Un año emblemático para problemas de seguridad


Todavía no ha finalizado, no obstante el 2006 es ya un año record en lo que respecta a vulnerabilidades en seguridad. Hay sin embargo una esperanza: solo una pequeña parte de estos errores son de alto riesgo.






El año pasado, investigadores del Internet Security System (ISS), identificaron 5,195 vulnerabilidades en programas informáticos. La pasada semana, la cuenta para este año se colocó en 5,450, de acuerdo al escrutinio de la compañía con sede en Atlanta. El total proyectado del año es de casi 7,500 "bugs" o defectos informáticos.

"Superados los tres primeros trimestres del año, el 2006 está siendo visto como un enorme salto en términos de vulnerabilidades en la seguridad," dijo Gunter Ollman, director de X-Force, el grupo de investigación y desarrollo del ISS.

El número de problemas encontrados ha crecido, así como los cazadores de defectos y los creadores de software se han vuelto más hábiles a la hora de localizarlos. Además, el acceso a herramientas de auditoria automatizada ha mejorado, dijo Ollman. Pero también existe más código para examinar exhaustivamente en busca de problemas de seguridad, debido principalmente a que el público usa software cada vez mas complejo.

ISS, la cual está siendo adquirida por la multinacional IBM, predice que habrá un incremento del 41 por ciento en fallos de software confirmables, en comparación con el 2005. Ese año, a su vez, se registró un incremento del 37 por ciento en relación al 2004.

Pero existe alguna buena noticia también. Mientras habrá un aumento generalizado en el número de vulnerabilidades, el mismo será acompañado por una caída en el porcentaje de los problemas calificados como "críticos" o de alto riesgo, dijo Ollman.

De acuerdo con Ollman, los defectos graves alcanzan el 28,4 por ciento de todos los agujeros de seguridad del pasado año. En comparación, esto representa solo el 17 por ciento de las errores identificados este año hasta la segunda semana de octubre, y se espera que este porcentaje se mantenga en lo que queda del año.

"Ésta es probablemente la parte más positiva de lo que se espera en materia de vulnerabilidades," dijo Ollman. "En años anteriores, hubo una tendencia alcista en el número de problemas críticos y de alto riesgo."

La información sobre el crecimiento de defectos hecha por ISS, es respaldada por otras compañías de seguridad. VeriSign, iDefense y eEye Digital Security confirman un incremento en las vulnerabilidades este año. Otra señal de este incremento proviene de los propios boletines de seguridad de Microsoft. La compañía ya lleva publicados sesenta y cinco (contando los de octubre), mientras el total del año pasado fue de cuarenta y cinco.

Sumado a esto, un informe reciente de Symantec sobre amenazas a la seguridad, dice que 2,249 nuevas vulnerabilidades fueron documentadas en los primeros seis meses de 2006, más del 18 por ciento en relación a la segunda mitad del año 2005. Este número nunca había sido registrado antes en un período de solo seis meses.

Mayor número de vulnerabilidades significa mas oportunidades para los piratas cibernéticos y más dolores de cabeza para la creación y aplicación de parches de seguridad, dicen los expertos.

"Usted tiene que protegerse contra cada una de esas vulnerabilidades, mientras que un atacante necesita encontrar solamente una para poner en escena un ataque," dice Ollman. "Cuantas más vulnerabilidades se descubren, mayor es el riesgo que usted tiene."

Las vulnerabilidades críticas y de alto riesgo son aquellas que permiten a un gusano de red propagarse, o que dejan a un atacante remoto tomar el control de una computadora sin que el usuario tenga que hacer nada para que ello ocurra. ISS pronostica una caída en el número absoluto de ese tipo de errores en 2006, el cual anticipa 1,265, comparados con los 1,475 del último año.

Esa caída de los defectos mas serios debe ser atribuida, en parte, a que el software está siendo mas seguro, dijo Ollman. También muchos cazadores de defectos han empezado a usar herramientas automatizadas llamadas "fuzzers" (programas para descubrir vulnerabilidades, "inyectando" los fallos), las cuales frecuentemente descubren defectos que terminan siendo evaluados como de riesgo medio" dijo Ollman.

Por ejemplo, un fuzzer puede ser usado para verificar como una aplicación específica maneja un cierto formato de archivo, como JPEG o GIF. Si ésta aplicación -digamos un navegador Web- acusa un error, el mismo puede apuntar a una vulnerabilidad que podría ser usada como base de un ataque. Para aprovecharse de este defecto, sin embargo, el atacante a menudo tendrá que engañar a la víctima por medio de la apertura de un archivo defectuoso.

Solo una parte menor de los defectos más serios, están siendo descubiertos en los sistemas operativos, dijo Steve Manzuik, un funcionario de eEye. Son más los que aparecen en otro tipo de software.

"Hemos visto un incremento en los defectos críticos correspondientes a software cliente, como aquellos en Internet Explorer, Quick Time, y aplicaciones de Office," dijo Manzuik.

El notorio descenso de los defectos severos puede durar poco, afirmó Ollman. "Cuando aumenta el número de nuevos productos de software, la cantidad de fallos críticos típicamente incrementa," apunta. Se anuncia para enero, que el nuevo Windows Vista de Microsoft, el sucesor de XP, esté disponible para todos los usuarios. Microsoft ha etiquetado a Vista como "la versión más segura de Windows".

"Pienso que ciertamente en la primera mitad de 2007, veremos un aumento en términos porcentuales de vulnerabilidades críticas y de alto riesgo," manifiesta Ollman. "Eso probablemente estará asociado con la puesta en circulación de Vista."

Pero las personas no deben preocuparse solo de las vulnerabilidades más graves, dijo Ken Dunham, director del equipo de respuesta rápida de iDefense. "Este año ha sido excepcional en términos de ataques Zero-day," afirmó. "Hoy existen un número mayor de vulnerabilidades de nivel medio, y muchas de ellas se utilizan en ataques."

Los ataques del tipo Zero-day (del día "cero"), utilizan los fallos hasta ese momento desconocido, para los que no se han publicado aún soluciones. Muchos de ellos se aprovechan del tipo de agujero de seguridad que se puede encontrar utilizando un fuzzer.

Tales vulnerabilidades, se emplean principalmente a través de sitios web maliciosos que tratan de instalar silenciosamente spyware u otro software maligno como keylogers y bots, o mediante el envío de spam infectado, afirma Dunham. "Algunos de esos ataques, en menor escala, utilizan documentos de Word, por ejemplo," dijo.

* Fuente original:

A banner year for security bugs
http://news.com.com/A+banner+year+for+security+bugs/2100-1002_3-6124541.html

 

Fuente:
Por Emilio Baby (*)
enciclopediavirus.com




Otras noticias de interés:

Actualizaciones para Firefox, Thunderbird y SeaMonkey
Mozilla ha publicado actualizaciones de seguridad para sus productos Firefox 2.x, Firefox 1.5.x y Thunderbird 1.5.x, y también para SeaMonkey 1.0.x. Las nuevas versiones son identificadas como Firefox 2.0.0.2, Firefox 1.5.0.10, Thunderbird 1.5.0...
¿Por qué se bloquean las cuentas de Windows?
Esta situación constituye, según Microsoft, uno de los problemas más difíciles de diagnosticar y resolver en un ambiente corporativo de redes. Determinar cual puede ser la causa que origine los bloqueos de cuentas de usuarios en un ambiente de re...
Malware y phishing, ¿ponemos más puertas al campo?
Los sistemas de seguridad reactivos, basados en firmas tradicionales para el malware y listas negras para el phishing, están obsoletos y se muestran insuficientes para abordar una realidad cuyos números y efectos se desconocen....
Descifrado del troyano PGPcoder
Desvelamos los detalles del algoritmo utilizado por PGPcoder, un troyano que cifra los archivos de los sistemas que logra infectar y solicita dinero a los usuarios afectados si quieren volver a restaurarlos....
Fedora transformation 1.0
Fedora transformation, es un pack para convertir el entorno gráfico de xp en un entorno gráfico similar al escritorio que luce fedora, ideal para aquellas personas que en su puesto de trabajo no disponen de linux y si del S.O. windows, es de fácil...
La Web 2.0 es un próspero mercado para el malware
Un grupo albano de hackers, cada vez más conocido, que busca hacerse un nombre en el próspero mundo del malware y crímenes informáticos....
Impresiones sin dueño. Vulnerabilidad en las Empresas
Desde securityartwork.es hemos leído un artículo escrito por Jose L. Villalón, bastante interesante donde exponen que las empresas pueden ser vulnerables por lo que imprimen sus empleados. A continuación el texto completo del artículo....
OOXML: Noruega reinventa la democracia
Instituto de Estándares de Noruega, 28 de marzo. Se va a decidir el voto definitivo de Noruega sobre la consideración de OOXML como estándar internacional ISO. Asistentes: 24. Finalmente se procede a votar. Resultado: 19 votos en contra, 5 a favor...
Se publica la actualización de Apache
La fundación Apache ha publicado actualizaciones para sus servidores HTTPD, que solucionan graves problemas de seguridad. ...
Ejecución remota de código a través imágenes JPEG y GIF en Windows CE
Se han encontrado múltiples vulnerabilidades en Microsoft Windows CE 5.0 que podrían ser aprovechadas por un atacante local o remoto para causar una denegación de servicio y ejecutar código arbitrario, y hasta comprometer por completo un sistema ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • emblematico
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • problemas
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra