Disclosures, ¿sí o no? ¿dañan más o menos al usuario?

Excelente trabajo de análisis de Brian Krebs, del Washington Post.

Brian se ha tomado las molestias de coger, para los períodos 2003, 2004 y 2005 todas las referencias CVE disponibles para productos Microsoft, y calcular, para cada parche crítico, los tiempos transcurridos entre el anuncio de la vulnerabilidad y la puesta a disposición del parche. Brian, además, ha diferenciado los casos para los problemas de seguridad no reportados al fabricante y desvelados públicamente antes de que haya parches disponibles (disclosures y full disclosures) de los problemas puestos en conocimiento del fabricante (notification) y que son revelados al público una vez hay un parche disponible.

Los resultados son obvios: cuando se produce un disclosure el tiempo de respuesta de la casa de Redmond es menor. Mucho menor. Significativamente menor. Éstos son los resultados por año

2003

Número de parches críticos:33
Tiempo de respuesta medio ante notificaciones: 90.70 días
Tiempo de respuesta medio ante disclosures: 71,125 días
Porcentaje de rapidez de resolución de disclosures sobre notificaciones: 127 % más rapido

2004

Número de parches críticos:29
Tiempo de respuesta medio ante notificaciones: 134,5 días
Tiempo de respuesta medio ante disclosures: 55 días
Porcentaje de rapidez de resolución de disclosures sobre notificaciones: 244 % más rapido

2005

Número de parches críticos:37
Tiempo de respuesta medio ante notificaciones: 133,5 días
Tiempo de respuesta medio ante disclosures: 46 días
Porcentaje de rapidez de resolución de disclosures sobre notificaciones: 290 % más rapido

CONCLUSIONES

• Las demoras en publicar parches para problemas no liberados públicamente es creciente. Mientras no exista disclosure, la gente de Redmond se lo toma con calma. En tres años, el número de vulnerabilidades críticas medio es de 33, y el de publicación de parches sobre notificaciones es de 120 días. 4 meses de demora media, no está mal.
• Las demoras entre los disclosures y la publicación de parches es decreciente. Para estos 3 últimos años, el tiempo medio transcurrido fue de 57 días. Dos meses de demora media.
• Consecuencia de los dos puntos anteriores, la relación anual entre el tiempo empleado para resolver disclosures sobre notificaciones es creciente. Es decir, cada vez tardan menos tiempo en resolver disclosures. Yo apuesto por la presión mediática como la principal causa de esto,y para muestra, un botón: véase el último caso relativo a los problemas WMF. Por término medio, en Microsoft han corrido un 220% más a la hora de resolver problemas revelados sin parche frente a los notificados.

Ahora sí que entiendo perfectamente porqué hay personas que defienden que los problemas sólo deben hacerse públicos cuando hay un parche, y por qué hay gente que aboga por el disclosure. Yo no sabría que opinar, ya que:

• Si los problemas son notificados a Microsoft y no se entera nadie hasta que sale el parche, las demoras son muy elevadas (más del doble) y por tanto, aquellos que han hallado los problemas tienen mucho más tiempo de explotarlas para su beneficio propio. No todos los problemas comunicados a Microsoft son conocidos únicamente por gente buena. Al doblarse tiempos, se doblan riesgos de todo tipo. Lo único que no crece es el número de ataques potenciales, ya que los atacantes potenciales son sólo aquellos que conocen el problema.
• Si por el contrario, los problemas se hacen públicos sin avisar a la casa, el número de víctimas potenciales crece enormemente, ya que cualquiera que lea la información revelada se puede convertir en un atacante potencial, pero sin embargo se acortan los plazos para disponer de los parches correctores.

¿Dónde está el equilibrio? ¿Qué causa menores daños al usuario? De lo único que estoy seguro es de lo que causa menor daño a Microsoft, pero eso me importa bastante menos. Yo soy usuario, no directivo de la casa de Redmond.

---

Sergio Hernando | Powered by WordPress | Theme original de Nathan Rice modificado por Sergio Hernando | Licencia