Número de vulnerabilidades ≠ Seguridad
Número de vulnerabilidades en los SO
Estudio de Jeff Jones: 6 meses de vida
Avisos y corrección de vulnerabilidades
3. Número de vulnerabilidades ≠ Seguridad
La seguridad depende de personas, procesos y tecnología
Para medir la seguridad de distintos sistemas operativos hay
pocos criterios comparables y medibles → ¿puede usarse el
número de vulnerabilidades?
Habría que tener en cuenta otros factores:
●
La gestión que se hace de las vulnerabilidades
●
La facilidad de instalación de los parches
●
Popularidad del Sistema Operativo → Número de ataques
recibidos
4. Número de vulnerabilidades en los SO
Si se va a utilizar el número de vulnerabilidades de los SO para
compararlos, hay que tener en cuenta muchos factores:
●
Nivel de criticidad, facilidad de explotación, tiempo de
exposición al riesgo, existencia de exploit público...
●
¿Base de datos a utilizar? Secunia, Security Focus, Milw0rn
● ¿Qué versiones de los SO comparamos?
●
¿Qué aplicaciones incluimos?
5. Estudio de Jeff Jones: 6 meses de vida
Informe con los datos de las vulnerabilidades de los sistemas
operativos en el primer medio año de vida.
Comparativa entre Windows Vista, Windows XP Red Hat Work
,
Station 4, Ubuntu 6.06, Novel Suse Linux Enterprise Desktop
10 y MacOs X 10
“Full Disclosure: I work for Microsoft”
6. Estudio de Jeff Jones: 6 meses de vida
Todas las vulnerabilidades corregidas y no corregidas hechas
públicas
7. Estudio de Jeff Jones: 6 meses de vida
Vulnerabilidades de nivel High Severity
8. Estudio de Jeff Jones: 6 meses de vida
Todas las vulnerabilidades usando el método Apple-to-Apple
9. Estudio de Jeff Jones: 6 meses de vida
Vulnerabilidades High Severity usando el método Apple-to-
Apple
10. Avisos y corrección de vulnerabilidades
●
Boletines de seguridad de Microsoft
●
Información sobre seguridad de Debian
●
RedHat Errata
●
Avisos de seguridad de SUSE Linux
●
OpenBSD release errata & patch list