No es la primera vez que aparece en este blog los amigos de Secunia. Para quien no lo sepa, Secunia es una de las empresas más importantes (si no es la más) dedicadas por así decirlo a consultoría y/o auditoria en seguridad de software. Posiblemente posee la base de datos pública más extensa sobre vulnerabilidades de software. Cuando hablamos de vulnerabilidades de software (normalmente exploits), hay que tener en cuenta que son datos relativos, es decir, los datos que se tienen son siempre de las vulnerabilidades conocidas, no significa que no existan más, y esto es algo a tener muy en cuenta, ya que un buen software (en relación a la seguridad) no se puede medir únicamente por el número de vulnerabilidades, sino la penetración de él a nivel mundial. Esto es algo que este año Secunia a comenzado a tener en cuenta, a fin de cuenta encontrar un error en un programa que usan 10 personas es más fácil que encontrarlo en uno que tan solo usa una persona.

Para quien quiera el informe completo puede descargarlo desde el siguiente enlace:

Secunia Half Year Report 2010

 

Cuando hablas con un experto sobre seguridad informática, puede darte razones o explicarte por qué un sistema es más seguro que otro o que tecnologías son superiores. En cambio, y aquí lo hemos vivido alguna vez, el usuario medio no entiende de exploits, de ASLR, DEP, núcleos… ellos tan solo le dan a un botón para encender su equipo y viven en la creencia de que este es seguro. Y no es que no lo sean, algunos lo son de echo, otros lo son menos y otros… bueno, tiene que existir de todo. Lo que quiero decir, es que ese grupo de usuarios (que es el mayoritario) les vale más una tabla con resultados que todas las explicaciones del mundo. Y aquí es donde entra Secunia. Hoy no vamos a volver a explicar las diferentes medidas de seguridad o que software es mejor que otro y por qué. Simplemente quiero comentar los datos de Secunia.

Pues bien, nada más comenzar el informe, lo primero que nos enseña Secunia es el Top 10 de las empresas de software con más vulnerabilidades. Ya lo he dicho antes, pero lo voy a repetir, tener siempre en la cabeza presente cuales de esas empresas tienen mayor penetración en el mercado. Si se tiene esto en mente, los datos se interpretan de otro modo más realista, y si lo tenemos en cuenta, algunos datos que nos presenta Secunia son escalofriantes, ya que la siguiente imagen tan solo entiende de número de fallos de seguridad, no de uso:

Si los colores no se distinguen bien no importa, en la leyenda de la derecha están ordenadas las empresas por orden de ranking. Los resultados son cuanto menos interesantes. Apple no solo ostenta el peor puesto, sino que va de mal en peor. A esto hay que sumarle el echo irrefutable que de todas las compañías de software del top 10, Apple es además con mucha diferencia la que tiene menor penetración en el mercado!! Ojo!! En esta gráfica no se recogen sistemas operativos o software concreto, sino TODO el software de la compañía. De todos modos los nombres de las empresas del top 10 son de todo menos desconocidos, y de echo, quitando Adobe y Mozilla, el resto de empresas tienen su propio Sistema Operativo: Windows, MAC OS, Android/Chrome, Cisco IOS, VMware ESX…

Hace unos meses era un servidor quien hacía una comparativa similar, simplemente con carácter informativo basándome en los datos de Secunia. Pues bien, el informe de ellos básicamente destaca lo mismo.

1º. El puesto de honor como no podía ser de otro modo es para… Apple, y lo es en realidad desde más allá de año 2000 (no aparece en la gráfica) según Secunia. Y digo desde el 2000, porque como se puede ver en el informe original, en los datos de Oracle se sumaron también los datos de sus recientes adquisiciones: Sun y BEA, si las separamos, Apple reside en el puesto de honor desde el año 2000, superada tan solo por Microsoft como se puede apreciar en 2006. Entre el software de Apple encontramos sobre todo MAC OS, iPhone OS, iTunes y Safari como software más “importante” de ellos, que es en los cuales reside el grueso de las vulnerabilidades. El primer puesto es por tanto para la empresa con menos presencia de software de todas las que aparecen en la lista. (Aun saldrá Jobs diciendo que MAC OS es el OS más seguro, y le echará las culpas de nuevo a Adobe, como ya hizo tiempo atrás)

 

2º. En el segundo puesto tenemos a Oracle, un peso pesado. Si bien es cierto tenemos que ser un poco consecuentes con ellos, y se les ha sumado las vulnerabilidades no solo de estos, sino de sus recientes adquisiciones como por ejemplo Sun. Oracle es una de las empresas más fuertes de Software también, con una presencia enorme en el mercado, posiblemente, de las que más presencia tiene. No es por tanto demasiado incoherente verla en el puesto número dos. Software de Oracle? Pues quizás el que ha tenido mayor repercusión ha sido su software para bases de datos, entornos de programación como JDeveloper, entornos de ofimática como OpenOffice… y recientemente con la compra de Sun pues la lista se engrosa con MySQL por ejemplo o por supuesto JAVA. Es decir, no estamos hablando de una empresa que no sabe que es un software. El puesto número 2 es justificado? Bueno, no es “justo” si tenemos en cuenta el gran elenco de software que aporta Oracle y la penetración de este, pero los datos son los datos, y es la segunda peor empresa en cuanto a seguridad se refiere.

 

3º. Por increible que parezca a más de uno, Microsoft no solo no está en el puesto número uno, sino que se encuentra en el número tres. Bueno, posiblemente a día de hoy sea la empresa de software más fuerte del mundo, no por su variedad quizás, sino por su penetración en el mercado, lo que hace aun más impresionante su posición. Por penetración, Microsoft debería de estar con muchísima diferencia en el puesto número uno, en cambio no es así. Este echo constata el gran esfuerzo de la compañía de Redmond en cuestiones de seguridad. Esto es algo que he dicho muchas veces, pero parece que si no son con datos nadie te cree. No hace falta nombrar el Software de Microsoft, pero por si tenemos algún despistado podemos resumirlo fundamentalmente a: Windows, Office, Internet Explorer, SQL Server e Internet Informations Server (IIS). Recordemos que Windows tiene una penetración de más de un 90%, Office posiblemente de más de un 40%, IE un 40-60 según los últimos datos… y sobre SQL Server e IIS no tengo datos ahora mismo, pero son usados de manera bastante extensa. Y aun con todo ello tan solo ostenta un tercer puesto. Si separásemos Oracle, tendría un puesto aun inferior. y Apple aun quedaría la primera. De echo, a datos de 2005 se puede observar que MS ostentaba el puesto número cinco.

 

4º. Y quien no conoce HP? En realidad desde mi punto de vista los datos para HP son malos… si no tenemos en cuenta la reciente compra de Palms, softaware que ya se encuentra incluido bajo HP en dicha gráfica. HP se dedica principalmente a Software, pese que la gran mayoría los conoce más como OEM. Esto es debido a que las soluciones de HP son más empresariales que domésticas. Es por ello que los datos de HP son malos para mi, dado que no posee una penetración tan amplia como pueda tener Oracle o Microsoft, y en cambio está en el puesto número cuatro. De todos modos, el top 10 coincide más o menos con el top 10 de los mayores fabricantes de software, y por tanto estar en el puesto cuatro tampoco es una noticia demasiado mala. Software de HP? Bueno, quizás menos conocido para el usuario doméstico, pero tenemos desde el software de centros de datos (data centers), sofware de seguridad, de gestión, de control… y recientemente además se le debe de sumar al igual que a Oracle su última adquisición: Palm, lo cual explica un cuarto puesto, y entre su software sobr todo destacar Palm OS/WebOS

 

5º. Adobe System, otra de esas empresas dedicadas por completo al mundo del software. Posiblemente uno de los puestos más equilibrados de todo el top 10, el que menos sorprende ni por bien ni por mal, y no porque esté en el ecuador de la lista. Pese las críticas y el intento por parte de Apple de boicotear Flash, el software de Adobe es por regla general bastante más seguro que el de Apple. Esto contrasta enormemente con las palabras de Jobs, al afirmar con toda la cara del mundo que “Cuando MAC OS falla es por culpa de Flash”, excusa que daba entre otras para justificar el motivo por el cual iPhone no tenía Flash. No obstante todo no es positivo para Adobe. Aunque es cierto que Adobe se centra tan solo en software, es cierto también que de todo su software el más “problemático” es aquel que interactua desde la red (como lo es siempre), y básicamente se encuentra en el puesto número cinco por su tecnología Flash o Acrobat. Esto tampoco podemos decir que sea malo del todo, si tenemos en cuenta que Flash tiene una penetración de un 99%!! Es decir, que le guste al señor Jobs o no, un quinto puesto para Adobe son más que buenas noticias para ellos (para adobe), puesto como se verá despúes, solo Safari es bastante más vulnerable e inseguro que Flash.

 

6º. IBM tenía que aparecer tarde o temprano, y lo hace en un buen puesto. IBM es otro de esos grandes pesos pesados, junto con Oracle y Microsoft conforman seguramente los 3 fabricantes de software más importantes del mundo. Enumerar el software de IBM es algo absurdo, es enorme. Desde sistemas operavicos como OS/2, pasando por software de gestión de todo tipo, software de ofimática, de administración, data centers… aunque es cierto que prácticamente el grueso es orientado a empresas. Es cierto que si podemos decir algo a favor de IBM es que siempre se han tomado en serio la seguridad, y un sexto puesto es todo un logro. Evidentemente no tiene la penetración como pueda tener Microsoft u Oracle, pero sinceramente no sale demasiado mal parada.

 

7º. Interesante puesto en la séptima posición, VMWare. En realidad, aun en séptima posición, ostenta un resultado nefasto. VMware es una empresa de software especializada en software de virtualización, el cual por cierto tiene una aceptación y versatilidad enorme!! En los últimos años la virtualización se ha convertido en algo incluso necesario y tremendamente útil. Hasta aquí bien, el problema es que carece de sentido que una empresa con software tan especializado y con una cartera “pequeña” de este, aparezca en el top 10. Evidentemente vmware posee una gran aceptación y penetración en el mundo de los servidores, pero aun así me parece un puesto bastante alto. Sinceramente me ha sorprendido, no sabía que poseía unos resultados tan “malos” en referencia a la seguridad. Entre su software posiblemente los más conocidos sean VMware Workstation o VMware EXS

 

8º. Como no podía ser de otra forma, antes o después tenía que aparecer Cisco. Este es un puesto esperado y que se comprenderá en la medida que lo explique. Cisco, para quien no lo sepa, es la empresa más importante a nivel mundial en infraestructuras de red. En realidad esto podría aparecer no tener una relación demasiado importante con el software, no obstante si la tiene y por partida doble. De todas las empresas que tenemos en el top 10, Cisco es la empresa más “lógica” que intentaría atacar un hacker. Esto puede no tener aun mucho sentido, pero si incluimos que el 90% de toda la infraestructura principal de Internet se apoya en hardware Cisco, esto cobra mayor sentido, y rematamos la cuestión si recordamos que los routers y otros dispositivos de hoy en día son prácticamente todos a fin de cuenta gobernados por un OS o una firmware… software a fin de cuentas. Es decir, la penetración de mercado de CISCO no se puede medir en “personas”, como pueda ocurrir con Windows por ejemplo, sino en dispositivos de red. Cisco tiene una presencia increíble a nivel mundial. Y por otro lado, aunque el software de CISCO sea super específico, es evidente que por su gran importancia un porcentaje enorme de esfuerzos recaen en asaltar Cisco IOS, el software de control de la mayoría de sus routers. Encontrar un fallo de seguridad en Cisco IOS puede implicar tambalear todo Internet. No hay que irse muy lejos, hace un año aproximadamente se detectó un fallo de seguridad en este, y la respuesta de Cisco no se hizo de esperar, lanzó una actualización masiva para solucioanr dicho error, y fue enviada con carácter urgente a todos los ISP y otros. Cisco como tal se dedica sobre todo a grandes corporaciones/empresas, no al usuario doméstico, para ello posee la conocida Linksys, propiedad de Cisco. Es por ello que en la lista, CISCO antes o después debía de aparecer, al igual que es evidente que por seguro que pueda ser Windows, siempre aparecerá en la lista.

 

9º. Google!! También era un candidato esperado en la lista, aunque un noveno puesto es un resultado excelente. Google se dedica a día de hoy a prácticamente TODO, y por supuesto al software. Es normal que haya subido algún puesto si tenemos en cuenta la aparición del navegador Chrome o Android, pero tampoco podemos olvidar sus servidores gws (Google Web Servers). Con el éxito de Google es evidente que también ha sido un caldo de cultivo para hackers, y ello implica también que se descubran más vulnerabilidades. Es decir, Google en noveno puesto es una buena noticia para todos, ya que podemos decir que hacen un buen trabajo.

 

10º. Para terminar, el último en el Top 10, y con último me refiero a la “empresa” más segura del top 10, Mozilla (Mozilla es una organización, ojo, no una empresa). Es evidente que como empresa de software más cercano al usuario (navegadores, gestores de correo…) tenía que aparecer en la lista, dado también la penetración y el éxito que ha tenido Firefox (Thunterbird ha tenido menos éxito, pero por la sencilla razón de que el usuario medio no suele usar gestores de correo). ¿Que podemos decir de Mozilla? Bueno, Firefox posee un ratio de vulnerabilidades algo superior a Safari e inferior a IE. Si ahora atendemos a que IE tiene una cuota de mercado de un 40-60, Firefox un 20-40 y Safari un 3-4%, podemos decir sin lugar a dudas que el trabajo realizado por Mozilla es excelente, y de nuevo Apple se lleva una manzana roja, no se comprende como un navegador con tan poca penetración y se le encuentren tantos fallos de seguridad. Es un poco lo que sucede con Windows Vs MAC OS, teniendo el primero una penetración infinitamente superior, y en cambio a efectos globales MAC OS tiene más vulnerabilidades!! esto desde mi punto de vista es cuanto menos sorprendente

 

 

No obstante, del informe de Secunia se pueden extraer más cuestiones interesantes, como es e echo de que la gran mayoría de las vulnerabilidades, esas que hacen que el equipo se vuelva más inseguro, no residen en el propio OS. Por ejemplo, en Windows, el 65% de los fallos de seguridad no residen en Windows en sí, sino en el software que los usuarios instalan sobre él, que es el que debe de ser debidamente parcheado. Esto es lógico. Vivimos una época en la que el software se renueva cada día para ofrecernos desde características más avanzadas a simplemente software más eficiente o adaptado al hardware moderno. Pero quizás el echo más trascendente es la Red. A día de hot prácticamente la totalidad del software permite conexiones a internet para actualizarse, verificar licencias, trabajar sobre la red… esto dota a los programas con una nueva ventana de posibilidades, el problema es en cambio que un fallo de seguridad en el programa puede dejar expuesto al equipo que lo está ejecutando. Es por ello que la principal fuente de ataque en un sistema operativo es el navegador web, dado que es el software directo con el que interacciona cualquier usuario para Internet:

Esta otra tabla refleja el mismo top 10, pero sobre software concreto de terceros, es decir no incluyen sistemas operativos. Tengo que decir que no estoy de acuerdo con los datos de esta tabla. Según esta, Firefox actualmente se encontraría instalado en un 56% de equipos, Chrome un 30% y Safari en un 15%. Bien, actualmente aunque Firefox tiene una cuota más que aceptable y Chrome también, Firefox no tiene una penetración de un 56%, Chrome ni de lejos llega al 30% y Safari más quisiera tener un 15%, al igual que iTunes no lo tiene instalado un 43% de equipos. Los datos de la penetración de Adobe son más reales la verdad, aunque Adobe AIR no llega al 41% ni en sueños. Hay que decir que estos datos proceden de una fuente específica de Secunia, lo cual si explica las tasas de share tan altas. Quitando eso, lo que si es una realidad es el número de boletines de seguridad de cada uno de ellos. En este caso, el que se lleva la peor parte es Firefox y despues Safari a muy poca distancia. De nuevo se debería de repetir lo mismo que en la tabla anterior, el software más usado debería de ser el que más vulnerabilidades presentase, y en cambio vemos de nuevo a Apple casi en cabeza de la lista, siendo Safari el navegador menos usado con mucha diferencia en el mercado.

Si es interesante destacar el tercer puesto y el séptimo. El tercer puesto lo ostenta el runtime de JAVA, que con un 89% de share es aceptable su tercera posición. El séptimo puesto es para Flash, y es destacable porque choca de nuevo de bruces con las palabras de Steve Jobs, cuando este decía que el problema de MAC OS era casi siempre Flash. Pues bien, quitando el echo del share de uno u otro, lo que es cierto es que Safari es en cuanto a seguridad se refiere infinitamente peor que Flash, y eso que Flash tiene una penetración casi dele 100%. Es evidente que una vulnerabilidad no es sinónimo a un mal funcionamiento, pero si pudiésemos medir esto, el resultado sería similar a todas las tablas mostradas. Por cierto, otra posición interesante es la de iTunes, y creo que es la más preocupante del top 10.

Los 10 programas de esta lista, tienen TODOS una interacción directa con internet. En la lista encontramos evidentemente y en los puestos superiores 3 navegadores, y en la cola un gestor de correo. Con esto son ya 4 piezas de software en los que su uso es casi exclusivo para Internet. Pero ademeás de estos 4 programas tenemso JRE y Flash, los dos complementos (addons) para los navegadores más importantes. Si bien estos pueden ser usados para otras aplicaciones, el 99% de su uso es directo con internet. Ya tenemos cubiertos 6 de 10. Por otor lado tenemso Adobe AIR y Acrobat/reader, que en realidad es el mismo software básicamente (una versión lite de la otra). Y por qué está Acrobat en la lista? Porque la lectura de PDF online se ha convertido en algo habitual, y los complementos para los navegadores para ello son igualmente comunes en estos. De las 10 piezas de software mostradas, iTunes es la única que no tiene una razón de ser directa con internet. Sí, iTunes lo usamos para comprar música o aplicaciones… pero no tiene una interacción directa con Internet, tan solo es un programa que requiere una conexión para poder conectar a los servidores de Apple. 48 boletines de seguridad para iTunes es simplemente algo sorprendente, cuando Internet Explorer que posee una penetración de un 99& tan solo tubo 49, y es un explorador web. De nuevo, la seguridad de Apple es cuanto menos inexistente.

Como muchos habrán visto, en dicha tabla NO aparece ningún producto de MS. No es que no estén, es que se han puesto en otra tabla. De todos modos, el tan criticado IE se situaría en dicha tabla en la posición 9.

 

Todo esto no significa que el software que usamos sea deficiente ni mucho menos. Es igual de importante la política de actualización de estos. De echo, algunos software como Firefox o Chrome, pese a tener un numero relativamente elevado de vulnerabilidades, las actualizaciones de estos son casi inmediatas, no se suele esperar a tener 10 vulnerabilidades para corregirlas. Esto quiere decir que cualquier usuario de Firefox o Chrome puede tener una seguridad bastante alta de que su navegador es seguro siempre. Microsoft con IE no es tan inmediato como los dos mencionados. Para MS a menos que sea un fallo crítico suele esperar a los boletines de seguridad que suelen poner en Windows Update cada dos jueves, aunque si es cierto que cuando la vulnerabilidad es grave al día siguiente tenemos el parche disponible en el Update. La peor parte de nuevo es para el software de Apple, la política que tiene de actualizaciones es nefasta. Apple tan solo suele parchear problemas de seguridad cada bastante tiempo. Es decir, si se descubre mañana un exploit que afecta a Safari y que permite un control total del equipo, Apple puede tardar perfectamente meses antes de parchear la vulnerabilidad, mientras que Firefox o Chrome lo tendrían parcheado el día después. Esto parece que no tiene importancia, pero cuando un fallo de seguridad se descubre y se hace público, es muy común que aparezcan exploits inmediatamente que los aprovechen. Existen numerosas bases de datos de estos que se actualizan continuamente, y si tu equipo no está actualizado, eres vulnerable.

Adobe por otro lado es cierto que tampoco se da toda la prisa del mundo, se toma las cosas con algo de calma, sin llegar a la inactuación de Apple. Adobe suele estudiar el caso, probarlo, reprobarlo… y entonces saca la actualización. Ante un fallo crítico Adobe respondería aproximadamente en unos 3-5 días. Sun (ahora Oracle) tendría una respuesta similar. De todos modos ambos tienen un excelente soporte de actualizaciones periódicas, y no está de más actualizar el software dele equipo cada mes o dos meses.

 

Conclusión? Bueno, los datos de Secunia son los datos de Secunia, con sus matizaciones, interpretaciones… pero están ahí. Que Apple disponga del software más vulnerable no es nuevo, para un hacker asaltar un MAC OS es infinitamente más sencillo que una plataforma Windows, o atacar a Safari mucho más simple que hacerlo contra Firefox o IE. Es por ello que aquí se demuestra que los mitos son mitos por algo. Que por mucho que muchos usuarios se empeñen en decir que MAC OS es más seguro, la realidad es bien distinta, no solo son más seguro, sino que son colistas en cuanto a seguridad se refiere.