Durante o mês passado, Washington Post blogueiro Brian Krebs foi falar com os pesquisadores de segurança para que ele pudesse compilar dados sobre vulnerabilidades de segurança encontradas no software Microsoft. Após análise dos resultados, o que Krebs encontrado não foi inesperada, mas ao mesmo tempo, ainda difícil de acreditar: para a maioria de 2006, o Internet Explorer (IE) ficou vulnerável às conhecido, explora sem correção.
Krebs números mostram que ano passado para 284 dias, o código de exploração foi publicamente disponível para vulnerabilidades não corrigidas no IE6 e anteriores. Pior ainda, no ano passado para 98 dias, os hackers foram conscientemente explorar falhas sem correção no navegador para ter acesso a dados pessoais dos cidadãos. Tudo somado, houve dez casos de código de exploração que está sendo publicado o 'Net da Microsoft antes de fixação do bug.
Neste ponto, você deve estar se perguntando como Krebs veio com esses números. Veja como foi feito:
Primeiro, uma nota sobre a metodologia por trás deste post no blog: Os dados apresentados aqui baseia-se em um projeto que começou em finais de 2005, olhando para trás, em três anos de esforços da Microsoft para resolver apenas os mais graves falhas de segurança em seu software. Eu mesmo que a investigação realizada novamente no mês passado, individualmente, entrar em contato com quase todos os pesquisadores de segurança que apresentaram relatórios de falhas críticas nos produtos da Microsoft para aprender com eles não só as datas que haviam apresentado seus resultados à sociedade, mas também todas as tendências de segurança de outros ou anomalias que observaram em trabalhar com o fabricante o maior do mundo do software.
Sim, há muita margem para erro na metodologia de Krebs, mas ele também faz notar o fato de que ele apresentou suas descobertas a Microsoft antes de escrever o artigo. "Os funcionários me tratou com prestativamente concordou ou quibbled um pouco com alguns dos meus resultados, mas a empresa não levantou objecções que afectam significativamente os resultados apresentados neste estudo particular das falhas do IE", disse ele.
Para efeitos de comparação, Krebs também questionou os especialistas em segurança sobre vulnerabilidades do Firefox. O que ele descobriu foi que havia apenas nove dias fora do ano passado, quando o código de exploração estava circulando na Internet por um buraco conhecido no Firefox.
Numa perspectiva de alto nível dos resultados Krebs, eu não estou surpreso, no mínimo. Como ele observa, o IE tem cerca de 80 por cento do mercado e funciona com o mais amplamente usado sistema operacional do mundo. Para um hacker, publicando alguns explorar novo código para o IE e fazer vida dos usuários Windows 'miserável é uma ótima maneira de ganhar alguma notoriedade anônima. Francamente, o Internet Explorer é o alvo final de Black Hats.
O que você quer tirar do relatório de Krebs? Será que você atribui os números à popularidade dos navegadores? Se o Firefox eram tão populares como o IE, você acha que sofreria um destino similar?