Un año emblemático para problemas de seguridad


Todavía no ha finalizado, no obstante el 2006 es ya un año record en lo que respecta a vulnerabilidades en seguridad. Hay sin embargo una esperanza: solo una pequeña parte de estos errores son de alto riesgo.






El año pasado, investigadores del Internet Security System (ISS), identificaron 5,195 vulnerabilidades en programas informáticos. La pasada semana, la cuenta para este año se colocó en 5,450, de acuerdo al escrutinio de la compañía con sede en Atlanta. El total proyectado del año es de casi 7,500 "bugs" o defectos informáticos.

"Superados los tres primeros trimestres del año, el 2006 está siendo visto como un enorme salto en términos de vulnerabilidades en la seguridad," dijo Gunter Ollman, director de X-Force, el grupo de investigación y desarrollo del ISS.

El número de problemas encontrados ha crecido, así como los cazadores de defectos y los creadores de software se han vuelto más hábiles a la hora de localizarlos. Además, el acceso a herramientas de auditoria automatizada ha mejorado, dijo Ollman. Pero también existe más código para examinar exhaustivamente en busca de problemas de seguridad, debido principalmente a que el público usa software cada vez mas complejo.

ISS, la cual está siendo adquirida por la multinacional IBM, predice que habrá un incremento del 41 por ciento en fallos de software confirmables, en comparación con el 2005. Ese año, a su vez, se registró un incremento del 37 por ciento en relación al 2004.

Pero existe alguna buena noticia también. Mientras habrá un aumento generalizado en el número de vulnerabilidades, el mismo será acompañado por una caída en el porcentaje de los problemas calificados como "críticos" o de alto riesgo, dijo Ollman.

De acuerdo con Ollman, los defectos graves alcanzan el 28,4 por ciento de todos los agujeros de seguridad del pasado año. En comparación, esto representa solo el 17 por ciento de las errores identificados este año hasta la segunda semana de octubre, y se espera que este porcentaje se mantenga en lo que queda del año.

"Ésta es probablemente la parte más positiva de lo que se espera en materia de vulnerabilidades," dijo Ollman. "En años anteriores, hubo una tendencia alcista en el número de problemas críticos y de alto riesgo."

La información sobre el crecimiento de defectos hecha por ISS, es respaldada por otras compañías de seguridad. VeriSign, iDefense y eEye Digital Security confirman un incremento en las vulnerabilidades este año. Otra señal de este incremento proviene de los propios boletines de seguridad de Microsoft. La compañía ya lleva publicados sesenta y cinco (contando los de octubre), mientras el total del año pasado fue de cuarenta y cinco.

Sumado a esto, un informe reciente de Symantec sobre amenazas a la seguridad, dice que 2,249 nuevas vulnerabilidades fueron documentadas en los primeros seis meses de 2006, más del 18 por ciento en relación a la segunda mitad del año 2005. Este número nunca había sido registrado antes en un período de solo seis meses.

Mayor número de vulnerabilidades significa mas oportunidades para los piratas cibernéticos y más dolores de cabeza para la creación y aplicación de parches de seguridad, dicen los expertos.

"Usted tiene que protegerse contra cada una de esas vulnerabilidades, mientras que un atacante necesita encontrar solamente una para poner en escena un ataque," dice Ollman. "Cuantas más vulnerabilidades se descubren, mayor es el riesgo que usted tiene."

Las vulnerabilidades críticas y de alto riesgo son aquellas que permiten a un gusano de red propagarse, o que dejan a un atacante remoto tomar el control de una computadora sin que el usuario tenga que hacer nada para que ello ocurra. ISS pronostica una caída en el número absoluto de ese tipo de errores en 2006, el cual anticipa 1,265, comparados con los 1,475 del último año.

Esa caída de los defectos mas serios debe ser atribuida, en parte, a que el software está siendo mas seguro, dijo Ollman. También muchos cazadores de defectos han empezado a usar herramientas automatizadas llamadas "fuzzers" (programas para descubrir vulnerabilidades, "inyectando" los fallos), las cuales frecuentemente descubren defectos que terminan siendo evaluados como de riesgo medio" dijo Ollman.

Por ejemplo, un fuzzer puede ser usado para verificar como una aplicación específica maneja un cierto formato de archivo, como JPEG o GIF. Si ésta aplicación -digamos un navegador Web- acusa un error, el mismo puede apuntar a una vulnerabilidad que podría ser usada como base de un ataque. Para aprovecharse de este defecto, sin embargo, el atacante a menudo tendrá que engañar a la víctima por medio de la apertura de un archivo defectuoso.

Solo una parte menor de los defectos más serios, están siendo descubiertos en los sistemas operativos, dijo Steve Manzuik, un funcionario de eEye. Son más los que aparecen en otro tipo de software.

"Hemos visto un incremento en los defectos críticos correspondientes a software cliente, como aquellos en Internet Explorer, Quick Time, y aplicaciones de Office," dijo Manzuik.

El notorio descenso de los defectos severos puede durar poco, afirmó Ollman. "Cuando aumenta el número de nuevos productos de software, la cantidad de fallos críticos típicamente incrementa," apunta. Se anuncia para enero, que el nuevo Windows Vista de Microsoft, el sucesor de XP, esté disponible para todos los usuarios. Microsoft ha etiquetado a Vista como "la versión más segura de Windows".

"Pienso que ciertamente en la primera mitad de 2007, veremos un aumento en términos porcentuales de vulnerabilidades críticas y de alto riesgo," manifiesta Ollman. "Eso probablemente estará asociado con la puesta en circulación de Vista."

Pero las personas no deben preocuparse solo de las vulnerabilidades más graves, dijo Ken Dunham, director del equipo de respuesta rápida de iDefense. "Este año ha sido excepcional en términos de ataques Zero-day," afirmó. "Hoy existen un número mayor de vulnerabilidades de nivel medio, y muchas de ellas se utilizan en ataques."

Los ataques del tipo Zero-day (del día "cero"), utilizan los fallos hasta ese momento desconocido, para los que no se han publicado aún soluciones. Muchos de ellos se aprovechan del tipo de agujero de seguridad que se puede encontrar utilizando un fuzzer.

Tales vulnerabilidades, se emplean principalmente a través de sitios web maliciosos que tratan de instalar silenciosamente spyware u otro software maligno como keylogers y bots, o mediante el envío de spam infectado, afirma Dunham. "Algunos de esos ataques, en menor escala, utilizan documentos de Word, por ejemplo," dijo.

* Fuente original:

A banner year for security bugs
http://news.com.com/A+banner+year+for+security+bugs/2100-1002_3-6124541.html

 

Fuente:
Por Emilio Baby (*)
enciclopediavirus.com




Otras noticias de interés:

Troyanos en Android: vulnerando sistemas de doble autenticación
Una nueva variante de ZITMO para Android, que almacena todos los mensajes de texto del usuario en una base de datos, para luego enviarlos al atacante. Este conocido código malicioso que forma parte del crimeware de Zeus, permite bloquear las notific...
Más sitios Hackeados por UHFTeam Argentina
La gente de UHFTeam Argentina en un foro de hack especificamente de: .hackemate.com.ar han dejado una lista de sistios hackeados por ellos. Entre los que estan: HVEN.com.ve, otv.org y muchos otros. A continuación la lista presentada por SerVerG ...
Software para monitorear conexiones con bluetooth
BlueSweep es un software gratuito proporcionado por AirMagnet Inc., y que ha sido diseñado para identificar y rastrear la actividad de dispositivos bluetooth cercanos a la computadora en que se instale esta herramienta....
El Navegador Opera deshabilita su anti-phishing
Opera anunciara su decisión de controlar la navegación del usuario en tiempo real a fin de protegerle contra el fraude....
Día de Plone en Venezuela 2013
Plone es un sistema de gestión de contenidos que puede utilizarse para construir cualquier tipo de sitio web como portales, sitios webs corporativos, sitios web externos o internos, sitios de publicación de noticias, incluyendo blogs, tiendas en l...
Sistemas de localización por GPS: ¿Funcionalidad o pérdida de privacidad?
Dentro del mundo de la seguridad física, y aprovechando las diferentes capacidades que nos brinda la tecnología GPS (hasta que dejen de permitirnos la utilización gratuita de los satélites y haya que pagar por ellos), quiero mencionar ciertas apl...
¡KEVIN MITNICK HACKEADO!
Parece que a Kevin Mitnick le han hecho un deface en sus propias narices. Su página web: www.defensivethinking.com ha sido víctima de un deface en el que podía leerse una nota que d...
Microsoft publica seis boletines, cinco críticos
Microsoft publicó en la ronda de boletines correspondiente a noviembre, 6 boletines de seguridad, los que cubren 13 vulnerabilidades, la mayoría críticas, que afectan a Microsoft Windows y al Internet Explorer. El boletín más importante, es el q...
Cómo detectar si estan tocando la puerta trasera de su pc
La mayoría de las vulnerabilidades de ordenadores pueden ser aprovechadas de varias formas. Los ataques Hacker pueden utilizar un simple exploit específico, o varios exploits al mismo tiempo, una configuración deficiente en uno de los componentes ...
Diversos problemas de seguridad en el navegador Opera
La versión 9.61 del navegador Opera corrige tres vulnerabilidades que podrían ser aprovechadas por un atacante remoto para perpetrar ataques de cross-site scripting, saltarse restricciones de seguridad o revelar información sensible en un sistema ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • emblematico
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • problemas
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra