Sobre la difusión de gusanos y otros programas malévolos

En How to 0wn the Internet in Your Spare Time algunas cifras interesantes de difusión de diferentes gusanos y programas maliciosos y cómo algunos se quedan en la red disponibles para infectar a cualquiera que no ande protegido, incluso después de mucho tiempo:

In this paper we have examined the spread of several recent worms that infected hundreds of thousands of hosts within hours. We showed that some of these worms remain endemic on the Internet. We explained that better-engineered worms could spread in minutes or even tens of seconds rather than hours, and could be controlled, modified, and maintained indefinitely, posing an ongoing threat of use in attack on a variety of sites and infrastructures. Thus, worms represent an extremely serious threat to the safety of the Internet. We finished with a discussion of the urgent need for stronger societal institutions and technical measures to control worms, and sketched what these might look like.

Algunos se propagan en minutos o segundos.

Un estudio sobre HTTPOnly y Secure Cookie

Por la posibilidad de hacerlos y porque, al final, llevan un trabajo no desdeñable me gustan mucho este tipo de estudios. Por algún motivo lo había dejado aparcado y lo traigo ahora aquí: Study of HTTPOnly and Secure Cookie Flags for the Top 1000 Websites.

Como el título sugiere, se eligen los 1000 sitios más importantes (según alexa, en este caso) y se observa el resultado de alguna característica de seguridad. En este caso los flags HttpOnly y Secure cookie: se trata de hacerse una idea del uso que dan estos sitios a esas características de seguridad.

Unique Domains Responding: 162
Domains responding to https://www.: 141
Domains responding to https://: 88

Total Cookies Gathered: 559
Cookies from https://www.: 373
Cookies from https://: 186

HTTPOnly Flag
Total unique count of cookies using secure flag: 26
Cookies from https://www.: 25
Cookies from https://:11
Note: 10 of the 11 sites from https:// were duplicated within the
https://www. results

SECURE Flag
Total unique count of cookies using secure flag: 15
Cookies from https://www.: 15
Cookies from https://: 0

Session Cookies
Cookies containing the word «session»: 91
Total unique count of these cookies marked HTTPOnly: 12
Total unique count of these cookies marked SECURE: 8
Total unique count of these cookies marked SECURE & HTTPOnly: 1
(https://www.clickbank.com)

HTTPOnly & SECURE
Total number of cookies marked HTTPOnly & SECURE : 7
6 from https://www.paypal.com
1 from https://www.clickbank.com

Raw data can be found at the following link.

La metodología tiene sus debilidades: puede ser que se utilicen estas cosas, pero no en la página que se mira, o algún error temporal, pero da una idea …

Ya hemos comentado otras veces estudios ‘numerológicos’ similares, por ejemplo en Claves y usabilidad o en Contraseñas, usabilidad y uso.

Contraseñas, usabilidad y uso

El otro día en Buenas prácticas sobre claves y bloqueo de cuentas ‘amenazábamos’ con volver sobre el tema. Lo hacemos con tres artículos que he leído recientemente sobre el asunto:

El primero, Where Do Security Policies Come From? que se basa en el examen de la política de claves de 75 sitios web para concluir que, en general, las políticas son bastante absurdas y no tienen una base sólida sobre la que sustentarse: en general, los sitios con políticas más restrictivas no son los que más requisitos de seguridad tienen, sino los que se lo pueden permitir (sitios gubernamentales y universidades); los que compiten por los usuarios y el tráfico no son muy exigentes, seguramente porque no quieren desanimar a los clientes (y porque les va bien así, luego las exageraciones en cuanto a las claves han de tomarse con una pizca de sal).

El segundo, [PDF] The password thicket: technical and market failures in human authentication on the web. Se analiza la forma en que está implantado en 150 sitios el sistema de autentificación. En este caso lo que se encuentra es que hay bastantes inconsistencias: sitios que son muy exigentes en algunos aspectos, lo son menos en otros. Definitivamente, muy interesante.

Finalmente, uno que no estoy seguro de comprender del todo, Popularity is Everything: A new approach to protecting passwords from statistical-guessing attacks. Se trataría de fortalecer las claves de los usuarios contra ataques de intentos de adivinarlas, evitando que los usuarios utilicen claves demasdiado populares (y lo que no entiendo bien es si no sería una manera de conocer qué claves eran más populares en un sistema).

Algunos datos de Verizon sobre PCI

Ya hablamos en su momento de PCI:

• Cuando lo conocimos, en Estándar de seguridad de los datos en las tarjeteras.
• Cuando se fue extendiendo su influencia, La seguridad y las empresas de tarjetas de crédito.
• Cuando empezó a cobrar fuerza, PCI: una introducción

Después ha habido dudas y quejas de los implicados en su uso e implantación. Verizon se ocupa, entre otras cosas, de asesorar a empresas en estos temas y han lanzado el informe [pdf] 2010 Payment Card industry Compliance Report, donde se analiza el nivel de implantación de las organizaciones a las que asesoran.

Uno de los temas que más me interesan, el del desarrollo seguro es uno de los que se señalan como flojos en las organizaciones (6.5 desarrollo seguro de aplicaciones web), aunque el informe apunta algunos puntos débiles más.

¿Qué empresas contribuyen más al software libre?

Internet nos ofrece un mundo de datos por explorar. Teniendo en cuenta que son aproximaciones (porque los datos no son completos, o tienen sus propias dinámicas, …) podemos aprender algunas cosas. En este caso en Evaluating Open Source Participation by Email Traffic nos hablan de una recopilación de listas de correo de proyectos de software libre y un análisis sencillo, basado en el origen de los mensajes (buscando los dominios de los mails corporativos de algunas empresas) que nos da algunas ideas de quién y cuánto ha contribuido (a través de la participación de sus empleados en las listas de correo).

Además de los datos sobre algunas empresas conocidas, podemos ver que gmail es el servicio favorito de los desarrolladores de software libre (gana por goleada a hotmail y Yahoo!) y también podemos hacer nuestras propias indagaciones: por ejemplo participación de gente del dominio unizar.es.

Esta entrada claramente era dudosa entre esta bitácora y la otra pero como el otro día puse allí la entrada Sensores como nosotros y aquí se habla un poco de software libre, he preferido ponerla aquí.

Algunas métricas de seguridad en Oracle

En The Good, The Bad, And The Ugly: Stepping on the Security Scale (pdf) podemos leer algunas ideas de Mary Ann Davidson, sobre las métricas y cómo las utilizan en Oracle para mejorar la seguridad. Que nadie espere grandes detalles ni metodologías profundas, pero si una idea de cómo se enfrentan en una empresa de gran tamaño y los consejos y puntos a los que hay que prestar atención.

Popularidad de los lenguajes de programación

A partir de diversas fuentes en Programming Language Popularity. En las búsquedas de Yahoo! el lenguaje más popular sería C++, seguido de C y Java. En las búsquedas de empleo de Craig List (a través del buscador Yahoo!) el más popular sería PHP, seguido de C++ y C. Según los datos de la librería Powell’s Books el triunfador sería Java, seguido de C++ y Visual Basic. Según Freshmeat (hacía un montón de tiempo que no veía referencias a este sitio) el primero sería C, seguido de Java y C++. Según Google Code el ganador es C, Java y C++. Para Del.icio.us el primero es JavaScript seguido de Java y Python. Finalmente, según Ohloh el primero es C, luego Java y luego C++.

En el resultado combinado (peso 1 para cada una de las estadísticas) el ganador sería Java, seguido de C y C++.

Lo que tardan los fabricantes en arreglar los fallos

En Estudio comparativo: ¿Cuánto tardan los grandes fabricantes de software en arreglar una vulnerabilidad? hablan justamente de eso. No es un estudio definitivo porque se habla de las vulnerabilidades informadas a través de un par de servicios de compra de este tipo de fallos, iDefense Vulnerabity Contributor Program y The Zero Day Initiative lo que deja fuera unas cuantas que no siguen ese camino y que, además, probablemente son públicas (estos sitios utilizan una política de divulgación ‘responsable’) y ejercen más presión sobre los fabricantes.

Por lo demás sólo Novell y Apple parece que resuelven (algo) más del 50% antes de tres meses, que no es mucho decir.

La seguridad, los navegadores y las actualizaciones

Este es un tema que me gusta mucho recordarlo (Los parches hay que aplicarlos) y con el que hay que tener la debida prevención (Cuidado con las actualizaciones automáticas).

No sé donde lo encontré pero me parece interesante el artículo Understanding the Web browser threat: Examination of vulnerable online Web browser populations and the «insecurity iceberg».

El ‘iceberg’ de la inseguridad se refiere a los usuarios de navegadores que no usan la versión más actualizada del programa, viéndose sometidos a riesgos innecesarios.

… we discovered that at most 83.3% of Firefox users, 65.3% of Safari users, 56.1% of Opera users, and 47.6% of Internet Explorer users were using the latest most secure browser version on any day between January 2007 to June 2008. For the latest version analysis of Safari, we only considered the date range Dec 2007 to June 2008, when Safari version 3 became widespread

Y más tarde:

It is noteworthy that it has taken 19 months since the initial general availability of IE7 (public release October 2006) to reach 52.5% proliferation amongst users that navigate the Internet with Microsoft’s Web browser. Meanwhile, 92.2% of Firefox users have migrated to FF2.

Habla bien del mecanismo de Firefox:

We believe the auto-update mechanism as implemented within Firefox to be the most efficient patching mechanism of the Web browsers studied. Firefox’s mechanism regularly polls an online authority to verify whether a new version of the Web browser is available and typically prompts the user to update if a new version exists. With a single click (assuming that the user has administrative rights on the host), the update is downloaded and installed. Just as importantly, Firefox also checks for many of the currently installed Firefox plug-ins if they are similarly up to date, and, if not, will prompt the user to update them.

Y, claro, la recomendación:

Based upon our findings, we strongly recommend that software vendors embrace auto-update mechanisms within their products that are capable of identifying the availability of new patches and installing security updates as quickly and efficiently as possible – ideally enabled by default and causing minimal disruption to the user. We also recommend that these same auto-update mechanisms are capable of alerting the user of any plug-ins currently exposed through the Web browser that have newer and more secure versions available.

Se puede ver en otros formatos, como en pdf, las transparencias para vagos gente más ocupada e incluso en vídeo.

La seguridad, los navegadores y las actualizaciones

Este es un tema que me gusta mucho recordarlo (Los parches hay que aplicarlos) y con el que hay que tener la debida prevención (Cuidado con las actualizaciones automáticas).

No sé donde lo encontré pero me parece interesante el artículo Understanding the Web browser threat: Examination of vulnerable online Web browser populations and the «insecurity iceberg».

El ‘iceberg’ de la inseguridad se refiere a los usuarios de navegadores que no usan la versión más actualizada del programa, viéndose sometidos a riesgos innecesarios.

… we discovered that at most 83.3% of Firefox users, 65.3% of Safari users, 56.1% of Opera users, and 47.6% of Internet Explorer users were using the latest most secure browser version on any day between January 2007 to June 2008. For the latest version analysis of Safari, we only considered the date range Dec 2007 to June 2008, when Safari version 3 became widespread

Y más tarde:

It is noteworthy that it has taken 19 months since the initial general availability of IE7 (public release October 2006) to reach 52.5% proliferation amongst users that navigate the Internet with Microsoft’s Web browser. Meanwhile, 92.2% of Firefox users have migrated to FF2.

Habla bien del mecanismo de Firefox:

We believe the auto-update mechanism as implemented within Firefox to be the most efficient patching mechanism of the Web browsers studied. Firefox’s mechanism regularly polls an online authority to verify whether a new version of the Web browser is available and typically prompts the user to update if a new version exists. With a single click (assuming that the user has administrative rights on the host), the update is downloaded and installed. Just as importantly, Firefox also checks for many of the currently installed Firefox plug-ins if they are similarly up to date, and, if not, will prompt the user to update them.

Y, claro, la recomendación:

Based upon our findings, we strongly recommend that software vendors embrace auto-update mechanisms within their products that are capable of identifying the availability of new patches and installing security updates as quickly and efficiently as possible – ideally enabled by default and causing minimal disruption to the user. We also recommend that these same auto-update mechanisms are capable of alerting the user of any plug-ins currently exposed through the Web browser that have newer and more secure versions available.

Se puede ver en otros formatos, como en pdf, las transparencias para vagos gente más ocupada e incluso en vídeo.