Post on 13-Jun-2015
description
Seguridad Informática: vulnerabilidades en los Sistemas Operativos
Jesús Moreno León
j.morenol@gmail.com
Septiembre 2010
© Jesús Moreno León, Septiembre de 2010
Algunos derechos reservados.Este artculo se distribuye bajo la licencia
“Reconocimiento-CompartirIgual 3.0 España" de CreativeCommons, disponible en
http://creativecommons.org/licenses/by-sa/3.0/es/deed.es
Este documento (o uno muy similar)esta disponible en (o enlazado desde)
http://informatica.gonzalonazareno.org
Número de vulnerabilidades ≠ Seguridad
La seguridad depende de personas, procesos y tecnología
Para medir la seguridad de distintos sistemas operativos hay pocos criterios comparables y medibles ¿puede usarse el →número de vulnerabilidades?
Habría que tener en cuenta otros factores:● La gestión que se hace de las vulnerabilidades● La facilidad de instalación de los parches● Popularidad del Sistema Operativo Número de ataques →
recibidos
Número de vulnerabilidades en los SO
Si se va a utilizar el número de vulnerabilidades de los SO para compararlos, hay que tener en cuenta muchos factores:
● Nivel de criticidad, facilidad de explotación, tiempo de exposición al riesgo, existencia de exploit público...
● ¿Base de datos a utilizar? Secunia, Security Focus, Milw0rn● ¿Qué versiones de los SO comparamos?● ¿Qué aplicaciones incluimos?
Estudio de Jeff Jones: 6 meses de vida
Informe con los datos de las vulnerabilidades de los sistemas operativos en el primer medio año de vida.
Comparativa entre Windows Vista, Windows XP, Red Hat Work Station 4, Ubuntu 6.06, Novel Suse Linux Enterprise Desktop 10 y MacOs X 10
“Full Disclosure: I work for Microsoft”
Estudio de Jeff Jones: 6 meses de vida
Todas las vulnerabilidades corregidas y no corregidas hechas públicas
Estudio de Jeff Jones: 6 meses de vida
Vulnerabilidades de nivel High Severity
Estudio de Jeff Jones: 6 meses de vida
Todas las vulnerabilidades usando el método Apple-to-Apple
Estudio de Jeff Jones: 6 meses de vida
Vulnerabilidades High Severity usando el método Apple-to-Apple
Avisos y corrección de vulnerabilidades
● Boletines de seguridad de Microsoft
● Información sobre seguridad de Debian
● RedHat Errata
● Avisos de seguridad de SUSE Linux
● OpenBSD release errata & patch list