Un año emblemático para problemas de seguridad


Todavía no ha finalizado, no obstante el 2006 es ya un año record en lo que respecta a vulnerabilidades en seguridad. Hay sin embargo una esperanza: solo una pequeña parte de estos errores son de alto riesgo.






El año pasado, investigadores del Internet Security System (ISS), identificaron 5,195 vulnerabilidades en programas informáticos. La pasada semana, la cuenta para este año se colocó en 5,450, de acuerdo al escrutinio de la compañía con sede en Atlanta. El total proyectado del año es de casi 7,500 "bugs" o defectos informáticos.

"Superados los tres primeros trimestres del año, el 2006 está siendo visto como un enorme salto en términos de vulnerabilidades en la seguridad," dijo Gunter Ollman, director de X-Force, el grupo de investigación y desarrollo del ISS.

El número de problemas encontrados ha crecido, así como los cazadores de defectos y los creadores de software se han vuelto más hábiles a la hora de localizarlos. Además, el acceso a herramientas de auditoria automatizada ha mejorado, dijo Ollman. Pero también existe más código para examinar exhaustivamente en busca de problemas de seguridad, debido principalmente a que el público usa software cada vez mas complejo.

ISS, la cual está siendo adquirida por la multinacional IBM, predice que habrá un incremento del 41 por ciento en fallos de software confirmables, en comparación con el 2005. Ese año, a su vez, se registró un incremento del 37 por ciento en relación al 2004.

Pero existe alguna buena noticia también. Mientras habrá un aumento generalizado en el número de vulnerabilidades, el mismo será acompañado por una caída en el porcentaje de los problemas calificados como "críticos" o de alto riesgo, dijo Ollman.

De acuerdo con Ollman, los defectos graves alcanzan el 28,4 por ciento de todos los agujeros de seguridad del pasado año. En comparación, esto representa solo el 17 por ciento de las errores identificados este año hasta la segunda semana de octubre, y se espera que este porcentaje se mantenga en lo que queda del año.

"Ésta es probablemente la parte más positiva de lo que se espera en materia de vulnerabilidades," dijo Ollman. "En años anteriores, hubo una tendencia alcista en el número de problemas críticos y de alto riesgo."

La información sobre el crecimiento de defectos hecha por ISS, es respaldada por otras compañías de seguridad. VeriSign, iDefense y eEye Digital Security confirman un incremento en las vulnerabilidades este año. Otra señal de este incremento proviene de los propios boletines de seguridad de Microsoft. La compañía ya lleva publicados sesenta y cinco (contando los de octubre), mientras el total del año pasado fue de cuarenta y cinco.

Sumado a esto, un informe reciente de Symantec sobre amenazas a la seguridad, dice que 2,249 nuevas vulnerabilidades fueron documentadas en los primeros seis meses de 2006, más del 18 por ciento en relación a la segunda mitad del año 2005. Este número nunca había sido registrado antes en un período de solo seis meses.

Mayor número de vulnerabilidades significa mas oportunidades para los piratas cibernéticos y más dolores de cabeza para la creación y aplicación de parches de seguridad, dicen los expertos.

"Usted tiene que protegerse contra cada una de esas vulnerabilidades, mientras que un atacante necesita encontrar solamente una para poner en escena un ataque," dice Ollman. "Cuantas más vulnerabilidades se descubren, mayor es el riesgo que usted tiene."

Las vulnerabilidades críticas y de alto riesgo son aquellas que permiten a un gusano de red propagarse, o que dejan a un atacante remoto tomar el control de una computadora sin que el usuario tenga que hacer nada para que ello ocurra. ISS pronostica una caída en el número absoluto de ese tipo de errores en 2006, el cual anticipa 1,265, comparados con los 1,475 del último año.

Esa caída de los defectos mas serios debe ser atribuida, en parte, a que el software está siendo mas seguro, dijo Ollman. También muchos cazadores de defectos han empezado a usar herramientas automatizadas llamadas "fuzzers" (programas para descubrir vulnerabilidades, "inyectando" los fallos), las cuales frecuentemente descubren defectos que terminan siendo evaluados como de riesgo medio" dijo Ollman.

Por ejemplo, un fuzzer puede ser usado para verificar como una aplicación específica maneja un cierto formato de archivo, como JPEG o GIF. Si ésta aplicación -digamos un navegador Web- acusa un error, el mismo puede apuntar a una vulnerabilidad que podría ser usada como base de un ataque. Para aprovecharse de este defecto, sin embargo, el atacante a menudo tendrá que engañar a la víctima por medio de la apertura de un archivo defectuoso.

Solo una parte menor de los defectos más serios, están siendo descubiertos en los sistemas operativos, dijo Steve Manzuik, un funcionario de eEye. Son más los que aparecen en otro tipo de software.

"Hemos visto un incremento en los defectos críticos correspondientes a software cliente, como aquellos en Internet Explorer, Quick Time, y aplicaciones de Office," dijo Manzuik.

El notorio descenso de los defectos severos puede durar poco, afirmó Ollman. "Cuando aumenta el número de nuevos productos de software, la cantidad de fallos críticos típicamente incrementa," apunta. Se anuncia para enero, que el nuevo Windows Vista de Microsoft, el sucesor de XP, esté disponible para todos los usuarios. Microsoft ha etiquetado a Vista como "la versión más segura de Windows".

"Pienso que ciertamente en la primera mitad de 2007, veremos un aumento en términos porcentuales de vulnerabilidades críticas y de alto riesgo," manifiesta Ollman. "Eso probablemente estará asociado con la puesta en circulación de Vista."

Pero las personas no deben preocuparse solo de las vulnerabilidades más graves, dijo Ken Dunham, director del equipo de respuesta rápida de iDefense. "Este año ha sido excepcional en términos de ataques Zero-day," afirmó. "Hoy existen un número mayor de vulnerabilidades de nivel medio, y muchas de ellas se utilizan en ataques."

Los ataques del tipo Zero-day (del día "cero"), utilizan los fallos hasta ese momento desconocido, para los que no se han publicado aún soluciones. Muchos de ellos se aprovechan del tipo de agujero de seguridad que se puede encontrar utilizando un fuzzer.

Tales vulnerabilidades, se emplean principalmente a través de sitios web maliciosos que tratan de instalar silenciosamente spyware u otro software maligno como keylogers y bots, o mediante el envío de spam infectado, afirma Dunham. "Algunos de esos ataques, en menor escala, utilizan documentos de Word, por ejemplo," dijo.

* Fuente original:

A banner year for security bugs
http://news.com.com/A+banner+year+for+security+bugs/2100-1002_3-6124541.html

 

Fuente:
Por Emilio Baby (*)
enciclopediavirus.com




Otras noticias de interés:

#Facebook reveló como rastrea a usuarios
Gracias a una nota elaborada por el periódico USA Today, para la cual conversó con cuatro importantes personas de la compañía: Arturo Bejar, director de ingeniería; Andrew Noyes, portavoz; Barry Schnitt, portavoz corporativo; y Gregg Stefancik, ...
Guía para el desarrollo de aplicaciones web seguras
Se publica una guía de referencia para facilitar el desarrollo de aplicaciones web teniendo en cuenta, desde el mismo momento en que se realiza el diseño de las mismas....
Certificados fraudulentos en Windows, Chrome y Firefox.
Chrome advirtió el día 17 de que se actualizaba para revocar una serie de certificados digitales. Mozilla advirtió el día 22 de marzo de que actualizaba su navegador porque había incluido en él certificados fraudulentos. El día 23 es Microsoft...
Facebook te pone en riesgo
Con el fin de evaluar el verdadero peligro que presentan los sitios de redes sociales el equipo de investigación de Check Point simuló una estafa de phishing en una muestra aleatoria de usuarios de Facebook...
Trend Micro reportó que clickjack es una nueva amenaza
El clickjacking utiliza cualquier tipo de enlace, ya sean vínculos en imágenes en la forma de botones hasta vínculos de texto. ...
Linux ya corre en XBox
El equipo de desarrollo que está portando Linux a la consola de Microsoft por fin ha conseguido hacer funcionar el popular sistema operativo en la XBox, liberando la versión 0.1 de XBox Linux....
La muerte de MS-Windows 2000
Microsoft ya no desarrollará parches ni correcciones para este sistema operativo, pero sigue siendo útil para un usuario común....
Capturado el autor del Sasser
Un estudiante alemán de 18 años, ha sido capturado este viernes por la policía, según informan las hasta ahora pocas noticias que se están divulgando. El adolescente ha admitido ser el creador del Sasser, el gusano que empezó a propagarse masiv...
Ejecución de código través de imágenes Targa en DirectX de Microsoft Windows
Existe un problema de validación de entrada en las librerías DirectX de Microsoft que podrían permitir a un atacante ejecutar código arbitrario en el sistema víctima. Aunque el problema ha sido solucionado, Microsoft no ha publicado bolet...
Persona que no esté conectada en 2020 será un ermitaño
Lourenço Coelho, vicepresidente de estrategia y marketing para Latinoamérica de Ericsson, proyectó que dentro de 9 años habrá 5 mil millones de dispositivos conectados a la red sólo en América Latina. Para ello, advirtió que es necesario que ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • emblematico
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • problemas
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra