Ha terminado el año, y por curiosidad me he dado una vuelta por los boletines de vulnerabilidades CVE de este año pasado para ver como se habían comportado las principales empresas de Software en cuanto a fallos de seguridad se refiere en sus productos estrella. Para quien no lo sepa, CVE es digamos un Identificador que se le asigna a cada vulnerabilidad descubierta en cualquier software para que esta quede totalmente identificada y catalogada. No todas las vulnerabilidades son etiquetadas con CVE, pero podemos afirmar que más del 95% de todas las vulnerabilidades conocidas o documentadas lo están. Es por ello que es una forma muy eficaz de poder contabilizar de forma bastante rigurosa los fallos de seguridad de software de un producto.

Todos los datos están extraídos por tanto tanto desde del Instituto Nacional de Estándares de Tecnología (NIST) que son los que se encargan de CVE, como Secunia, posiblemente la empresa más importante de índole mundial en el seguimiento de vulnerabilidades.

En cuanto a sistemas operativos de escritorio se refiere he tomado por un lado Windows 7 (que ha estado presente con nosotros los 365 días del año pasado) y por el otro lado MAC OS X. En el caso de MAC OS X, dado que Lion apareció a mitad de año, he contabilizado en la gráfica principal todas las vulnerabilidades registradas en boletines CVE hasta la fecha para Snow Leopard, y a partir de esa fechas las vulnerabilidades de Lion hasta final de año.

En cuanto a SmartPhones se refiere, tendremos un poco todos los implicados: Android, iOS, BlackBerry OS, Windows Mobile (me parecía totalmente despreciable el porcentaje de usuarios actualmente con otros OS).

Por último los Navegadores como siempre: IE8/9, Firefox 3.6-9.x, Chrome 8-16, Safari 5, Opera 11. Evidentemente algunos navegadores participan con múltiples versiones porque en todo el 2011 han cambiado varias veces.

 

 

  

 

Sobra decir que cuantas más vulnerabilidades es peor. De nuevo se desmitifica el mito que dice que MAC OS es más seguro que Windows. Incluso teniendo en cuenta la gran desproporción de usuarios que existe entre un OS y el otro (existen infinitamente más usuarios en Windows 7 que en Snow Leopard o Lion), MAC OS en 2011 ha tenido una tasa de fallos de seguridad que duplica la de Windows!! Pensar que cuando se habla de CVE no importa si los fallos de seguridad han sido parcheados o no, simplemente que existe una vulnerabilidad que ha podido (o no) ser corregida por su fabricante.

También he optado en esta ocasión por mostrar una gráfica que representa por versión de OS esa tasa de fallos de seguridad. Los resultados son más o menos igual de interesantes, Lion llegó al mercado a finales de Junio y se empezará a distribuir masivamente sobre Julio-Agosto. En teoría habría sido muy lógico pensar que al ser una revisión más actual habría sido mucho más sólido que Snow Leopard, en cambio ha sufrido prácticamente el mismo porcentaje de vulnerabilidades (teniendo en cuenta que entró algo despues de medio año de forma masiva). ¿Quien continúa afirmando que Apple es sinónimo de seguridad?

Por supuesto no es tan solo importante el número de vulnerabilidades encontradas, sino la rapidez con la que los fabricantes las parchean. En el caso de Microsoft, los ciclos son regulares, al menos una publicación mensual si se han encontrado fallos de seguridad, y se publican actualizaciones inmediatas de existir un fallo grave. A lo largo de todo 2011 Microsoft habría parcheado el 100% de todas las vulnerabilidades CVE en unos 15-17 entregeas repartidas por todo el año.

Por el contrario en el caso de MAC OS, Apple no tiene ciclos concretos de actualizaciones. En su caso, las 208 vulnerabilidades fueron corregidas tan solo en 8 tandas repartidas a lo largo del año, en las que ahora mismo no se han parcheado el 100% de ellas. Este es incluso un peligro aun mayor al de tener un gran número de ellas, el no tener políticas de publicaciones periódicas cada poco tiempo. Apple lo que hace es que cada mucho tiempo actualiza el sistema y le da una versión diferente: 10.7.0 a 10.7.1 por ejemplo, cuando el 99% del código cambiado es por fallos de seguridad.

 

 

Actualmente aunque no tenga a mano los datos, el mercado de los Smartphones se encuentra dominado totalmente por Android, que apararía ahora mismo más del 50% de este. Más alejado se encontraría iOS con un 30 aproximadamente y el resto se lo repartirían BlackBerry, Windows Mobile, Symbian… En esta ocasión no puedo sino quedarme con la boca abierta de lo que me topé cuando terminé de extraer los datos… y no se trata de ninguna errata. Windows Phone lograba superar el año sin existir aparentemente ninguna vulnerabilidad CVE registrada, lo cual hace que sea el ganador de la noche!! BlackBerry con muchos más usuarios que Windows Phone nos decía que en todo el año tan solo 4 CVE habían sido asignadas. Android en tercer lugar y copando la gran mayoría de usuarios con tan solo 8 vulnerabilidades. Aquí uso “tan solo” no porque 8 me parezcan pocas, dado que tan solo una vulnerabilidad puede ser suficiente para que se apoderen totalmente de tu terminal!! Digo “tan solo” porque iOS 4/5 ha alcanzado en el año 2011 la friolera de 164 vulnerabilidades. Aquí no hay trampas ni trucos, cualquiera puede ir a revisar los datos del NIST o de Secunia, y ojo!! Tan solo están contadas las de iOS 4/5 referente a los iPhone/iPod Touch, no se incluyen siquiera las que tan solo afectan a iPad/iPad 2

De nuevo, es importante la actuación inmediata por parte de los fabricantes ante cualquier vulnerabilidad. En el caso de BlackBerry se sabe que siempre ha reaccionado de forma tardía. En el caso de Android se sabe que Google siempre ha actuado de forma inmediata y en el caso de iOS Apple siempre ha esperado hasta el final o hasta que ha trascendido a los medios para lanzar actualizaciones.

 

 

 

Por último y no menos importante tenemos los navegadores, y no exentos de sorpresas. De nuevo desmitificando mitos, Internet Explorer se encontraría como el menos vulnerable en el transcurso del año con tan solo 33 fallos descubiertos. Opera le seguiría de cerca con 43, una cifra nada desdeñable, aunque teniendo en cuenta el poco mercado que copa este es relativamente preocupante. En tercer lugar casi doblando a Internet Explorer encontraríamos a Firefox con 66 fallos de seguridad, que ya son bastantes!! Si bien es cierto que hay que tener en cuenta que cualquier software de código abierto poseerá o debería de poseer significativamente un número de CVE superior, puesto que es más fácil detectar fallos de seguridad por parte de expertos en la materia por poder mirar directamente al código fuente de este.

Que safari posea un índice que casi triplica el de Firefox no es es de extrañar a muchos dado que Apple no es que brille jamás por su seguridad y era previsible que íbamos a ver un resultado similar, pero que Chrome haya alcanzado la friolera de 318 CVE es cuanto menos de sorpresa. Sí, evidentemente Chrome es también junto con Firefox los dos navegadores de código abierto que disponemos, y sí… Google posee infinidad de empleados trabajando a tiempo completo en él y por ello es normal descubrir también más vulnerabilidades… ¿pero tantas?

Por suerte para los usuarios de Chrome, pueden estar más o menos tranquilos porque los ciclos de actualizaciones de este son muy cortas, y tanto Google con Chrome como Mozilla con Firefox actúan de manera casi inmediata en el momento en el que se descubre un fallo de seguridad en sus navegadores. Microsoft suene tener un tiempo de reacción inferior a estos últimos, y dependiendo del fallo de seguridad puede posponerse hasta el siguiente ciclo estandar de actualizaciones (el segundo martes de cada mes). Opera actúa un poco de forma arbitraria y bien puede subsanarlo de forma inmediata que tardar bastante tiempo en reaccionar. Por último Apple ya hemos dicho como actúa ante los fallos de seguridad, primero niega, después le echa las culpas a Adobe por Flash y al cabo de un año con suerte saca una actualización sin darle ningún bombo para corregir 9 meses de fallos de seguridad acumulados.

 

 

La valoración final es clara. Increíblemente Microsoft se lleva la medalla de oro en tanto la seguridad de sus productos, en todos ellos!! Es sorprendente como el peor visto por el pueblo por ello es el mejor en ello, y como el más alabado por su seguridad es en cambio el peor. Google ha hecho un gran trabajo en Android, pero Chrome necesita aun pulir muchísimo su código, es incomprensible que haya podido llegar a tal cantidad de CVE, aun cuando todas estén totalmente parcheadas!! Es signo de que existen otras tantas que no lo están. Por parte de Apple el tirón de orejas de costumbre, tanto en iOS como en MAC OS una cantidad descomunal de fallos de seguridad en comparación con la competencia y lo peor: Actuación muy muy lenta. Para RIM poco hay que decir, teniendo en cuenta la afluencia de usuarios que aun controlan no ha salido mal parada del todo y Opera como siempre es ese pequeño incomprendido, siempre estando entre medio de las tablas pero jamás sin sobresalir ni en lo bueno ni en lo malo.