21 septiembre 2009

SANS: Informe tendencias Top Riesgos de Seguridad


El instituto SANS ha publicado un informe periódico de riesgos de seguridad. Para ello se ha basado en los datos de los ataques recibidos por 6000 organizaciones protegidas con los IPSs TippingPoint, 9.000.000 de sistemas escaneados por Qualys, y otra información del Internet Storm Center. Dicha información pertenece al periodo entre Marzo y Agosto de 2009.


El resumen dice que hay 2 prioridades:
  • La de los sistemas cliente que no tienen software que no está correctamente parcheado (Adobe Acrobat Reader, Flash, Microsoft Office, Quicktime, etc...) La gente descarga documentos desde sitios que consideran fiables, y debido a vulnerabilidades en el software cliente, se ejecuta código malicioso desde ficheros que antiguamente sería impensable (recuerdo cuando sólo se podía en los .EXE, .COM, .BAT o .PIF). Una vez se compromete una estación de trabajo en una red interna de una organización, se distribuye a través de alguna otra vulnerabilidad dicho código malicioso, comprometiendo redes completas de estaciones de trabajo e incluso de servidores.
  • Servidores web expuestos a Internet que son vulnerables. En el periodo analizado, un 60% de los ataques totales que se han analizado, han ido destinados a aplicaciones web vulnerables (un 80% de éstas han sido Inyecciones SQL, XSS y PHP File includes). De esta manera, se comprometen servidores web que pueden considerarse como confiables en herramientas de infectar sistemas cliente no parcheados (los del punto anterior). Dentro de este tipo de vulnerabilidades prevalecen las inyecciones SQL basadas en Select, las evasiones de inyección SQL basadas en funciones String y las que utilizan identidad booleana. Asimismo, de estas estadísticas se extrae que gran cantidad de ataques han sido la identificación del método Connect de HTTP. Los orígenes de estos ataques a servidores web, ha sido mayoritariamente Estados Unidos. En menor medida, Tailandia, Taiwan y China. Lo mismo sucede para ataques XSS.
  • Las publicaciones de parches para aplicaciones tardan aún más que las publicaciones para sistemas operativos. Los fabricantes de sistemas operativos están más concienciados de la importancia de la seguridad en los mismos e imagino que por eso que tardan menos en parchear sus debilidades. Asimismo el "parque" de instalaciones de un sistema operativo es enorme comparado con el número de instancias de aplicaciones que hay.
Otras conclusiones interesantes:
  • Se han descubierto menos vulnerabilidades de sistema operativo que sean explotables desde Internet. Aparte del famoso gusano Conficker, no ha habido ningún otro gran foco de infección.
  • Aumenta el número de vulnerabilidades zero-day. En los últimos tres años, la cantidad de vulnerabilidades publicadas no parcheadas se han incrementado. Hay vulnerabilidades reportadas con hasta dos años de antiguedad a los fabricantes a las que no se les publica ningún parche que las arregle.
  • Aparte de ataques a aplicaciones web, siguen siendo un alto porcentaje los de fuerza bruta a servidores FTP y SSH.
  • Los ataques dirigidos a sistema operativo Microsoft, un 90% han sido los referentes a la ejecución remota de código posible gracias al buffer overflow descrito en MS08-067
  • Para Apple, la aplicación más atacada es Quicktime. La versión Windows de este software también es vulnerable, así que también tiene que ser parcheada
El informe es mucho más extenso, sobre cómo comprometiendo una estación de trabajo de una organización se puede llevar a cabo un total compromiso de la red completa, comenzando por exponer en un servidor público y confiable (como puede ser una red social por ejemplo o utilizando ingeniería social), contenidos maliciosos que generen un agujero de entrada (por ejemplo, mediante una shell inversa, o fórmulas mas creativas) en la organización objetivo.

2 comments :

seifreed dijo...

Es increíble que aún hayan segun que tipo de errores, en mi opinión, ya que, a veces es la falta de cuidado de tu sistema(web, red interna).
Este tipo de Informes creo que se lo debería mirar cada admin y revisar sus actualizaciones y código fuente, hacer auditoría y demás. Aunque cueste un trabajo. Es necesario.

Ivan Fraixedes dijo...

No niego lo que comentas seifreed sobre que los administradores tendriamos que dedicar más tiempo a la seguridad, pero en mi caso el problema no es mio, es de la empresa la cual no quiere poner más pesonal y el tiempo que se le puede dedicar a la seguridad es poco, aunque cada día se extienda la jornada laboral más de lo que toca. Otra opción es contratar servicios de este tipo, pero para eso te dicen que no hay prespuesto, es decir que para la mayoria de empresarios de España, lo de la seguridad es como una técnica comercial para sacarles la pasta.