Spiga

Conclusiones del informe de seguridad de Secunia

Hola!

A mediados de año, Secunia emitió el informe de seguridad del primer semestre de 2010 que analiza la evolución de los riegos de seguridad en los últimos 5 años estudiando las vulnerabilidades encontradas, y realiza una predicción para el año 2010 basada en los datos de los 6 primeros meses.

La conclusión general es que, a pesar de los esfuerzos e inversiones realizados, la industria del software no es capaz de reducir el número de vulnerabilidades en los programas y aplicaciones producidos, por lo que se antoja muy necesaria una tecnología que permite gestionar de forma eficiente las actualizaciones.

El informe muestra un crecimiento alarmante en el número de vulnerabilidades de los programas de terceras partes instalados en los SO, un riesgo que usuarios y empresas no reconocen como tal. Esto se debe a que muchos usuarios y gran cantidad de empresas aún tienen la percepción de que los sistemas operativos Microsoft y los productos de esta compañía representan el vector de ataque principal. Además, la actualización y securización de estas aplicaciones resulta algo compleja y consume un cierto tiempo, lo que convierte a estos equipos con aplicaciones desactualizadas en objetivos claros para los criminales.

Algunos aspectos subrayados por el informe son los siguientes:

  • Desde 2005 no existe una variación importante en el número total de vulnerabilidades encontradas en los más de 29.000 productos observados por Secunia
  • Un grupo de 10 empresas (que incluyen a Apple, Oracle, Microsoft, IBM, Adobe o Cisco), aglutinan el 38% del total de vulnerabilidades.
  • Entre 2007 y 2009, el número de vulnerabilidades que afectan a un usuario típico de un PC ha pasado de 220 a 420. Por los datos de este año, esta cifra podría llegar a las 760.
  • Un usuario típico de PC con 50 programas instalados tiene 3,5 veces más vulnerabilidades en los 24 programas de terceras partes instalados que en las 26 aplicaciones Microsoft de su equipo. Se espera que esta ratio pase a 4.4 en 2010.
El informe finaliza con 2 consejos para reducir los riesgos actuales:

  • Precaución: usuarios y empresas deben cambiar la percepción de que los productos Microsoft son la mayor amenaza de seguridad. Se deben establecer mejores mecanismos en relación a los programas instalados de terceras partes
  • Actualizaciones unificadas: se necesita una nueva tecnología que permita a los usuarios instalar automáticamente actualizaciones de seguridad para un conjunto de aplicaciones

Y así, con este último consejo, aprovecha para promocionar su herramienta PSI

Vulnerabiliadades en los SO

Hola!

Estas diapositivas son también del tema de introducción del curso Seguridad Informática del Ciclo Formativo de Grado Medio de Sistemas Microinformáticos y Redes.

Hablan de vulnerabilidades en los Sistemas Operativos, explicando que no pueden utilizarse como una unidad de medida para comparar la seguridad de dos SO distintos sin tener en cuenta otros muchos factores. Siguen el siguiente esquema:

  • Número de vulnerabilidades ≠ Seguridad
  • Número de vulnerabilidades en los SO
  • Estudio de Jeff Jones: 6 meses de vida
  • Avisos y corrección de vulnerabilidades


Espero que os sirvan. Un saludo!

Seguridad en servidores web

Hola!

Preparando material para la próxima clase del curso Seguridad Informática, en la que vamos a hablar de vulnerabilidades en los Sistemas Operativos, he estado recopilando estadísticas de diferentes fuentes para jugar un ratito haciendo cuentas.

Es evidente que la seguridad de un Sistema Operativo no puede evaluarse por el número de vulnerabilidades. Hay que tener en cuenta otros factores como la gestión que se hace de las propias vulnerabilidades, su nivel de criticidad, la facilidad de instalación de los parches, el número de ataques recibidos...

Cada cierto tiempo se publican informes que realizan estudios sobre el número de vulnerabilidades de diferentes Sistemas Operativos, como el publicado por Jeff Jones hace un tiempo, que suelen levantar bastante polémica.

Sólo por divertirme, he estado pensando en alguna otra forma de comparar la seguridad de diferentes SOs y se me ha ocurrido lo siguiente:

En zone-h mantienen estadísticas de los defacements realizados y llevan la cuenta del Sistema Operativo del servidor afectado:


Si calculamos el porcentaje de defacements realizados a máquinas Linux y Windows (sumando todas las versiones) obtenemos los siguientes datos:



2008 2009 2010
Linux 68,12 69,57 72,74
Windows 27,26 26,29 24,93


Como puede observarse, el porcentaje de servidores Linux comprometidos ha ido creciendo ligeramente en estos últimos tres años, al contrario de lo que ocurre con los servidores Windows, que parece ir disminuyendo.

Lo curioso llega al comparar estos porcentajes con los datos de Netcraft de Sistemas Operativos en servidores web, que muestran un empate técnico entre Linux y Windows:


Una conclusión rápida podría ser que, si hay el mismo número de servidores web Linux y Windows, y se producen más defacements en servidores Linux, podríamos inclinarnos a pensar que los servidores Linux son menos seguros.

Ya digo que se trataría de una conclusión rápida, porque hay que tener en cuenta muchos otros factores, como, por ejemplo, el nivel de profesionalidad de los administradores de los servidores, su formación, etc.

De hecho, Marcelo Almeida, en el informe de zone-h que comentábamos, recuerda que la mayoría de las vulnerabilidades explotadas se encuentran en las aplicaciones web, y que otras muchas se deben a malas configuraciones de seguridad de los hostings, que permiten a los atacantes obtener acceso completo a los servidores. Por tanto, habría que realizar un estudio mucho más riguroso para poder obtener algún tipo de conclusión.

Ya os comentaba que tan sólo ha sido para divertirme un rato mientras veía a Alonso ganar otra carrera :-)

Un saludo!

ADSL rural en UK

Hola!

En UK se ha realizado un experimento para denunciar el estado de la banda ancha en las zonas rurales y pedir velocidades de transmisión dignas.
Para ello han organizado una carrera en una granja de Yorkshire: al mismo tiempo que soltaban 10 palomas mensajeras cargadas con un pendrive, comenzaba la subida de un vídeo de 5 minutos a Internet. Una hora y cuarto después, las palomas habían alcanzado su destino en Skegness, a 120 kilómetros, mientras que tan sólo el 24% de los 300 MB había sido subidos.

Un experimento similar se realizó el año pasado en Durban Sudáfrica, con resultados similares.

Nada nuevo bajo el sol, en realidad: Andrew Tanenbaum en su libro "Redes de Computadoras". ya explicaba que si se llena un avión con dispositivos de almacenamiento grandes y se realiza un vuelo transatlántico, la velocidad de transmisión sería de varios Gbps.

De hecho, los bancos aún utilizan este tipo de medios físicos de transmisión: cargan sus cintas en camiones que transportan hasta la central, alcanzado velocidades de varios Gbps.

Supongo que la situación en muchas zonas rurales españolas no es mejor que la del experimento inglés. De hecho, a 20 km de Madrid, en una urbanización residencial que conozco personalmente, no llegó el ADSL hasta el 2005...

Un saludo!

Introducción a la seguridad informática (II)

Hola!

Introducción a la seguridad informática (I)
Introducción a la seguridad informática (II)

Esta segunda parte de las diapositivas cubren los siguientes contenidos:

1. Algo de terminología
- Activos
- Amenazas
- Vulnerabilidad
- Tiempo de reacción y día cero
- Análisis de vulnerabilidades
- Escáner de vulnerabilidades
- Ejercicio: GFI LANguard Scanner
- Riesgo
- Ataque
- Impacto

2. Ataques
- Tipos de atacantes
- Ataques internos
- Ataques externos
- Tipos de ataques

3. Política de seguridad.



Un saludo!

Introducción a la seguridad informática (I)

Introducción a la seguridad informática (I)
Introducción a la seguridad informática (II)

Hola!

Este curso tengo que impartir la asignatura Seguridad Informática del Ciclo Formativo de Grado Medio de Sistemas Microinformáticos y Redes. Al tratarse de un ciclo nuevo, es el primer año que esta asignatura se imparte, así que me parece interesante ir colgando el material que prepare por aquí.

Estas diapositivas son las que utilizaré durante la primera clase, en las que realizaremos una introducción a la seguridad informática, tratando de concienciar al alumnado de la importancia de la misma, utilizando el siguiente esquema:

Importancia de la seguridad informática
Ejercicio: vídeos y noticias
Definición de seguridad informática
Objetivos de la seguridad informática
Mecanismos utilizados para conseguir estos objetivos
Ejercicio: integridad de los archivos del sistema
Clasificación de la seguridad informática
Déficit de formación en técnicos y usuarios
Ejercicio: test sobre seguridad informática



En mi página de la asignatura puedes encontrar más información, enlaces, etc.
Un saludo!

CUSL también para estudiantes de grado medio y superior

Hola!

Al leer el anuncio de la V edición del Concurso Universitario de Software Libre me he llevado una agradable sorpresa al comprobar que los estudiantes de Grado Medio, Bachillerato y Grado Superior podrán participar con sus proyectos en esta edición.

Según las bases del concurso, el alumnado de Grado Medio y Bachillerato participará en la categoría junior, mientras que el alumnado de Grado Superior lo hará en la modalidad universitario y ciclo formativo grado superior.

Así que si eres estudiante de FP o bachillerato y tienes una idea interesante, anímate y participa.

Un saludo!

¿Cómo funciona prioritarios, la nueva herramienta de gmail?

Hola!

LLevaba varios días viendo un mensaje en mi correo de gmail que me avisaba de una nueva funcionalidad, prioritarios. Hoy por fin he visto el vídeo que muestra en qué consiste:




Aquí se puede encontrar más información del funcionamiento de este servicio, que puede resumirse así:

Para determinar qué mensajes entrantes son importantes, Gmail considera automáticamente una serie de factores, entre otros:

* A quién envías correos electrónicos (por ejemplo, si envías muchos correos a Juan, es probable que los mensajes de este remitente sean importantes).
* Qué mensajes abres (es probable que los mensajes que abras sean más importantes que los que ignoras).
* Qué palabras llaman tu atención (si siempre lees mensajes acerca de fútbol, es más probable que sea importante un mensaje nuevo que contenga las mismas palabras relacionadas con el fútbol).
* A qué mensajes respondes (si siempre respondes a los mensajes de tu madre, es probable que los mensajes que ella te envíe sean importantes).
* El uso reciente que has hecho de las estrellas, así como de las opciones de archivado y eliminación (es probable que los mensajes que destacas sean más importantes que los mensajes que archivas sin abrir).


Este servicio ofrece varias opciones de configuración y personalización, que básicamente consisten en la modificación de un mensaje marcado como prioritario o no, con los botones + y -, de forma que la aplicación vaya aprendiendo, y el uso de filtros para asegurarte de que ciertos mensajes (como los de la parienta) se marquen siempre como prioritarios (o viceversa :-P).

Tiene buena pinta, ya os contaré en unos días mi experiencia, ya que se trata de una funcionalidad en Beta.

Un saludo!