En el último mes, el Washington Post blogger Brian Krebs ha sido hablar a los investigadores de seguridad para que pudiera compilar datos sobre vulnerabilidades de seguridad se encuentran en el software de Microsoft. Después de analizar los resultados, lo que no fue encontrado Krebs inesperado, pero al mismo tiempo sigue siendo difícil de creer: en la mayor parte de 2006, Internet Explorer (IE) es vulnerable a los conocidos, sin parchear explota.
Krebs' números muestran que de 284 días el año pasado, fue aprovechar el código a disposición del público para sin parchear vulnerabilidades en IE6 y en el subsuelo. Y lo que es peor, por 98 días el año pasado, los piratas informáticos se sabiendas explotar sin parchear fallas en el navegador para acceder a la población de los datos de carácter personal. En total, hubo diez casos de explotar el código que se publicará en el 'Net de Microsoft antes de la fijación del error.
En este punto, se tiene que preguntar cómo Krebs surgió con esas cifras. Así es como se hizo:
En primer lugar, una nota sobre la metodología detrás de este blog: La información que aquí se presenta se basa en un proyecto que comenzó a finales de 2005 de nuevo en busca de tres años de esfuerzos realizados por Microsoft para hacer frente a sólo el más grave agujero de seguridad en su software. Yo misma investigación que llevó a cabo de nuevo el mes pasado, en forma individual en contacto con casi la totalidad de los investigadores de seguridad que presentaron informes de fallos críticos de los productos de Microsoft para aprender de ellos, no sólo las fechas que habían presentado sus conclusiones a la empresa, sino también cualquier otro tipo de garantía tendencias O anomalías observadas en el trabajo con el más grande del mundo fabricante de software.
Sí, hay mucho margen para el error en Krebs' metodología, pero también hace nota del hecho de que presentó sus conclusiones a Microsoft antes de escribir el artículo. "Los funcionarios que me tratan amablemente o quibbled ligeramente de acuerdo con algunas de mis conclusiones, pero la empresa no tiene objeciones que afecte materialmente a los resultados presentados en este estudio de los defectos de IE", dijo.
En aras de la comparación, Krebs también cuestionó acerca de los expertos en seguridad de Firefox vulnerabilidades. Lo que encontró fue que había sólo nueve días del año pasado, donde se explotan código que circula por Internet un conocido agujero en Firefox.
Teniendo un alto nivel de Krebs vista de los resultados, no me sorprende en lo más mínimo. Como él señala, IE tiene aproximadamente un 80 por ciento de cuota de mercado y el que puede correr el más ampliamente utilizado sistema operativo en el mundo. Para un hacker, la publicación de un nuevo código para explotar el IE y hacer los usuarios de Windows la vida de los miserables es una gran manera de obtener alguna notoriedad anónimo. Francamente, Internet Explorer es el objetivo último de Sombreros Negro.
¿Qué es lo que quitas de Krebs' informe? ¿Le atribuyen los números de la popularidad de los navegadores? Si Firefox fueron tan popular como el IE, ¿piensas que podría sufrir una suerte similar?
