20 febrero 2009

Ranking de caza-bugs

X-Force es una compañía la cual detrás tiene a la mismísima IBM, y anualmente, como otras muchas, redacta un informe en el que se ofrece una visión general de la seguridad en el año anterior. El del 2008 lo podéis encontrar en este enlace. Amenazas, tops de vulnerabilidades, reflexiones, conclusiones, etc. Un informe de casi 100 páginas que repasa de todo, pero que al fin y al cabo, no dejan de ser números y porcentajes. Y todo este estudio es posible gracias a que la compañía mantiene una de las bases de datos de vulnerabilidades más importantes.

Pero hay un estudio que no sale nunca en este tipo de "fotos" anuales de la seguridad, quizás debido a que puede dar lugar a equívocos o conclusiones no del todo válidas. Lejos de la pregunta de qué sistema operativo es al que más vulnerabilidades se le encuentra, que vulnerabilidad web es la más común, etc, en el blog Frecuency X, perteneciente al X-Force, se hacen la pregunta de "¿Quiénes son los que más vulnerabilidades descubren?"

Debido a tener la base de datos "en casa", no es que sea una tarea muy dificil sacar un TOP 10, en el que en vez de mirar el campo de sistema operativo afectado o tipo de vulnerabilidad, se mire el campo dedicado al autor, en caso de que se sepa, y no haya sido una aportación anónima.

Si en primer plano ponemos las vulnerabilidades, la siguiente gráfica nos demuestra como en realidad en el conjunto total, el top10 que luego se detallará más adelante (Top 10 Discoverers) no es que se lleve un gran trozo del pastel al fin y al cabo:



Entrando ya en nombres, los tres finalistas a mayor número de vulnerabilidades encontradas son, de mayor a menor:

* Luigi Auriemma: Con 612, encabeza la lista. Un italiano que lo mismo te saca una vulnerabilidad en Apache como para videojuegos varios (en esto último está hecho todo un experto...). Su página es toda una biblioteca de investigación, pruebas de concepto, reflexiones y herramientas.

* r0t, con 554. Ya empezamos con los nicks. Un finlandés desaparecido en combate últimamente, pero que deja trás de sí una gran cantidad de advisories sin llegar a haber sobrepasado todavía los 20 años. Debido al tipo de vulnerabilidades que publica, no es que se le haya tomado muy en serio...

* rgod, con 357. Si os digo la verdad, nada más leer la pregunta de quién es el que más publica vulnerabilidades, a mi este nick es el primero que me vino a la cabeza. El maestro del PHP, del que hace un año salió a la luz que había fallecido en un hospital, y cuya página actualmente es mantenida por amigos suyos. Momento tomate off.


El resto de ganadores junto con su número de vulnerabilidades, en esta tabla.

Lo que está claro, es que ya el perfil entre estas tres personas es muy diferente, uno cercano a los 30 años, otro que pronto llegará a los 20, uno que es capaz de reventarte el juego lider en cibercafés, y otro que se dedica a sacar cross-site scriptings en aplicaciones php que se han descargado seguramente 10 personas de su proyecto en sourceforge...

Por eso estos números no son más que eso...números.

[+] Top-10 Vulnerability Discoverers of All Time (as well as 2008)