Navegadores: Una cuenta de seguridad

24 04 2010

El experto en seguridad Chema Alonso publicó la Comparativa de seguridad de navegadores en sistemas Windows, un documento donde se han mirado muchos aspectos de la seguridad de los navegadores. Sí, muchos ya habéis oido hablar de ellos y de otros he hablado ya en su blog Un informático en el lado del mal, pero ayer actualizron el conteo de vulnerabilidades que hicimos, y estos son los resultados. El documento está disponible en la web de Informática64 en la siguiente URL: Comparativa de seguridad de navegadores en entornos Windows.

Periodo y versiones de estudio

Hacer una comparativa de vulnerabilidades de navegadores es dificil cuando Firefox no da soporte más atrás de la versión 3.5 y esta es del 30 de Julio de 2009 mientras que Internet Explorer 8 ha cumplido ya un año. La cosa se complica cuando tenemos a Google que con Chrome, de vivir en la beta perenne de Gmail, ha pasado a tener una versión final cada 4 meses. Así que tuvimos que hacer un cálculo de compromiso y luego prorratearlo por meses para hacernos una idea de las vulnerabilidades medias. Así, se han contado las vulnerabilidades de:

– Internet Explorer 8: 12 meses
– Chrome 2, 3 y 4: 10 meses
– Firefox >= 3.5: 9 meses
– Opera >=9.6: 14 meses
– Apple Safari 4.0: 9 meses

A unos les parecerá bien, a otros les parecerá mal, pero este documento no pretende nada más que ilustrar un poco que ha pasado en ese tiempo.

Vulnerabilidades

En primer lugar se han contado las vulnerabilidades que han tenido en esas versiones en ese periodo de tiempo.


Gráfico 1: Número total de vulnerabilidades contadas
Este resultado, prorrateándolo entre el número de meses nos deja un valor mensual de:


Gráfico 2: Vulnerabilidades media por mes
Estos datos dan una imagen de los parches que pueden ser esperados cada mes de cada uno de los navegadores, nada más.

Modificadores

Por supuesto, el número de vulnerabilidades no es el factor determinante, hay muchas otras características que mirar, como su grado de criticidad, su estado de parcheo, etc… Además, hay que tener en cuenta, que no todos los navegadores despiertan el mismo grado de interés dentro de la comunidad de investigación donde Opera, por ejemplo, está un poco olvidado. Por supuesto, las vulnerabilidades en navegadores más utilizados son las más deseadas por las mafias para la distribución de malware. La cuota de mercado por familias, comprobada ayer, dejaba estos resultados:


Gráfico 3: Cuota de mercado de uso por familias
Como se puede apreciar, tanto Firefox con Internet Explorer, son los más apetecibles hoy en día para la industria del malware.

Otro factor, que no hemos querido tocar, es la curva de descubrimiento de vulnerabilidades a lo largo de la historia. Según un varia la antigüedad de un producto varía su grado de descubrimiento de vulnerabilidades. Todos estos aspectos no se han evaluado, porque el objetivo no es sacar un valor que responda a todas las preguntas del universo, sino traer un poco de luz al asunto.

Niveles de Criticidad

Para tomar estas medidas se ha optado por utilizar el sistema de medición y la terminología de Secunia. Y este es el gráfico por niveles SIN prorratear por meses.


Gráfico 4: Niveles de criticidad
Como se puede ver Internet Explorer 8 tiene 7 vulnerabilidades marcadas como Extremly Critical. Sin embargo, este resultado merece una explicación.

La única diferencia entre una vulnerabilidad Highly Critical y una Extremly Critical es que de la Highly Critical se sabe a ciencia cierta que existe un exploit público que se ha utilizado antes de que exista el parche. Sin embargo, estructuralmente, las vulnerabilidades Highly Critical y Extemly Critical son iguales.

En segundo lugar, en la cuenta sale perjudicado el sistema de publicación acumalado, tal y como hace Internet Explorer – y Firefox en Marzo – en el que salen varias vulnerabilidades juntas en un mismo advisory. Esto implica que el nivel de criticidad de todas las vulnerabilidades fuera el del advirosy, y éste tiene el de la vulnerabilidad de mayor criticidad.

En la mayoría de los estudios en los que se evalúan las prácticas de desrrollo las vulnerabilidades Highly Critical y Extremly Critical, al ser identicas y depender su diferencia sólo de factores externos, estas se unifican, pero nosotros hemos querido dejarlas separadas.

La presentación

Las diapositivas recogen los otros apartados evaluados en el paper dentro de las opciones de seguridad del navegador y están recogidos en la siguiente presentación.





Unos intrusos torpedearon el sistema de claves de Google en diciembre

24 04 2010

Los autores del ciberataque del pasado diciembre contra el sistema de la compañía Google obtuvieron información de las claves de acceso de millones de usuarios, incluidos los correos electrónicos y aplicaciones empresariales, informa The New York Times.

El programa, con el nombre en clave Gaia, el de la diosa Tierra en la mitología griega, agrega el diario, recibió un ciberataque durante dos días.

Aparentemente, los “intrusos”, como así los define el periódico, no habrían robado claves personales de los usuarios del servicio de correo electrónico de Google (Gmail), aunque el gigante de internet inició entonces rápidos cambios en la seguridad de sus redes.

Para el diario, estos detalles aumentan el debate sobre la seguridad y la privacidad de los grandes sistemas y servicios como Google, que centralizan información digital de millones de personas y empresas.

The New York Times recuerda la vulnerabilidad de lo que popularmente se describe como “la nube”, el grupo de ordenadores que alojan cantidad ingente de información, y señala que una sola ruptura de sus códigos o de su seguridad puede tener consecuencias devastadoras.

El robo ocurrió con un mensaje enviado a un empleado de Google en China que empleaba el programa Messenger de Microsoft, según la fuente que exigió el anonimato.

Al acceder a un enlace “envenenado” de una página web, el empleado permitió involuntariamente que los “intrusos” accedieran a su ordenador personal y luego a un grupo de computadoras de un grupo altamente cualificado en su sede central de Mountain View (California).

Tras la ciberintrusión la empresa anunció el pasado 12 de diciembre que modificaba su política en China por los ataques a la propiedad industrial y los riesgos de las cuentas personales de dos defensores de los derechos humanos en China.

El anunció desató tensiones entre Pekín y Washington, que tuvieron como consecuencia que Google decidiera mover sus operaciones en China a la Región Administrativa Especial de Hong Kong.

Fuente: El Periódico de Catalunya.





Chistes sobre Chuck Norris

17 04 2010

      

1.- Las Tortugas Ninja están basadas en una historia real. Chuck Norris se comió una vez una tortuga entera, y cuando la cagó, ésta medía dos metros y había aprendido karate.

2.- Si le preguntas a Chuck Norris qué hora es, siempre responde “Faltan dos segundos”. Después de preguntarle “¿Dos segundos para qué?”, te pega una patada giratoria en la cara

3.- No hay teoría de la evolución, solo una lista de criaturas a las que Chuck Norris permite vivir.

4.- Chuck Norris puede dividir entre cero.

5.- Chuck Norris es la razón por la que Wally se esconde

6.- Chuck Norris pidió un Big Mac en un Burger King y le hicieron uno

7.- Chuck Norris vendió su alma al diablo a cambio de su rudo buen aspecto y su inigualable destreza en las artes marciales. Poco después de finalizar la transacción, Chuck dio una patada giratoria al Diablo en la cara y recuperó su alma. El Diablo, que aprecia la ironía, no pudo enfadarse con él, y admitió que debía haberla visto venir. Ahora juegan al póquer el segundo miércoles de cada mes.

8.- El único niño que ha podido sobrevivir a una patada giratoria de Chuck Norris fue Gary Coleman (Arnold el travieso). No ha crecido desde entonces

9.- En la última página del Libro Guinness de los Récords se avisa que todos los récords mundiales pertenecen a Chuck Norris, y aquellos listados en el libro son solo los más cercanos que nadie ha podido conseguir jamás

10.- Chuck Norris es el único hombre vivo que ha derrotado a un muro de ladrillos en un partido de tenis

Si quieres ver más, mira en esta web. ¡Altamente recomendable!