La compañía Bit9 ha realizado un estudio en el cual se lleva la contabilidad del número de vulnerabilidades graves en doce programas muy populares destinados al usuario. El navegador con menor número de fallos registrados en 2010 es Opera (6), seguido de Internet Explorer (32) y Firefox (51).

Bit9 se ha limitado a buscar en la base de datos pública de NIST el número de vulnerabilidades graves archivadas para cada software. Ha contabilizado las publicadas entre el 1 de enero y el 21 de octubre de 2010. Consideran graves las vulnerabilidades cuyo valor estándar CVSS (Common Vulnerability Scoring System) es mayor que 7.

Este es el resultado:

• Google Chrome (76 vulnerabilidades graves)
• Apple Safari (60 vulnerabilidades graves)
• Microsoft Office (57 vulnerabilidades graves)
• Adobe Reader y Acrobat (54 vulnerabilidades graves)
• Mozilla Firefox (51 vulnerabilidades graves)
• Sun Java Development Kit (36 vulnerabilidades graves)
• Adobe Shockwave Player (35 vulnerabilidades graves)
• Microsoft Internet Explorer (32 vulnerabilidades graves)
• RealNetworks RealPlayer (14 vulnerabilidades graves)
• Apple WebKit (9 vulnerabilidades graves)
• Adobe Flash Player (8 vulnerabilidades graves)
• Apple QuickTime (6 vulnerabilidades graves)
• Opera (6 vulnerabilidades graves)

Teniendo en cuenta que el NIST es una de las fuentes más serias y completas sobre vulnerabilidades confirmadas, los datos pueden considerarse fiables.

El estudio se queda ahí, y no pretende ir mucho más allá. Evaluar la seguridad integral de un producto involucraría muchas otras variables. Por ejemplo podemos considerar: la velocidad de parcheo, el nivel de explotación de las vulnerabilidades, lo “hipotético” de una explotación real (que culmine en ejecución de código) de estas vulnerabilidades.

Tampoco hay que olvidar que en teoría nada impide a Microsoft, por ejemplo, ocultar vulnerabilidades y solucionarlas de forma “silenciosa (mientras que con software libre, a la larga, esto no sería posible). En la práctica, pensamos que no es una circunstancia habitual, dado el interés de los atacantes en descubrir fallos ocultos.

En este sentido, aunque los resultados del informe le sean favorables, Internet Explorer es el más atacado. Ciñéndose a los números, es el
navegador (de entre Chrome, Safari y Firefox) con menor número de fallos graves.

Según Hispasec, el  estudio de Bit9 viene a recordar (y no a “demostrar”) que es posible que, si en algún momento Firefox o Chrome superan la cuota de uso de Internet Explorer, probablemente los atacantes tendrán más fallos donde elegir para explotar vulnerabilidades en su propio beneficio.

Fuente: hispasec.com

Kaspersky Lab ha hecho público un estudio en el que se han monitorizado, desde 2006, cerca de 300.000 webs. De las cuales más del 60% han sido vulneradas en más de una ocasión.

Tal y como nos indica el estudio el aumento de ataques ha sido muy superior desde que se inició en el año 2006. Ya que si en el año 2006 se atacaban 1 de cada 20.000 sitios, en 2009 se pasaron a atacar 1 de cada 150, lo que supone un aumento importantísimo.

Para lograr el acceso a las páginas, los atacantes utilizan técnicas que aprovechan de forma automatizada malware como Gumblar.

Aunque día a día aparecen nuevas herramientas para luchar contra estas vulnerabilidades y ataques, el número de páginas infectadas o peligrosas no deja de aumentar.

Es imprescindible que cuando, como administradores de un sitio web, nos enteramos que está siendo vulnerado tomemos cartas en el asunto y empecemos a investigar la procedencia de la vulnerabilidad y el modo de solventarla. Si ante esta situación no actuamos nuestro sitio será atacado una y otra vez. Para encontrar solución a estos ataques podremos ponernos en contacto con nuestros proveedores de Hosting, ya que ellos cuentan con más información.

Además de estas medidas, será de vital importancia la modificación de todas las contraseñas.

Fuente: Hispasec

Listas de correo sobre seguridad a tener en cuenta:

1. Hispasec: La única de la lista en español. Su famoso boletín “una-al-dia“, entrega puntualmente una noticia relevante de seguridad. El nivel técnico es excepcional y en general son detalladas y amplias. Esta lista es unidireccional y son los propios expertos de hispasec los que nos harán llegar la información. Suscripción: http://www.hispasec.com/index_html
2. DailyDave: lista moderada por Dave Aitel de Immunity, no tiene mucho tráfico. El contenido es de calidad. http://lists.immunitysec.com/mailman/listinfo/dailydave
3. Bugtraq: moderada también, la mejor lista para estar al día con nuevas vulnerabilidades, métodos de explotación, etcétera. Tiene bastante tráfico. http://www.securityfocus.com/archive
4. pen-test: moderada, concentra expertos en test de intrusión donde se lanzan consultas para que otros compañeros puedan ayudar. Es interesante, aunque hay preguntas que se repiten una y otra vez. http://www.securityfocus.com/archive
5. Full-Disclosure: si lo que quieres es reírte, leer insultos y otro tipo de vejaciones de unos a otros (salsa-hacker), esta es tu lista, tiene bastante tráfico y realmente útil no llegará al 10%, duplica mucho contenido de Bugtraq, ya que la gente publica vulnerabilidades y luego llueven comentarios. https://lists.grok.org.uk/mailman/listinfo/full-disclosure
6. Webappsec: esta lista moderada está centrada en la seguridad web, tráfico controlado y contenido interesante. http://www.securityfocus.com/archive
7. DataLoss: Publican continuamente problemas con sistemas de información. en compañías y organizaciones de todos los tipos. Siempre relacionadas con sistemas de información: http://datalossdb.org/mailing_list

Como último apunte comentar que muchas de estas listas tienen disponible un RSS donde van llegando todos los correos, así que si os gusta más ese método siempre tendréis la opción.

nerion informa que las compañías de la industria antivirus se asocian la AMTSO.

Su primera reunión informal tuvo lugar en Reykjavik en mayo del año pasado, y las ideas iniciales se fueron forjando aprovechando posteriores encuentros de la industria como el AVAR. Finalmente se decidió organizar una primera reunión formal para dar cuerpo a esta iniciativa, y esta finalmente tuvo lugar en Bilbao el pasado 21 de enero. Más de 40 miembros de distintos implicados en el tema (casas antivirus, testeadores profesionales de antivirus y otras figuras de esta industria tecnológica) conformaron las bases de esta organización cuyo fin es el de crear una serie de guías y herramientas que ayuden a mejorar la calidad y la objetividad de las comparativas que se realizan hoy en día.
Entre los objetivos de AMTSO se encuentran los siguientes:

* Crear un foro para la discusión de temas relacionados con los test de productos anti-malware y otros relacionados.

* Desarrollar y publicar estándares objetivos y guías de buenas prácticas para los test de productos anti-malware y otros relacionados.

* Promover la educación y el conocimiento público de los problemas y características propias de los test de productos anti-malware y otros relacionados.

* Proveer de herramientas y recursos para ayudar al desarrollo de metodologías de testeo basadas en estándares.

* Proveer análisis de las comparativas actuales y futuras relacionadas con los productos anti-malware y otros relacionados.
El encuentro fue organizado por Panda Security, e incluyó a representantes de empresas involucradas en el tema: ALWIL Software, AV-Comparatives, AV-Test.org, AVG Technologies, Avira GmbH, Bit9, BitDefender, Dr. Web, Ltd., ESET, F-Secure Corporation, G DATA Software, Hispasec Sistemas, International Business Machines Corporation, Kaspersky Lab, McAfee, Inc., Microsoft Corp., Norman ASA, Panda Security, PC Tools, Sana Security, Secure Computing, Sophos Plc, Symantec Corporation, Trend Micro Incorporated y Virusbuster Ltd.

Fuente: Hispasec.com