Tendencias en las Vulnerabilidades de Software


Durante los últimos 5 años, la CVE (Common Vulnerabilities and Exposures) ha estado rastreando los tipos de errores que conducen a las vulnerabilidades divulgadas públicamente, y periódicamente reporta las tendencias en una escala limitada.

Debe observarse que los datos están obtenidos de una población incontrolada, es decir, informes públicos descentralizados de una comunidad de investigación con metas e intereses diversos, con un sistema igualmente diverso de vendedores y de desarrolladores. Métodos especializados, más exhaustivos, y repetibles se podrían idear para evaluar seguridad del software. Pero hasta que tales métodos alcancen la madurez y la extensa aceptación, el estado total de la seguridad del software se puede ver a través de la lente de los informes públicos.

A continación el resumen de los resultados a finales del año pasado.

  1. El número total de las vulnerabilidades de aplicaciones Web se ha disparado, al punto donde han alcanzado a los “buffer overflows”. Esto es probablemente se debe a la facilidad de la detección y explotación de las vulnerabilidades Web, combinado con la proliferación de las aplicaciones de software de calidad inferior. En 2005 y 2006, el “cross-site-scripting” (XSS) era el número 1, y el “SQL Injection” era el número 2. El “PHP remote file inclusion” es el número 3 del 2006; dado que permite la ejecución de código arbitrario en un servidor vulnerable, esto es una tendencia preocupante, aunque la configuración apropiada es con frecuencia suficiente para eliminarla.
  2. Los buffer overflows siguen siendo el número 1 según lo divulgado por asesores de ventas de sistemas operativos (SO). XSS sigue siendo alto en esta categoría, el número 2 de 2005 y número 3 de 2006, aunque otras vulnerabilidades Web aparecen con menos frecuencia.
  3. El “integer overflow”, apenas en el Top 10 en los pasados años, está en el Top 3 para los asesores de ventas de SO.
  4. Existe una sensible diferencia en los tipos de vulnerabilidades que son divulgadas por asesores de ventas de SO de código abierto y cerrado. Éstos merecen una investigación adicional porque puede ser que reflejen diferencias importantes en el desarrollo, la investigación, y prácticas de acceso.
  5. Los datos son poco concluyentes para reflejar si existe una mejora concreta en la seguridad del software. Mientras que hay un aumento en las “nuevas” clases de vulnerabilidad, los números crudos para viejas clases no han cambiado perceptiblemente. Una investigación adicional también se requiere en esta área.

Mayor información en: Vulnerability Type Distributions in CVE Vulnerability Type Distributions in CVE.

Acerca de Willy Mejia

Developer, Techie, Human... http://about.me/willyxoft
Esta entrada fue publicada en Informática e Internet, Seguridad. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s