Navegadores: Una cuenta de seguridad
Ayer presentamos la Comparativa de seguridad de navegadores en sistemas Windows, un documento donde se han mirado muchos aspectos de la seguridad de los navegadores. Sí, muchos ya me habéis oido hablar de ellos y de otros he hablado ya aquí, pero ayer quisimos actualizar el conteo de vulnerabilidades que hicimos, y estos son los resultados. El documento está disponible en la web de Informática64 en la siguiente URL: Comparativa de seguridad de navegadores en entornos Windows.
Periodo y versiones de estudio
Hacer una comparativa de vulnerabilidades de navegadores es dificil cuando Firefox no da soporte más atrás de la versión 3.5 y esta es del 30 de Julio de 2009 mientras que Internet Explorer 8 ha cumplido ya un año. La cosa se complica cuando tenemos a Google que con Chrome, de vivir en la beta perenne de Gmail, ha pasado a tener una versión final cada 4 meses. Así que tuvimos que hacer un cálculo de compromiso y luego prorratearlo por meses para hacernos una idea de las vulnerabilidades medias. Así, se han contado las vulnerabilidades de:
- Internet Explorer 8: 12 meses
- Chrome 2, 3 y 4: 10 meses
- Firefox >= 3.5: 9 meses
- Opera >=9.6: 14 meses
- Apple Safari 4.0: 9 meses
A unos les parecerá bien, a otros les parecerá mal, pero este documento no pretende nada más que ilustrar un poco que ha pasado en ese tiempo.
Vulnerabilidades
En primer lugar se han contado las vulnerabilidades que han tenido en esas versiones en ese periodo de tiempo.
Gráfico 1: Número total de vulnerabilidades contadas
Este resultado, prorrateándolo entre el número de meses nos deja un valor mensual de:
Gráfico 2: Vulnerabilidades media por mes
Estos datos dan una imagen de los parches que pueden ser esperados cada mes de cada uno de los navegadores, nada más.
Modificadores
Por supuesto, el número de vulnerabilidades no es el factor determinante, hay muchas otras características que mirar, como su grado de criticidad, su estado de parcheo, etc... Además, hay que tener en cuenta, que no todos los navegadores despiertan el mismo grado de interés dentro de la comunidad de investigación donde Opera, por ejemplo, está un poco olvidado. Por supuesto, las vulnerabilidades en navegadores más utilizados son las más deseadas por las mafias para la distribución de malware. La cuota de mercado por familias, comprobada ayer, dejaba estos resultados:
Gráfico 3: Cuota de mercado de uso por familias
Como se puede apreciar, tanto Firefox con Internet Explorer, son los más apetecibles hoy en día para la industria del malware.
Otro factor, que no hemos querido tocar, es la curva de descubrimiento de vulnerabilidades a lo largo de la historia. Según un varia la antigüedad de un producto varía su grado de descubrimiento de vulnerabilidades. Todos estos aspectos no se han evaluado, porque el objetivo no es sacar un valor que responda a todas las preguntas del universo, sino traer un poco de luz al asunto.
Niveles de Criticidad
Para tomar estas medidas se ha optado por utilizar el sistema de medición y la terminología de Secunia. Y este es el gráfico por niveles SIN prorratear por meses.
Gráfico 4: Niveles de criticidad
Como se puede ver Internet Explorer 8 tiene 7 vulnerabilidades marcadas como Extremly Critical. Sin embargo, este resultado merece una explicación.
La única diferencia entre una vulnerabilidad Highly Critical y una Extremly Critical es que de la Highly Critical se sabe a ciencia cierta que existe un exploit público que se ha utilizado antes de que exista el parche. Sin embargo, estructuralmente, las vulnerabilidades Highly Critical y Extemly Critical son iguales.
En segundo lugar, en la cuenta sale perjudicado el sistema de publicación acumalado, tal y como hace Internet Explorer - y Firefox en Marzo - en el que salen varias vulnerabilidades juntas en un mismo advisory. Esto implica que el nivel de criticidad de todas las vulnerabilidades fuera el del advirosy, y éste tiene el de la vulnerabilidad de mayor criticidad.
En la mayoría de los estudios en los que se evalúan las prácticas de desrrollo las vulnerabilidades Highly Critical y Extremly Critical, al ser identicas y depender su diferencia sólo de factores externos, estas se unifican, pero nosotros hemos querido dejarlas separadas.
La presentación
Las diapositivas recogen los otros apartados evaluados en el paper dentro de las opciones de seguridad del navegador y están recogidos en la siguiente presentación.
Saludos Malignos!
Periodo y versiones de estudio
Hacer una comparativa de vulnerabilidades de navegadores es dificil cuando Firefox no da soporte más atrás de la versión 3.5 y esta es del 30 de Julio de 2009 mientras que Internet Explorer 8 ha cumplido ya un año. La cosa se complica cuando tenemos a Google que con Chrome, de vivir en la beta perenne de Gmail, ha pasado a tener una versión final cada 4 meses. Así que tuvimos que hacer un cálculo de compromiso y luego prorratearlo por meses para hacernos una idea de las vulnerabilidades medias. Así, se han contado las vulnerabilidades de:
- Internet Explorer 8: 12 meses
- Chrome 2, 3 y 4: 10 meses
- Firefox >= 3.5: 9 meses
- Opera >=9.6: 14 meses
- Apple Safari 4.0: 9 meses
A unos les parecerá bien, a otros les parecerá mal, pero este documento no pretende nada más que ilustrar un poco que ha pasado en ese tiempo.
Vulnerabilidades
En primer lugar se han contado las vulnerabilidades que han tenido en esas versiones en ese periodo de tiempo.
Gráfico 1: Número total de vulnerabilidades contadas
Este resultado, prorrateándolo entre el número de meses nos deja un valor mensual de:
Gráfico 2: Vulnerabilidades media por mes
Estos datos dan una imagen de los parches que pueden ser esperados cada mes de cada uno de los navegadores, nada más.
Modificadores
Por supuesto, el número de vulnerabilidades no es el factor determinante, hay muchas otras características que mirar, como su grado de criticidad, su estado de parcheo, etc... Además, hay que tener en cuenta, que no todos los navegadores despiertan el mismo grado de interés dentro de la comunidad de investigación donde Opera, por ejemplo, está un poco olvidado. Por supuesto, las vulnerabilidades en navegadores más utilizados son las más deseadas por las mafias para la distribución de malware. La cuota de mercado por familias, comprobada ayer, dejaba estos resultados:
Gráfico 3: Cuota de mercado de uso por familias
Como se puede apreciar, tanto Firefox con Internet Explorer, son los más apetecibles hoy en día para la industria del malware.
Otro factor, que no hemos querido tocar, es la curva de descubrimiento de vulnerabilidades a lo largo de la historia. Según un varia la antigüedad de un producto varía su grado de descubrimiento de vulnerabilidades. Todos estos aspectos no se han evaluado, porque el objetivo no es sacar un valor que responda a todas las preguntas del universo, sino traer un poco de luz al asunto.
Niveles de Criticidad
Para tomar estas medidas se ha optado por utilizar el sistema de medición y la terminología de Secunia. Y este es el gráfico por niveles SIN prorratear por meses.
Gráfico 4: Niveles de criticidad
Como se puede ver Internet Explorer 8 tiene 7 vulnerabilidades marcadas como Extremly Critical. Sin embargo, este resultado merece una explicación.
La única diferencia entre una vulnerabilidad Highly Critical y una Extremly Critical es que de la Highly Critical se sabe a ciencia cierta que existe un exploit público que se ha utilizado antes de que exista el parche. Sin embargo, estructuralmente, las vulnerabilidades Highly Critical y Extemly Critical son iguales.
En segundo lugar, en la cuenta sale perjudicado el sistema de publicación acumalado, tal y como hace Internet Explorer - y Firefox en Marzo - en el que salen varias vulnerabilidades juntas en un mismo advisory. Esto implica que el nivel de criticidad de todas las vulnerabilidades fuera el del advirosy, y éste tiene el de la vulnerabilidad de mayor criticidad.
En la mayoría de los estudios en los que se evalúan las prácticas de desrrollo las vulnerabilidades Highly Critical y Extremly Critical, al ser identicas y depender su diferencia sólo de factores externos, estas se unifican, pero nosotros hemos querido dejarlas separadas.
La presentación
Las diapositivas recogen los otros apartados evaluados en el paper dentro de las opciones de seguridad del navegador y están recogidos en la siguiente presentación.
Seguridad en Navegadores
View more presentations from chemai64.
Saludos Malignos!
9 comentarios:
Muy interesante! Esta tarde estaremos atentos para leer el documento completo.
Por cierto, ¿recomiendas el uso de sandboxie para el navegador?
Un saludo!
Tanto flame los otros dias y ahora nadie comenta nada... Hay que ver!
Buen curro!
Hola,
Me parece una buena recopilación técnica que sin duda tiene su utilidad, pero me parece insuficiente para valorar la seguridad en navegadores.
Interesados pasen por http://bit.ly/chVtIW
Newlog, es lo que tiene hacer una artículo serio o una crónica rosa.
Los de las listas de JavaScript se puede conseguir en FF con un plugin, aunque me parece justo que las comparaciones sean de los navegadores "a pelo", creo que es lo correcto.
Lo que se puede echar de menos quizá son las fuentes de los datos, ya se sabe que con estos temas la gente es muy sensible.
Aunque también te digo, que no sé quien querrá pasar el trabajo de comprobar la certeza de los datos, yo por mi parte tengo fe en que son correctos.
Retiro lo de que las fuentes de datos no están disponibles. Estaba totalmente despistado.
Buff! Es un extenso trabajo, FELICIDADES! uno se da cuenta que tratais de comparar todos los posibles apartados y como no soy un experto, he echado de menos algo aunque quizás no tiene importancia:
Tiempo que tarda en corregirse una vulnerabilidad desde que se hace pública.
Un saludo
Qué curioso. Opera, o tiene unos bugs de la leche... O no tiene ninguno. (Siguiendo el gráfico... Niveles de criticidad.
Muy interesante y buena currada.
Solo un detalle, no entiendo muy bien el orden en el que aparecen los navegadores en las gráficas y cada vez aparecen en un orden... Creo que podríais ponerle "el lazito" a todo el esfuerzo y poner siempre el mismo orden u ordenarlo siempre de mayor a menor o algo así.
Intento ser constructivo, espero que no te siente mal(igno).
Publicar un comentario