miércoles, 19 de noviembre de 2008

¿Mejoras en la seguridad de MS Office?

Me encuentro con una entrada en el blog de Microsoft (MSDN) cuyo autor es David LeBlanc publicada hace un par de días. Dice que llevó a cabo un estudio de la suite Office en donde establece que ha habido cada vez menos vulnerabilidades (CVE) en Office desde la versión 2000 a la 2007. ¿Realmente el número de debilidades es un indicador de la buena/mala seguridad de un software?

LeBlanc dice que el Office 2000 tuvo un conteo de 33 debilidades, y este número se fue reduciendo en cada versión hasta llegar a un conteo de 16 debilidades en el Office 2007.

A ver, los CVE (Common Vulnerabilities and Exposures) son debilidades enlistadas por el MITRE e indican que una debilidad se ha encontrado en un software por algún especialista de seguridad, por el propio fabricante o por otra persona que encuentra la vulnerabilidad y la reporta.

Bueno, el punto más importante es que una cosa es el número de debilidades encontradas y registradas de un software, y otra muy distinta es el número de debilidades que tiene un programa. Me explico. Una cosa es el número de insectos que conocemos y tenemos registrados, y otra muy distinta es el número de especies de insectos que realmente existen. Los insectos que no conocemos y/o que no tenemos registrados existen a pesar de que el ser humano no los haya identificado y catalogado. Basta que alguien lo haga para agregarlo a la lista de especies conocidas.

Lo mismo con las debilidades de software. Existen por sí solas y lo que hace una persona es encontrarla. Ahora viene otra parte interesante. Ya que esta persona la encuentra, puede decidir darla a conocer y registrarla o bien quedársela y aprovechar la debilidad en su beneficio. Estoy seguro que en este mismo momento hay varias debilidades conocidas en el underground que no han sido expuestas en el mundo de la seguridad y probablemente se están usando en contra de los programas afectados.

Ahora viene alguien a decirme que el número de debilidades encontradas y registradas en Office ha ido reduciéndose y esto es un indicador de mayor seguridad en las versiones recientes de esta suite. Esta afirmación tiene truco, y de hecho el título del post del blog de leBlanc dice así: "Improvements in Office Security", claramente ligando la cantidad de debilidades a la seguridad de la suite. Para mi no es un indicador válido, y en todo caso podría ser tomado como uno de varios indicadores de la seguridad de un software.

Una explicación en la reducción de debilidades de Office probablemente sea que todo mundo se está enfocando más en las debilidades basadas en Internet (páginas web, correo, etc.) y no tanto en debilidades de Office. Sea cual sea la razón, la cantidad de debilidades no es un parámetro del todo válido para medir la seguridad de una aplicación. Me sorprende que esto venga del gigante de software en Redmond.