Un estudio de 4 años de duración llevado a cabo por 5 investigadores de la Universidad de Stanford en el que se han analizado las 5,7 millones de líneas de código del kernel de Linux ha resuelto que éste es un sistema mucho más seguro que la mayor parte del software propietario.

El informe, que se hará público hoy mismo, concluye que en el kernel 2.6 de Linux, utilizado en la mayor parte de las distribuciones actuales, se han detectado únicamente 985 bugs, lo que da una media de tan solo 0,17 fallos por cada 1.000 líneas de código.

Es una cifra sensiblemente inferior a la que se da en los programas comerciales, que se sitúa entre 20 y 30 por cada 1.000 líneas, según atestigua la Universidad Carnegie Mellon. De haberse seguido este promedio, se hubieran encontrado más de 140.000 errores en las 5,7 millones de líneas de código del kernel.

De los 985 bugs hallados, la mayor parte estaban presentes en zonas críticas del kernel o podían causar la inestabilidad del sistema, otros 100 eran agujeros de seguridad y 33 repercutían en el rendimiento del sistema. Conviene resaltar que la mayor parte de los fallos que se han analizado en el estudio ya han sido resueltos por miembros de la comunidad desarrolladora de Linux.

Fuente: http://www.abadiadigital.com/noticia3482.html

Uberbin publica hoy Seguridad: ¿es Firefox la aplicación más vulnerable? y es interesante como aparecen distintos puntos de vista de diferentes profesionales, fanáticos y mediáticos y cada uno de ellos ve el informe presentado desde distintos enfoques.

El informe es una lista de las 12 aplicaciones más vulnerables en Windows donde Firefox queda como la aplicación más vulnerable, si sólo se consideran los aspectos que el informe tuvo en cuenta.

Lamentablemente, diversos medios tomaron este informe literalmente y titularon “Firefox: la aplicación más insegura” lo que por supuesto varía si se consideran otros aspectos, que el informe no tiene no considera.
La evaluación no es mala pero hay que leer las condiciones y comprenderlas, antes de opinar. Lo que es malo es lo que los medios interpretan del informe, en el cual se aclara lo siguiente:

• La aplicación debe ejecutarse bajo Microsoft Windows
• Es software conocido y frecuentemente descargado por los usuarios
• No está clasificado como malicioso por las empresas y organizaciones de IT
• Contiene al menos una vulnerabilidad crítica que fue reportada en enero de 2008 o antes, fue registrada por el NIST y fue calificada como de alta peligrosidad según los estándares actuales.
• La actualización es manual y recae en el usuario en lugar de un administrador central
• No puede ser actualizado automáticamente y de forma centralizada vía Microsoft SMS y WSUS.

Los últimos 2 puntos son fundamentales (si bien estas acciones pueden realizarse vía Active Directory en el caso de algunas aplicaciones) porque dejan claro que el estudio se realizó para ambientes corporativos administrables vía actualizaciones automáticas realizadas con herramientas de Microsoft.

Casos como este nos debe hacer reflexionar sobre lo que se publica y lee cada día porque quizás estemos mirando el tema bajo la lente incorrecta.

Redacción de Segu-Info

El otro día me llamaron para hablar en Telenoche Investiga (chico mediático ), la pauta de la investigación era la seguridad y la privacidad en las redes sociales, más específicamente hablar de casos de secuestros o robos utilizando Facebook y otras redes como medio para obtener información.

Esto se me juntó con varias charlas que tuve con amigos al respecto y analizando los datos que se pueden conseguir de cada uno mediante estas redes, cuanto afectamos nuestra privacidad y como se está redefiniendo la misma a un nuevo concepto.

Seguir leyendo las interesantes reflexiones de Fabio