utilizado del mundo, por qué no se lucha contra esto? Otra empresa AV's ha lanzado una iniciativa Inteligencia Colectiva le llaman, claro esto no te gusta compartir el código y el conocimiento...
No habrás escrito tu el famoso artículo del país? Es tu línea ;)
http://www.elpais.com/articulo/internet/Firefox/Mac/seguros/rivales/Microsoft/elpeputec/20070921elpepunet_7/Tes

david dijo...

Creo que todo el mundo tiene claro que una de las cosas importantes es saber quién la dice. Se supone la imparcialidad entre los medios de comunicación. Y ante noticias (sobre todo políticas) no es el mismo enfoque El Pais, El Mundo, Ant3,Tele5,La6 o la 1ª. Todos esos medios marcan una línea editorial y siempre suelen interpretar las noticias de la misma manera.
Leer una comparativa como este y ponerla en "cuarentena" no creo que sea malo. Yo diría que es capacidad de crítica y análisis. ¿Lo contrario no sería de tecnicoless?
Si vas a comprar un coche y preguntas en sus respectivos concesionarios, todos dicen que es el más mejor. Es lo normal.
Saludos.

Maligno dijo...

@unomasdetantos, cuando yo empecé con esto lo que ciruclaba era sobre atacar, hackear y meter troyanos en UNIX. Windows XP es el más usado y el que más se ataca. Hay una cosa que sí es cierta con Windows XP y es que hay muy pocas "versiones" distintas en XP por lo que un virus, como cualquier otro programa, puede funcionar perfectamente en todos. La heterogeneidad de versiones en Linux hace que su distribución sea más dificil. Esta reflexión me la hizo con cariño y amor pajarraco de los Santos y creo que sí, esa es una "facilidad" de Windows a los virus.

¿Por qué piensas que no me gusta compartir el código? Yo comparto de mi casi todo lo que sé. Qué me guste compartir no quiere decir que vea mal el que alguien quiera proteger su negocio, es lícito.

No, no lo he escrito, pero lo estudiaré, parece ...interesante ;)

@David, cierto, la prudencia debe estar, para eso, como dicen los ingleses: "Right to the source, not to the horse". Así que cuando el que te lo dice no te inspira confianza hay que ir a los datos en bruto.

Saludos!

Benigno dijo...

Hombre, un poco a lo que apunta David, un artículo de Microsoft, en el que sale vencedor Microsoft y que se publica en Microsoft no es que sea automáticamente falso, pero sí para cogerlo con pinzas (y puedes cambiar Microsoft por cualquier otra empresa). No creo este hecho sea como para rasgarnos las vestiduras.

Lo de la homogeneidad de Windows, bajo mi punto de "vista", era más cierto hace unos años. Ahora yo veo máquinas con diferentes versiones del framework de .net (también podemos incluir java), unas con el xp sp1, otras con el sp2, con 2000, ahora se apunta vista... no sé, no lo tengo tan claro.

romansoft dijo...

La "localización" en los Windows también cambia, al menos, hasta XP, es decir, no es exactamente lo mismo un Windows XP español que uno inglés. Al menos a la hora de explotar cierto tipo de vulnerabilidades (buffer overflows y similares).

Al final, si te paras a pensar, tanto Unix como Windows tienen diferencias...

Lo que sí es indudable es que el gran parque que existe de Windows en el terreno personal (quitando empresas) los hace un objetivo muy apetitoso. Y no es que antes la gente de a pie no tuviera Windows, que efectivamente lo tenía, sino que antes estas mismas personas no estaban conectadas a Internet y los que lo estaban tenían una maldita conexión de 28.8 kbps... Ahora todo el mundo tiene ADSL o cable en su casa, algo impensable hace unos años... Y los más tech casi se pueden montar su CPD en casa :-)

-r

Maligno dijo...

@Benigno, cierto, hay diferencias, pero incluso puedes hacer sin mucha complicación un virus que corra en casi todas las versiones de windows por la famosa "compatibilidad hacia atrás", sin embargo en linux es más dificil. Te puse falta ayer en Pamplona. Q-U-E-L-O-S-E-P-A-S.

@Romansoft, lo de los CPDS en casa es lo que utilizan las "empresas" de malware como CPD total.

Saludos a los dos waperas!

Gangrolf dijo...

En el curro tengo que mirar diariamente unas 10 páginas entre las que se encuentran securityfocus, secunia, etc...
y realmente me intrigan los parámetros para valorar una vulnerabilidad como low risk o critical, aunque parece que el factor más importante es el impacto.
Entiendo el lio montado con las estadísticas. Si sólo atendemos a los avisos por número, a diario se inflan con linux, extrañamente aparece mac y windows hace tiempo que no lo veo (no asi iexplorer, aunque es menos citado que firefox).
Pero claro, de linux no puedes tampoco generalizar, por que te hablan de fallos en diferentes versiones del kernel, distros y demás. Como dice Beningno, tampoco se puede hablar homogeneamente de windows, pero a estas alturas a nivel doméstico casi todo el mundo cuenta con xp sp2 (salvo si tienes una copia excesivamente fusilada >:])
Sin embargo, por número y estadística es más facil que haya una vulnerabilidad en tu distro y kernel de linux que en tu xp. Pero vamos, que no voy a ponerme a hacer un estudio en profundidad, hablo de estimaciones por lo que veo cada día.

Entradas populares