Estudio comparativo: ¿Cuánto tardan los grandes fabricantes de software en arreglar una vulnerabilidad?

El tiempo que un fabricante tarda en hacer pública una solución para una vulnerabilidad es una de las métricas más importantes para conocer cómo maneja la seguridad. Suele existir cierta controversia en este aspecto. Se achaca a los fabricantes que tardan demasiado en disponer de una solución efectiva que ofrecer a sus clientes o usuarios. Mucho más cuando la vulnerabilidad es conocida y por tanto sus clientes "perciben" el peligro de utilizar ese software. Se ha realizado un estudio sobre 449 vulnerabilidades con la intención de representar y comparar algunas cifras al respecto.

Existen dos escenarios muy diferentes a la hora de solucionar una vulnerabilidad: que sea conocida públicamente, o que no. Esto es determinante para los grandes fabricantes. En el segundo caso, el ritmo de solución es muy distinto al primero. Su imagen no está en entredicho, los clientes no se sienten en peligro… pueden tomarse la solución con más calma, y centrarse en asuntos mucho más urgentes (que seguro que existen). En Hispasec se han preguntado cuánto tardan los grandes fabricantes en solucionar una vulnerabilidad cuando no sufren la presión de los medios, cuando la vulnerabilidad es solo conocida por ellos y quien la ha descubierto. Cómo reaccionan ante esta situación "ideal" (desde su punto de vista), en la que la vulnerabilidad les ha sido comunicada en secreto, y ambas partes acuerdan no hacerlo público hasta que exista una solución.

Este es un escenario relativamente sencillo de evaluar, puesto que podemos tomar la fecha en la que el fabricante fue informado como inicio del contador, y la fecha en la que se publica una solución como final. El tiempo que haya transcurrido nos permitirá saber de forma precisa cuánto tardan los fabricantes en solucionar una vulnerabilidad que no es pública. Los fabricantes estudiados son HP, Computer Associates, Adobe, Apple, Microsoft, Novell, Symantec, Oracle, IBM y Sun.

Algunas de las conclusiones del estudio son que la media de los grandes fabricantes es de seis meses para solucionar una vulnerabilidad, independientemente de su gravedad. Encontramos ejemplos en los que una vulnerabilidad crítica es solucionada un año después de ser descubierta, y otros en los que se tardan apenas unos días.

Todos los datos y el informe completo, están disponibles de forma totalmente gratuita y sin necesidad de registro desde:
http://www.hispasec.com/laboratorio/Hispasec_Estudio_Vulnerabilidades.pdf

Cuelgan en Internet miles de cuentas de Hotmail y sus contraseñas

Detalles de más de 10.000 cuentas de Hotmail fueron colgadas en Internet en lo que podría ser información resultante de ataques de ‘phishing’, informa Neowin.com.

Fuentes de Microsoft, propietario del servicio Windows Live Hotmail, afirmaron a la cadena británica BBC que estaban "investigando la situación" tras haber sido alertados de la publicación de direcciones de correo y sus correspondientes contraseñas.

Según Neowin, un usuario anónimo subió el pasado 1 de octubre detalles de las cuentas a pastebin.com, un sitio que usan desarrolladores para intercambiar código. Inmediatamente se pusieron en contacto con Microsoft para avisar de la publicación de estos datos.

Según el post de Neowin, "los datos han sido ya eliminados" aunque el sitio especializado "puede confirmar que las cuentas son reales y la mayoría parecen ser europeas".

Así, la lista de direcciones y detalles asociados a ellas abarca los nombres con iniciales A y B, lo que "sugiere que podría haber listas adicionales", y los correos mostrados incluyen los terminados en @hotmail, @msn.com y @live.com.

Por último, Neowin recomienda a los usuarios de cuentas de Windows Live Hotmail que cambien sus contraseñas de inmediato.