PDF de programación - Hispasec Estudio Vulnerabilidades v2 - ¿Cuánto tardan los fabricantes de software en arreglar una vulnerabilidad?

V2E D I C I Ó N

2 0 0 5 - 2 0 11

HISPASEC

¿Cuánto tardan los fabricantes de software en
arreglar una vulnerabilidad?

Estudio sobre la demora de los fabricantes de software
en la corrección de vulnerabilidades no públicas

SERGIO DE LOS SANTOS [email protected] @ssantosvDiseño y revisión: José [email protected]@HISPASEC.COMwww. Estudio sobre la demora de los fabricantes de software en la corrección de vulnerabilidades no públicas. V2

Reconocimiento-NoComercial-SinObraDerivada 3.0 España (CC BY-NC-ND 3.0)

Usted es libre de:

copiar, distribuir y comunicar públicamente la obra

Bajo las condiciones siguientes:

Reconocimiento — Debe reconocer los créditos de la obra de la manera especificada
por el autor o el licenciador (pero no de una manera que sugiera que tiene su apoyo o
apoyan el uso que hace de su obra).

No comercial — No puede utilizar esta obra para fines comerciales.

Sin obras derivadas — No se puede alterar, transformar o generar una obra derivada a
partir de esta obra.

Entendiendo que:

Renuncia — Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de
los derechos de autor

Dominio Público — Cuando la obra o alguno de sus elementos se halle en el dominio público
según la ley vigente aplicable, esta situación no quedará afectada por la licencia.

Otros derechos — Los derechos siguientes no quedan afectados por la licencia de ninguna manera:

Los derechos derivados de usos legítimos u otras limitaciones reconocidas por ley no se ven
afectados por lo anterior.
Los derechos morales del autor
Derechos que pueden ostentar otras personas sobre la propia obra o su uso, como por
ejemplo derechos de imagen o de privacidad.

.

Aviso — Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta
obra.

Basada en un trabajo de Hispasec Sistemas

Los permisos más allá de esta licencia están disponibles en Hispasec.com.

Todas las marcas y logotipos que se encuentran en este estudio

son propiedad de sus respectivas compañías o dueños.

Página 2

HISPASEC.COMwww. Estudio sobre la demora de los fabricantes de software en la corrección de vulnerabilidades no públicas. V2

¿Cuánto tardan los grandes fabricantes en arreglar una vulnerabilidad?

El tiempo que un fabricante tarda en hacer pública una solución para una vulnerabilidad es una de las
métricas más importantes para conocer cómo maneja la seguridad. Suele existir cierta controversia en
este aspecto, achacando a los fabricantes que tardan demasiado en disponer de una solución efectiva
que ofrecer a sus clientes o usuarios. Mucho más cuando la vulnerabilidad es conocida y por tanto sus
clientes “perciben” el peligro de utilizar ese software.

Existen dos escenarios muy diferentes a la hora de solucionar una vulnerabilidad: que sea conocida pú-
blicamente, o que no. Esto es determinante para los grandes fabricantes. En el segundo caso, el ritmo
de solución es muy distinto al segundo. Su imagen no está en entredicho, los clientes no se sienten en
peligro... pueden tomarse la solución con más calma, y centrarse en asuntos mucho más urgentes (que
seguro que existen). En Hispasec nos hemos preguntado cuánto tardan los creadores de software en
solucionar una vulnerabilidad cuando no tienen la presión de los medios, cuando la vulnerabilidad
es solo conocida por ellos y quien la ha descubierto. Cómo reaccionan ante esta situación “ideal”, en
la que la vulnerabilidad les ha sido comunicada en secreto, y ambas partes acuerdan no hacerlo público
hasta que exista una solución.

Este es un escenario relativamente sencillo de evaluar, puesto que podemos tomar la fecha en la que el
fabricante fue informado como inicio del contador, y la fecha en la que se publica una solución como final.
El tiempo que haya transcurrido nos permitirá saber de forma precisa cuánto tardan los fabricantes en
solucionar una vulnerabilidad que no es pública. Nos hemos servido de iDenfense y ZeroDayInitiative
[1] para realizar un pequeño estudio al respecto.

Actualización del estudio sobre las vulnerabilidades

En septiembre de 2009 publiqué un estudio sobre cuánto tardaban los grandes fabricantes en solucio-
nar vulnerabilidades no públicas. Dos años después, actualizamos ese estudio, ampliando los datos,
recalculando las cifras, corrigiendo y aligerando el informe.

Novedades:

* Si hace dos años se analizaron vulnerabilidades desde 2005 hasta septiembre de 2009, ahora se am-
plía el cálculo desde 2005 hasta final de julio de 2011.

* Se añaden dos fabricantes a la comparativa: RealNetworks y Mozilla.

* En abril de 2009 Oracle compró Sun, por lo que Sun queda excluida de este informe, y las nuevas
vulnerabilidades desde entonces se le atribuyen como responsabilidad de Oracle.

* En agosto de 2010, ZeroDayInitiative introdujo una nueva política en la que esperaría un máximo de
180 días al fabricante para emitir un parche. De no ser así, publicaría en cualquier caso la vulnerabilidad.
Se han dado este tipo de casos, especialmente con HP. Las hemos incluido igualmente en la estadística.

* De algunos fabricantes disponemos de muchos más datos. En dos años se ha incrementado muchí-
simo la actividad de vulnerabilidades reportadas a través de estas empresas para fallos en Adobe, Novell
y Apple, por ejemplo.

* Se ha eliminado la gravedad de las vulnerabilidades como cuestión comparativa.

Página 3

HISPASEC.COMwww. Estudio sobre la demora de los fabricantes de software en la corrección de vulnerabilidades no públicas. V2

Cómo se ha realizado el estudio

Una vez que la vulnerabilidad sale a la luz, tanto iDefense como ZeroDayInitiative publican una cronología
de la vulnerabilidad, en la que ofrecen información sobre cuándo fue informado el fabricante, cuándo
reconoció el fallo, y cuándo se estableció una fecha en la que ambos harían pública la vulnerabilidad (que
normalmente es cuando existe parche). Si se da algún tipo de incidencia durante ese periodo (que el fabri-
cante o descubridor necesite más información, se niegue a solucionarlo...) también queda reflejado en él.

Nos hemos servido de esa cronología para calcular cuánto tiempo necesita el fabricante para solucionar
un fallo, desde que se le informa hasta que publica un parche. Pero bajo una condición muy importante:
la vulnerabilidad no es pública. Se supone que solo el descubridor, la empresa intermediaria (iDefense y
ZeroDayInitiative) y el fabricante la conocen. ¿Cómo actúan los fabricantes sin la presión de que el fallo
sea público o esté siendo aprovechado activamente?

El tiempo que necesita el fabricante normalmente incluye:

* Reconocimiento y estudio de la vulnerabilidad.
* Pruebas y alcance.
* Programación del parche.
* Pruebas de estabilidad, interoperabilidad y rendimiento del parche.
* En el caso de que (como Oracle, Microsoft y Adobe) siga la política de publicación de parches en unas
determinadas fechas, se añade además esa diferencia de días hasta la fecha indicada.

Con qué criterio se han elegido las vulnerabilidades

Se han elegido todas las vulnerabilidades de cada fabricante, reportadas a iDefense y ZeroDayInitia-
tive desde 2005 hasta final de julio de 2011. Se han identificado por su CVE [2]. Algunos fabricantes
tienen cientos de vulnerabilidades y otros apenas unas decenas. Esto no quiere decir absolutamente nada
sobre la cantidad de vulnerabilidades que sufren sus productos, o que un producto sea menos vulne-
rable que otro. Significa simplemente que se reportan menos a través de estos métodos, bien porque
no interesen a los propios iDefense o ZeroDayInitiative, bien porque no interesen a los investigadores.
Evidentemente, por popularidad, el número de alertas de Microsoft Windows es significativamente mayor
en este estudio. La cuestión es simple: se reportan más a través de estos métodos porque son las vulne-
rabilidades mejor pagadas. Sin duda otros sistemas sufren de igual número de vulnerabilidades, pero al
ser peor pagadas o interesar menos, no se reportan a través de iDefense o ZeroDayInitiative.

Con qué criterio se han elegido a
los fabricantes

Fabricante

Vulnerabilidades
estudiadas en
informe anterior

(2005-2009)

Para elegir a los fabricantes, simplemente
se han elegido a los que contaban con un
buen número de vulnerabilidades reporta-
das a través de estos medios (el que me-
nos, cuenta con 41), para poder así obtener
unos datos más consistentes.

Según fabricante, el número de vulnerabili-
dades estudiadas que han sido reportadas
desde 2005 a iDefense y ZeroDayInitiative
(y su comparación con el informe anterior)
son las que se ven en el cuadro de la derecha.


Novell
HP
Microsoft
Apple
IBM
CA
Symantec
Oracle
Adobe
Mozilla
RealNetworks

Vulnerabilidades
estudiadas en el
informe actual
(2005-2011)

41
14
130
61
56
36
30
16
29
-
-

104
78
225
139
103
51
50
87
113
41
54

Página 4

HISPASEC.COMwww. Estudio sobre la demora de los fabricantes de software en la corrección de vulnerabilidades no públicas. V2

Descargo de responsabilidad - Mala interpretación de las cifras

Este estudio ofrece unas cifras. Las cifras adornan titulares y rellenan gráficas, pero no hay que olvidar
que informan en un contexto. Por sí solas no siempre tienen valor. Hay que reconocer que es complica-
do ofrecer un estudio objetivo en este aspecto, pero lo hemos intentado en la medida de lo posible. Los
valores ofrecidos no pretenden más que dar una noción de cuánto tarda un gran fabricante en solucionar
un fallo que le ha sido reportado a través de iDefense o ZeroDayInitiative. No podemos aventurarnos a
opinar sobre cuánto tarda en solucionar fallos que no son reportados por estas dos vías, puesto que
muchas de las vulnerabilidades solucionadas por los fabricantes son descubiertas por su propio equipo
de seguridad, y rara vez confiesan desde cuándo llevan trabajando en ellas.

Por tanto advertimos que estas cifras que ofrecemos pretenden ser rigurosas en la m