domingo, marzo 08, 2009

2008, una gran cosecha

La gente de Secunia, una de las organizaciones dedicadas a seguridad informática más famosas, ha hecho un informe sobre los resultados que se han dado en durante el año 2008. Es una estadística sobre los resultados en el año 2008 y por lo tanto tiene su interpretación, habrá a quién le guste, habrá a quién no le guste, pero a mí me gustan las estadísticas, será porque soy 90% falible.

Vulnerability Research

O quiénes somos los que más vulnerabilidades encontramos. Para ello han hecho un estadística sobre los bugs que permitían acceso al sistema en remoto descubiertos en el año 2008 en software popular. No tenemos la lista de software popular, pero seguro que podemos imaginárnoslos. Como se puede apreciar, los que más de los más son los de Secunia. Sin embargo esta tabla parece más una respuesta al estudio de cazadores de bugs publicado por X-Force


¡Pero qué buenos que somos!

Software popular sin parchear

Con Personal Software Inspector [PSI] y con Online Software Inspector [OSI], Secunia puede tener acceso a información realmente valiosa sobre el software sin actualizar que corre en las máquinas. Es curioso ver algunos casos como por ejemplo, sólo con las diez piezas de software más popular encontradas se pueden detectar más de 3.000.000 de programas inseguros. En la tabla se muestra el número de veces que se ha detectado esa pieza de software y el porcentaje de ellas que estaban sin parchear.


Java gana por goleada

Sin embargo, como recuerda el informe, la persona que ha instalado PSI en su ordenador o ha usado OSI tiene cierto interés en la seguridad y protección de su equipo por lo que el número de ellas que serán vulnerables en aquellos equipos que no lo han instalado será bastante superior. Tampoco hay que olvidar los productos como Office 2003 o versiones anteriores que por desgracia tienen aun un alto grado de copias sin actualizar por parte de los usuarios. Los resultados obtenidos con OSI son similares, como se puede ver en la imagen siguiente.


El top ten con OSI

Ataques 0-day

En lo referente a ataques de día 0, es decir, de los que se explotan antes de que haya ninguna información técnica o parche por parte del fabricante, el año 2008 ha tenido 12 en total, afectando a software relativo a tecnologías Microsoft en 9 de los casos. Como apunta el informe, al final, una buena política de parcheo puede reducir considerablemente el impacto de las vulnerabilidades del software.


Por plataformas

Vulnerabilidades en Navegadores

Estos resultados son particularmente curiosos. Si nos atenemos al número de vulnerabilidades que afectan a cada software se puede ver que Firefox ha tenido 115 vulnerabilidades, es decir más del triple de vulnerabilidades que han afectado a Internet Explorer, Safari u Opera.


Firefox en cabeza...

Por el contrario, atendiendo a tipos de plug-in, los más afectados han sido los desarrollados con tecnología ActiveX. Al final, un ActiveX es un binario que se carga en el navegador y la cantidad de ActiveXs que existen hoy en día hacen de él un buen caldo de cultivo para buscar exploits.<


Vulenrabilidades en plug-ins de navegadores

En cuanto al tiempo de reacción, Internet Explorer sale peor parado con un menor tiempo de respuesta. Hay que tener en cuenta que las políticas de testing en los parches siempre han perjudicado a Microsoft en esta métrica. Sin embargo, el número de fallos de regresión que tiene Internet Explorer es bastante menor.

Resumen del año

Para terminar, la tabla de resumen del año con cantidad y tipo de vulnerabilidades comparada con años anteriores. Como se puede comprobar, el 2008 ha sido un año de "buena cosecha".


2008, una gran cosecha

Puedes descargar el informe completo de la siguiente URL: Secunia 2008 Security Report

Saludos Malignos!

2 comentarios:

Anónimo dijo...

Eres un crack. Te "pico" un poco con las estadísticas y sacas esto :)
Buenísimo.

Saludos.

NetVicious dijo...
Este comentario ha sido eliminado por el autor.

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares