1 ene 2017

Top 10 de productos mas vulnerados en 2016

Tomamos el Top10 de vulnerabilidades publicadas por la National Vulnerability Database del NIST y nos encontramos en primera posición a Android con 523 vulnerabilidades encontradas mientras que iOS aparece en la decimoquinta posición con 161 vulnerabilidades.
Estos números son debidos a varios factores: o bien Android tiene más vulnerabilidades que iOS o Apple no es tan transparente como Google y no hace públicas tantas vulnerabilidades.

Además, es "curioso" que no esta Windows en el Top 10 y eso es por que se cuentan por versiones separadas: Windows Vista, Windows 7 y Windows 10 se cuentan como productos distintos.
Eso tiene parte de razón pero es curioso ver que si las sumásemos, rivalizarían con la suma de todas las vulnerabilidades en todos los productos Adobe.
Después de este rápido repaso a las vulnerabilidades publicadas en 2016 espero que ya tengan como propósito para este año nuevo actualizar todos sus equipos y sistemas.

¿Cuáles son tus conclusiones sobre este informe?

Fuente: Infostatex

Suscríbete a nuestro Boletín

11 comentarios:

  1. Es una compilación muy rara y hasta parece así a propósito para dañar la reputación de algunos sistemas en la lista. Nunca Debian va a ser más vulnerable que Windows 10. Si chequeamos las vulnerabilidades catalogadas bajo Ubuntu, encontramos que prácticamente no hay vulnerabilidades del propio SO. Pero están ahí las vulnerabilidades de MySQL, Django, Java, NginX, y multitudes de otros servidores y apps que corren en Ubuntu. Con este mismo criterio, si calculamos como vulnerabilidades de Windows todas las vulnerabilidades de las apps y servidores que pueden correr en el mismo, creo que sería un integer overflow.

    Igual, recordando como NIST colaboraba con la NSA para introducir vulnerabilidades en los estándares, no es sorprendente que posicionen Windows 10 como un claro ganador.

    ResponderBorrar
    Respuestas
    1. Los nros son los nros, dsp hay cientos de arsitas que se pueden evaluar.
      Por ej, si un Ubuntu trae instalado por defecto "Apport" (por mencionar una app) y el mismo es vulnerable a CVE-2016-9949 a ejecución de código en PY (con score 9.3), ese es un hecho. Luego habra condiciones de workarround que dependerá de las condiciones en las cuales "vive" ese Ubuntu, modo de instalación, conectividad, etc.
      Entonces, la compilación no es rara, es un simple Group By en una tabla de vulnerabilidade ;)
      Es un punto de vista con los nros crudos, que despues debe ser evaluada en cada contexto.

      Queda en c/u de nosotros saber interpretar y asegurar nuestro entorno.

      Cristian

      Borrar
    2. Todo bien con Apport, Nautilus y apps núcleo de la distribución. Ajora que tienen que ver con Ubuntu o Debian los bugs en MySQL, PHP, NginX, Django y otros paquetes? No los tengo instalados en mi Ubuntu Desktop y en Ubuntu server se instalan según las necesidades, de la misma forma como en Windows server.

      Borrar
    3. Además, como dijeron otros, Ubuntu y Debian no están desglosados por versión y por ej. los 2 están afectados por los múltiples bugs en el último kernel 4.8 que trae Ubuntu 16.10, pero que no afecta a 16.04 ni a anteriores. Claramente, un intento de manipulación de la percepción de las masas (para que los otros medios dps agarren esta tablita con los títulos de que Windows es más seguro que cualquier *nix), típica propaganda corporativa.

      Borrar
  2. Bueno... Segun ese informe, debere juntar dinero mas rapido para trocar mi telefono android por uno iOs... Respecto a W7, el cual veo en el ultimo lugar: Eso se debe a que se esta dejando de utilizar o a que es mucho menos vulnerable que las versiones posteriores???... Sabras decirmelo??... Abrazo y Gracias!!!!... Gaston de San Isidro...

    ResponderBorrar
    Respuestas
    1. Gaston, misma resp. de que le doy al Anonimo anterior pero con la salvedad que Android al ser algo tan popular suele ser victima de malware muy conocido. Este solo es UN indicativo que debes evaluar en tu contexto.
      Con W7, las vulnerabilidades publicadas no tienen en cuenta la cant. de usuarios sino que si se publico una CVE para esa versión o no.

      Solo considerar que se cuentan las versiones por separado: Windows Vista, Windows 7 y Windows 10 cuentan distinto. Idem con las distro de Linux.

      Borrar
    2. Me parece que está bien hecha la clasificación en totales por diferentes versiones de windows y no en un total por Windows, porque sino también deberíamos considerar Debian V7, V6, etc.

      Borrar
  3. Yo creo que el comentario del autor donde dice " o bien Android tiene más vulnerabilidades que iOS o Apple no es ... " es de lo más certero, hoy día que tan obligadas están las empresas para publicar sus vulnerabilidades.

    ResponderBorrar
  4. Es complicado sumar las vulnerabilidades de Windows. Cual sería el criterio? Tipicamente una vulnerabilidad (mismo exploit por ej) afecta a varias versiones de Windows, o IE. Respecto a la cantidad de vulnerabilidades, no sé si importa realmente, como número en sí. Cuantas de esas vulns son exploitables remoto?
    Otro tema a tener en cuenta es que muchas de las vulnerabilidades de W7, W8 y hasta W10 pueden ser también explotables en WinXP y en Windows Server 2003 (idem para IE8-9-10-11 que pueden funcionar en IE6-7) pero no son contados porque no tienen más soporte ni son parcheados, lo cual es peligrosísimo.

    ResponderBorrar
  5. > Cual sería el criterio?
    El mismo que para sumar todas las versiones de Ubuntu o Debian en la misma categoría: agarrar todos los bugs de todas las versiones existentes, no importa server o desktop, y sumarles los bugs de los paquetes populares que pueden correr en estas (de nuevo, sin importar si es server o desktop). (Me pregunto para que está como categoría separada "Linux Kernel" si esta está incluida en "Ubuntu Linux" y "Debian Linux", para seguir inflando "Linux" en gral?)

    > no sé si importa realmente, como número en sí
    Entonces de que sirve la tablita?

    ResponderBorrar
    Respuestas
    1. >> no sé si importa realmente, como número en sí
      >Entonces de que sirve la tablita?

      Como base para un análisis más profundo, pero así como está para mi no dice mucho.
      Falta, para hacerlo más interesante: criticidad de las vulnerabilidades, si es explotable remoto, y cuantos días promedio pasaron entre descubrimiento de la vulnerabilidad y el parche correspondiente (la instalación en sí es responsabilidad del cliente, no del fabricante), y por último si hay exploits activamente usados.
      Esos son algunos items... seguramente a otros se les ocurrirán más items interesantes.

      Algunos de estos items, por lo menos para Microsoft, los ví publicados.

      Borrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!