¿Hay que actualizar?

En Do You Always Need to Install Software Updates? se preguntan sobre el tema. Se empieza diciendo que se considera una buena costumbre tener los programas al día pero luego habla de un resultado presentado en un congreso:

Otherwise than you might expect, the results (presented at DIMVA 2011 in Amsterdam, The Netherlands) showed there is no significant difference in the amount of malware on patched computers compared to unpatched computers.

Parece que no es así, y que no parece haber un impacto significativo desde el punto de vista de la actividad de los ordenadores de los usuarios. Lo que sí que afectaría serían las ‘prácticas de riesgo’ (visitar determinados sitios, que son fuentes sistemáticamente de infección).
El artículo también habla de los problemas de las actualizaciones (por ejemplo, los programas que dejan de funcionar).

El artículo puede descargarse de [PDF] An Assessment of Overt Malicious Activity Manifest in Residential Networks y la presentación de [PDF] An Assessment of Overt Malicious Activity Manifest in Residential Networks slides.

Hemos hablado varias veces de actualizaciones, en Las actualizaciones, o en Adobe: parches automáticos para sus productos, o La seguridad, los navegadores y las actualizaciones y varios más sobre actualizaciones.

Anuncios

Las actualizaciones

Mucho se está hablando de la botnet Zeus. De todas formas, a mi lo que más me ha llamado la atención es la gráfica de sistemas infectados (se puede ver también en la Wikipedia) que podemos ver en Massive ZeuS compromise discovered. Muestra claramente una gran diferencia entre sistemas más nuevos y menos nuevos (que creo que no se justifica por la posible falta de actualización de sistemas: habría más del doble de sistemas infectados con XP SP Professional 2 que con XP Professional SP 3). Parecería razonable interpretar (a falta de cifras de actualización, claro) que los sistemas parcheados resisten mejor las infecciones que los no actualizados.

Ya habíamos hablado de que Los parches hay que aplicarlos. También sobre La seguridad, los navegadores y las actualizaciones.

Adobe: parches automáticos para sus productos

A pesar de que a muchos expertos en seguridad (e informáticos de empresa, con una cantidad razonable de computadores a su cargo) no son muy partidarios de las actualizaciones automáticas, como ‘prueba’ en cierto modo el titular: Adobe no confía en sus usuarios, cada vez hay más productos que tienen esa opción (el propio Windows y muchas distribuciones de Linux, algunos navegadores, …). Ya hablábamos del tema en La seguridad, los navegadores y las actualizaciones; aparentemente, la gente no actualiza sus sistemas (que es lo que harían estos expertos en seguridad e informáticos en las empresas, de acuerdo a sus propias planificaciones y necesidades) y, por lo tanto, parece que redunda en beneficio de la red que éstas sean automáticas para los usuarios que no tienen adecuado apoyo técnico en su casa.

Claro, si las actualizaciones son silenciosas la cosa puede ser un poco más preocupante, porque uno nunca sabe qué está pasando (de todas formas, las ‘malas’ siempre serán silenciosas así que una actualización ‘ruidosa’ puede terminar provocando más desconcierto que otra cosa).

Hay más información en Adobe working on new automatic (silent) updater, aunque ahora mismo no va.

Mapa de actualizaciones

Ya hemos hablado del tema de las actualizaciones (Los parches hay que aplicarlos, La seguridad, los navegadores y las actualizaciones y La historia de Conficker).

En Secunia PSI WorldMap se puede ver el mapa del mundo (se puede llegar a nivel de autonomía, en España) donde aparecen los programas actualizados según el Secunia Personal Software Inspector (PSI), un escáner que permite saber para una máquina Windows y con la información que se tenga en cada momento el estado de los programas del PC. La verdad es que no me hago mucha idea de lo que significan esas cifras (por ejemplo, en media (?), en Aragón donde estamos -ver datos para España parece ser que hay una media de 88 programas parcheados por PC, en la media europea; en La Rioja serían 122 y en Extremadura 70, que no se si corresponde a que se tengan más o menos programas o a que son regiones más o menos inseguras).

Lo vi en Mapamundi d’ordinadors i actualitzacions.

La seguridad, los navegadores y las actualizaciones

Este es un tema que me gusta mucho recordarlo (Los parches hay que aplicarlos) y con el que hay que tener la debida prevención (Cuidado con las actualizaciones automáticas).

No sé donde lo encontré pero me parece interesante el artículo Understanding the Web browser threat: Examination of vulnerable online Web browser populations and the “insecurity iceberg”.

El ‘iceberg’ de la inseguridad se refiere a los usuarios de navegadores que no usan la versión más actualizada del programa, viéndose sometidos a riesgos innecesarios.

… we discovered that at most 83.3% of Firefox users, 65.3% of Safari users, 56.1% of Opera users, and 47.6% of Internet Explorer users were using the latest most secure browser version on any day between January 2007 to June 2008. For the latest version analysis of Safari, we only considered the date range Dec 2007 to June 2008, when Safari version 3 became widespread

Y más tarde:

It is noteworthy that it has taken 19 months since the initial general availability of IE7 (public release October 2006) to reach 52.5% proliferation amongst users that navigate the Internet with Microsoft’s Web browser. Meanwhile, 92.2% of Firefox users have migrated to FF2.

Habla bien del mecanismo de Firefox:

We believe the auto-update mechanism as implemented within Firefox to be the most efficient patching mechanism of the Web browsers studied. Firefox’s mechanism regularly polls an online authority to verify whether a new version of the Web browser is available and typically prompts the user to update if a new version exists. With a single click (assuming that the user has administrative rights on the host), the update is downloaded and installed. Just as importantly, Firefox also checks for many of the currently installed Firefox plug-ins if they are similarly up to date, and, if not, will prompt the user to update them.

Y, claro, la recomendación:

Based upon our findings, we strongly recommend that software vendors embrace auto-update mechanisms within their products that are capable of identifying the availability of new patches and installing security updates as quickly and efficiently as possible – ideally enabled by default and causing minimal disruption to the user. We also recommend that these same auto-update mechanisms are capable of alerting the user of any plug-ins currently exposed through the Web browser that have newer and more secure versions available.

Se puede ver en otros formatos, como en pdf, las transparencias para vagos gente más ocupada e incluso en vídeo.

La seguridad, los navegadores y las actualizaciones

Este es un tema que me gusta mucho recordarlo (Los parches hay que aplicarlos) y con el que hay que tener la debida prevención (Cuidado con las actualizaciones automáticas).

No sé donde lo encontré pero me parece interesante el artículo Understanding the Web browser threat: Examination of vulnerable online Web browser populations and the “insecurity iceberg”.

El ‘iceberg’ de la inseguridad se refiere a los usuarios de navegadores que no usan la versión más actualizada del programa, viéndose sometidos a riesgos innecesarios.

… we discovered that at most 83.3% of Firefox users, 65.3% of Safari users, 56.1% of Opera users, and 47.6% of Internet Explorer users were using the latest most secure browser version on any day between January 2007 to June 2008. For the latest version analysis of Safari, we only considered the date range Dec 2007 to June 2008, when Safari version 3 became widespread

Y más tarde:

It is noteworthy that it has taken 19 months since the initial general availability of IE7 (public release October 2006) to reach 52.5% proliferation amongst users that navigate the Internet with Microsoft’s Web browser. Meanwhile, 92.2% of Firefox users have migrated to FF2.

Habla bien del mecanismo de Firefox:

We believe the auto-update mechanism as implemented within Firefox to be the most efficient patching mechanism of the Web browsers studied. Firefox’s mechanism regularly polls an online authority to verify whether a new version of the Web browser is available and typically prompts the user to update if a new version exists. With a single click (assuming that the user has administrative rights on the host), the update is downloaded and installed. Just as importantly, Firefox also checks for many of the currently installed Firefox plug-ins if they are similarly up to date, and, if not, will prompt the user to update them.

Y, claro, la recomendación:

Based upon our findings, we strongly recommend that software vendors embrace auto-update mechanisms within their products that are capable of identifying the availability of new patches and installing security updates as quickly and efficiently as possible – ideally enabled by default and causing minimal disruption to the user. We also recommend that these same auto-update mechanisms are capable of alerting the user of any plug-ins currently exposed through the Web browser that have newer and more secure versions available.

Se puede ver en otros formatos, como en pdf, las transparencias para vagos gente más ocupada e incluso en vídeo.

La seguridad, los navegadores y las actualizaciones

Este es un tema que me gusta mucho recordarlo (Los parches hay que aplicarlos) y con el que hay que tener la debida prevención (Cuidado con las actualizaciones automáticas).

No sé donde lo encontré pero me parece interesante el artículo Understanding the Web browser threat: Examination of vulnerable online Web browser populations and the “insecurity iceberg”.

El ‘iceberg’ de la inseguridad se refiere a los usuarios de navegadores que no usan la versión más actualizada del programa, viéndose sometidos a riesgos innecesarios.

… we discovered that at most 83.3% of Firefox users, 65.3% of Safari users, 56.1% of Opera users, and 47.6% of Internet Explorer users were using the latest most secure browser version on any day between January 2007 to June 2008. For the latest version analysis of Safari, we only considered the date range Dec 2007 to June 2008, when Safari version 3 became widespread

Y más tarde:

It is noteworthy that it has taken 19 months since the initial general availability of IE7 (public release October 2006) to reach 52.5% proliferation amongst users that navigate the Internet with Microsoft’s Web browser. Meanwhile, 92.2% of Firefox users have migrated to FF2.

Habla bien del mecanismo de Firefox:

We believe the auto-update mechanism as implemented within Firefox to be the most efficient patching mechanism of the Web browsers studied. Firefox’s mechanism regularly polls an online authority to verify whether a new version of the Web browser is available and typically prompts the user to update if a new version exists. With a single click (assuming that the user has administrative rights on the host), the update is downloaded and installed. Just as importantly, Firefox also checks for many of the currently installed Firefox plug-ins if they are similarly up to date, and, if not, will prompt the user to update them.

Y, claro, la recomendación:

Based upon our findings, we strongly recommend that software vendors embrace auto-update mechanisms within their products that are capable of identifying the availability of new patches and installing security updates as quickly and efficiently as possible – ideally enabled by default and causing minimal disruption to the user. We also recommend that these same auto-update mechanisms are capable of alerting the user of any plug-ins currently exposed through the Web browser that have newer and more secure versions available.

Se puede ver en otros formatos, como en pdf, las transparencias para vagos gente más ocupada e incluso en vídeo.