Saludos,
Pues como cada año, IBM publicó los resultados de su equipo de seguridad, conocido como X-Force, uno más de los reportes periódicos sobre el estado de las vulnerabilidades, ataques y malware en el mundo. Este grupo ha estado en estas actividades desde 1997, y cada año publican su reporte del estado de la seguridad en cómputo, orientado a la actividad maliciosa en Internet (que, como sabemos, representa la mayoría). ¿Las noticias? Buenas y malas, aunque como siempre, hay avances interesantes desde ambos lados de la batalla.
Un punto importante del reporte es que las vulnerabilidades encontradas han cambiando ligeramente su distribución, disminuyendo la cantidad de vulnerabilidades de nivel crítico y bajo, pero aumentando las de nivel medio (considerablemente) y alto:
Esto por supuesto refleja un aumento en el número total de vulnerabilidades, aunque seguramente los equipos de respuesta a incidentes apreciarán ver un declive de las vulnerabilidades críticas (más del 50%). Del número de vulnerabilidades totales, Microsoft, Apple y Sun son responsables de casi el 10%.
Otros nuggets notables de información: el porcentaje de vulnerabilidades descubiertas sin corregir asciende apenas al 19% para el 'top 10' de las compañías, aunque el promedio en general es notablemente superior (53%). Asímismo, las vulnerabilidades más notorias para los usuarios finales, aquellas de Sistema Operativo y navegador de internet, descendieron de forma importante, mientras que las aplicaciones web, cada vez más populares entre particulares y empresas, continúan aportando un porcentaje importante al número de vulnerabilidades conocidas, sumando casi 4,000 vulnerabilidades más en lo que fue el 2008. De hecho, las aplicaciones web representaron al 54.9% (!) de las vulnerabilidades reportadas en el año... así que hay que ponerle más atención a esos SDKs de ActiveX, porque la cosa está pesada...
Por cierto, los controles ActiveX fueron un vector de ataque preferido a lo largo del año, en particular porque algunos controles (que en sí son benignos) tienen vulnerabilidades que pueden ser explotadas por un sitio malicioso sin que el usuario requiera autorizar su ejecución, si el control fue instalado previamente. Esto ha causado una tendencia donde el usuario instala un control "confiable" en un sitio "confiable", solo para sufrir un exploit de éste control al entrar al sitio malicioso.
Finalmente, y a modo de dato curioso, el kernel de Linux reportó más vulnerabilidades en el año (10.9% del total) que Windows Vista y XP combinados - 5.1% y 5.5%, respectivamente. Efectivamente, como dijo Torvalds: con suficientes ojos, los bugs son muy notorios.
En fin... conviene revisarlo por uno mismo. Les dejo links al PDF y al resumen que hicieron en Ars Technica.
1 comentario:
Buena nota, xforce tiene mucha trayectoria como equipo de búsqueda de vulnerabilidades, voy a echarle un ojo pues es un documento extenso.
Saludos,
Publicar un comentario