¿Aumentan o descienden las vulnerabilidades?

Llevábamos unos años en los que el número de vulnerabilidades de las que se informaba en la National Vulnerability Database descendía año tras año, como puede verse en Statistics Results Page NVD y en la imagen que pongo a continuación:
ChartImg.axd

(incluye datos de 2013 y 2014).

Mi teoría era que los descubridores ya no publicaban los resultados, sino que los aprovechaban, vendían o sacaban partido de alguna forma.

A principios de 2013 hablaban en Software Vulnerabilities Rise Again After 5-Year Decline de un repunte en 2012, que en el gráfico que muestro puede verse como se confirmó en el 2013. Lleva camino de volver a crecer en 2014, porque a mitad de año ya llevamos casi tantos informes de vulnerabilidades como en 2011. De hecho, de seguir al mismo ritmo este año alcanzaríamos los niveles de 2006 y 2007.

También hablan de las marcas más afectadas, que no se ya si es una información tan interesante aquí.

Vulnerabilidades y amenazas

En [PDF] Being Vulnerable to the Threat of Confusing Threats with Vulnerabilities un articulito de Roger G. Johnston tratando de aclarar la diferencia entre vulnerabilidades, amenazas y algunos mitos relacionados con ellas, las herramientas …

Se lee rápido.

Atacar la WiFi

El otro día nos enterábamos de que Alemania condena a una internauta por no proteger su WiFi y permitir descargas. Todo es muy relativo porque, conociendo un poco (muy poco) el tema todo el mundo sabe que la seguridad básica de la WiFi (que se utiliza ampliamente) es bastante débil (¿podrá el mismo juez más adelante acusarnos de utilizar protocolos poco seguros o claves débiles?).

Ahora nos enteramos de que en China venden ‘kits’ para romper las claves sin demasiadas complicaciones: Wi-Fi key-cracking kits sold in China mean free Internet. No termino de comprender la lógica del negocio con los programas libremente disponibles por ahí (salvo que el Gran Cortafuegos haga realmente difícil conseguirlos), pero según el artículo, se venden por un precio bastante razonable (24 dólares).

Por si a alguien le sirve de utilidad en Kits para crackear claves Wi-Fi vendidos en China significan Internet gratis está traducido el artículo.

Un fallo de 17 años

Esta vez se trata de un fallo en Windows, Windows plagued by 17-year-old privilege escalation bug. Concretamente afecta a la ‘Virtual DOS Machine’ introducida en 1993 con Windows NT. En Microsoft Windows NT #GP Trap Handler Allows Users to Switch Kernel Stack se pueden ver más detalles del fallo.

Es una cosa medio técnica y poco ‘glamourosa’ (creo), pero ¿por qué lo traigo aquí?
Me gusta recopilar este tipo de cosas, y ya habíamos hablado de fallos que permanecen mucho tiempo y que aparecen años después (en esta ocasión casi con la ‘mayoría de edad’) en El mito de los miles de ojos, hablando del software libre y este que traemos ahora es de software privativo, pero de difusión muy amplia.

Nuevos ataques con SMSs

Ya tiene unos días (y solución) pero quede aquí a título de inventario: Researchers attack my iPhone via SMS: mediante el envío de un mensaje especial el teléfono queda a merced del atacante (mediante más mensajes de control). Lo vi en Vulnerabilidad en los iPhone vía SMS.

Ya habíamos hablado de ataques a teléfonos de la marca Nokia en ‘Regalos’ navideños de seguridad y también a routers, Cross Site Scripting por SMS.

PHP y la seguridad

En State of the Art Post Exploitation in Hardened PHP Environments se habla del trabajo de Stefan Esser sobre fallos de seguridad y ataques realizados en instalaciones de PHP previamente fortalecidas. Es bastante técnico (al menos para mi) pero me pareció interesante la primera parte, donde hace un repaso de las medidas de protección disponibles en el lenguaje actualmente (y sus defectos y debilidades).

La complejidad y la seguridad

En Symposium Summary: Complexity vs. Security—Choosing the Right Curve, Morning Keynote Address se puede leer un resumen cortito de la presentación del Dr. Ronald W. Ritchey en el Symposium de CERIAS (Center for for Education and Research in Information Assurance and Securigy) y en Symposium Transcript: Complexity vs. Security—Choosing the Right Curve, Morning Keynote Address una versión más completa. Lo que no encuentro es la presentación en sí, que creo que sería de utilidad.

Se habla del tema de si la complejidad del software hace que haya más fallos de seguridad o no. Hasta ahora, el sentimiento ‘común’ tenía que ver con lo que dijo Dan Geer, mostrando una relación directa entre el número de líneas de código y vulnerabilidades (por ejemplo, en el tutorial -cuidado, 346 páginas- Measuring Security (pdf), casi al final) y el autor no lo tiene tan claro, aludiendo a un par de estudios relacionados: Is Complexity Really the Enemy of Software Security (pdf) que parece ir en al línea de que no (aunque sólo se refiere a la máquina virtual de JavaScript de Mozilla) utilizando 9 medidas diferentes de complejidad y no encontrando relación. También el caso de Milk or Wine: Does Software Security Improve with Age? (pdf) (pdf), donde parece haber evidencias de que eso es así en el código de OpenBSD en el que las vulnerabilidades van decreciendo con el tiempo y sugieren que cuando alguien se concentra en hacer las cosas bien (pero … ¿quién hace eso?) uno puede conseguir código más complejo y no perder seguridad o incluso mejorarla. Además, probablemente la mayoría de los problemas están en el código ‘fundacional’, porque después en el mantenimiento hay menos ‘actividad’.

De todas formas, el número de líneas de código no sería la medida buena de la complejidad. Tal vez habría que concentrarse especialmente en los momentos en que se producen desarrollos más grandes (y cambios mayores) para evitar los problemas.

Sobre las opiniones de Dan Geer ya habíamos hablado en vidas pasadas, por ejemplo en Dan Geer sobre monocultura, diversidad, evolución y otros, con referencia a una conferencia sobre diversidad en la que también habla del tema de la complejidad un poquito.

¿Existen programas sin fallos de seguridad?

A mi me parece que es un poco tramposa la pregunta de ¿Existen programas sin fallos de seguridad? pero está bien que alguien la haga de vez en cuando para recordarnos donde estamos: 100% seguro no existe, o no tiene sentido o, seguramente, es demasiado caro para poder asumirlo. Los productos probados, incluso desarrollados pensando en la seguridad (como es el caso del djdns de Dan Berstein) a veces tienen problemas (por cosas que se sabían, o por circunstancias que podríamos llamar sobrevenidas). De hecho, como dice el artículo, este servidor de DNS no era vulnerable al problema que apareció con todos los demás servidores de este tipo el año pasado.

Análisis de ‘scanners’ de vulnerabilidades web

No soy un experto en el tema pero en Web Vulnerability Scanners Comparison se enlaza a un estudio donde se evalúan unas cuantos de estos productos de análisis de la seguridad de aplicaciones web con una aplicación vulnerable hecha a propósito. No salen demasiado bien paradas y, en todo caso, no es suficiente confiar en una herramienta de estas y pensar que estamos a salvo.