informe de vulnerabilidades · informe de vulnerabilidades 2º semestre 2010 6 1. introducciÓn...
TRANSCRIPT
INFORME DE
VULNERABILIDADES
2º SEMESTRE 2010
2º Semestre 2010
Informe de vulnerabilidades 2º semestre 2010 2
El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es.
Informe de vulnerabilidades 2º semestre 2010 3
La presente publicación pertenece al Instituto Nacional de Tecnología de la Comunicación (INTECO) y esta bajo licencia Reconocimiento-No comercial 3.0 España de Creative Commons, y por ello estar permitido copiar, distribuir y comunicar públicamente esta obra bajo las condiciones siguientes: Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra. Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO.
http://creativecommons.org/licenses/by-nc-sa/3.0/es/ El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Así, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible
en la sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es
Informe de vulnerabilidades 2º semestre 2010 4
ÍNDICE DE FIGURAS 5
1. INTRODUCCIÓN 6
2. VULNERABILIDADES 7
2.1. Nivel de severidad de las vulnerabilidades 7
2.2. Productos más afectados 8
2.3. Fabricantes más afectados 9
2.4. Vulnerabilidades más comunes según su tipo 10
2.4.1. Vulnerabilidad XSS 10
2.5. Vulnerabilidades según el sistema operativo para pc 12
2.1. Vulnerabilidades por navegadores 13
3. BUENAS PRÁCTICAS 14
3.1. Actualizaciones en sistemas Microsoft 14
3.2. Windows 7 15
3.3. Windows Vista. 17
3.4. Windows XP SP3 19
Informe de vulnerabilidades 2º semestre 2010 5
ÍNDICE DE FIGURAS
Figura 1: Vulnerabilidades por nivel de riesgo. 7
Figura 2: Productos más afectados por las últimas vulnerabilidades. 8
Figura 3: Fabricantes más afectados por las últimas vulnerabilidades. 9
Figura 4: Vulnerabilidades más comunes por tipo. 10
Figura 5: Vulnerabilidades por sistema operativo para PC 12
Figura 6: Vulnerabilidades por navegador 13
Figura 7: Actualizaciones de seguridad en Windows 7 (1) 15
Figura 8: Actualizaciones de seguridad en Windows 7 (2) 16
Figura 9: Actualizaciones de seguridad en Windows 7 (3) 17
Figura 10: Actualizaciones de seguridad en Windows Vista (1) 17
Figura 11: Actualizaciones de seguridad en Windows Vista (2) 18
Figura 12: Actualizaciones de seguridad en Windows Vista (3) 18
Figura 13: Actualizaciones de seguridad en Windows XP SP3 (1) 19
Figura 14: : Actualizaciones de seguridad en Windows XP SP3 (2) 19
Informe de vulnerabilidades 2º semestre 2010 6
1. INTRODUCCIÓN
Fruto del acuerdo de colaboración con el NIST (National Institute of Standards and
Technology), INTECO cuenta con un completo repositorio de más de 40.000
vulnerabilidades traducidas al castellano cuyo fin es informar y advertir a los usuarios sobre
los fallos de Seguridad existentes en los sistemas operativos, hardware y otro tipo de
aplicaciones.
Con este informe se pretende mostrar un resumen de información de carácter general sobre
las vulnerabilidades aparecidas en el segundo semestre de 2010, expresado en gráficas,
para ofrecer una visión global de la actividad generada durante el periodo de tiempo
mencionado.
También es objetivo de este informe concienciar de la importancia de las actualizaciones de
seguridad en los sistemas para minimizar los riesgos provocados por las vulnerabilidades
como vectores de ataque del software malicioso actual.
Desde INTECO-CERT se tata de fomentar una cultura de Seguridad siguiendo unas
instrucciones básicas, que serán las que deban fundamentar esa Seguridad además de
crear en el usuario usa serie de hábitos para que, de forma natural, los utilice y mejore su
experiencia en Internet.
En cada informe se pretende resaltar los aspectos que se consideran oportunos con el fin de
aportar un valor especial al mismo. Además, se trata de difundir una serie de datos y de
interpretarlos así como de proporcionar los conocimientos necesarios acerca de esos
aspectos, siempre desde el objetivo de la prevención.
Los datos originales procesados en INTECO-CERT se obtienen de su buscador de
vulnerabilidades, que es la traducción al español de las vulnerabilidades que se publican en
el NIST.
Informe de vulnerabilidades 2º semestre 2010 7
2. VULNERABILIDADES
2.1. NIVEL DE SEVERIDAD DE LAS VULNERABILIDADES
La siguiente gráfica muestra el número de vulnerabilidades documentadas en
http://cert.inteco.es y su nivel de severidad a lo largo del semestre, periodo durante el cual
se emitieron un total de 6474. Los niveles de severidad de las vulnerabilidades publicadas
aparecen en la siguiente figura.
Figura 1: Vulnerabilidades por nivel de riesgo.
Según el gráfico anterior es posible observar que, durante todo el periodo analizado, las
vulnerabilidades que más aparecen son las correspondientes al nivel de gravedad alta y
media. Esto significa que ha sido un periodo, al menos, «preocupante» ya que estas
vulnerabilidades podrían provocar problemas en caso de que explotasen.
Informe de vulnerabilidades 2º semestre 2010 8
2.2. PRODUCTOS MÁS AFECTADOS
La siguiente figura muestra los productos más afectados por las vulnerabilidades del
trimestre. Nótese que sólo aparecen aquellos productos afectados por el mayor número de
nuevas vulnerabilidades.
Figura 2: Productos más afectados por las últimas vulnerabilidades.
Los primeros puestos los ocupan los navegadores (webkit es la estructura base
(Framework) que usan Safari, Chrome y algunos navegadores para móviles).Esto indica que
se debe tener especial cuidado al navegar por Internet ya que es uno de los vectores de
ataque más utilizados por los cibercriminales.
Informe de vulnerabilidades 2º semestre 2010 9
2.3. FABRICANTES MÁS AFECTADOS
La figura muestra los diez fabricantes más afectados por las vulnerabilidades detectadas
durante el trimestre.
Figura 3: Fabricantes más afectados por las últimas vulnerabilidades.
Dentro de los fabricantes más afectados por las vulnerabilidades aparece Microsoft como el
primero y destacado sobre el resto. Hay que matizar este dato ya que dentro de Microsoft,
como fabricante, van incluidos todos los productos de Microsoft: sistemas operativos
(soportados hay XP SP3, Vista, 7, 2003 server y 2008 server en todas sus versiones)
software ofimático, navegador de Internet, correo electrónico, servidor web, entornos de
programación, etc. Esto provoca que aparezca en las estadísticas en el primer puesto por
fabricante, lo que no indica que sea especialmente problemático con las vulnerabilidades.
De hecho se está observando que los cibercriminales comienzan a utilizar vulnerabilidades
de software multiplataforma ya que una vulnerabilidad de un producto que se instale en
varios sistemas operativos (navegador, correo, lectores, visores…) puede «explotar»
diversos sistemas.
En este apartado pretende mostrar la forma en que se actualiza cada uno de los fabricantes.
En cada informe se comenta uno de ellos de forma pormenorizada y en el presente le toca
el turno a Microsoft. En sucesivos informes se desarrollarán otros
fabricantes/desarrolladores.
En los siguientes puestos aparecen compañías como SUN, Adobe y Mozilla, todas ellas
desarrolladoras de software multiplataforma y de gran difusión entre todos los usuarios.
Informe de vulnerabilidades 2º semestre 2010 10
2.4. VULNERABILIDADES MÁS COMUNES SEGÚN SU TIPO
El siguiente gráfico muestra los tipos de vulnerabilidades más comunes registradas en el
semestre y la proporción que cada uno de ellos representa sobre el total de vulnerabilidades
registradas.
Figura 4: Vulnerabilidades más comunes por tipo.
En el gráfico aparece como más común el grupo «Otros», con un 34%. Esto es debido a que
el proceso de alta de vulnerabilidades consiste en varios pasos: reporte de las mismas,
comprobación de que efectivamente son ciertas, comprobación de qué productos le afectan,
a qué son debidas, etc., este proceso puede durar algo de tiempo, y en algunos casos es
muy complicado determinar el tipo de vulnerabilidad debido a que puede deberse a varios
factores, o a otros no contemplados en la clasificación actual, lo que produce que
normalmente sea el grupo mayor.
2.4.1. Vulnerabilidad XSS
Los ataques XSS (Cross Site Scripting) tratan de aprovechar vulnerabilidades generadas por
una incorrecta validación de datos de entrada en una aplicación web. Básicamente se trata
Informe de vulnerabilidades 2º semestre 2010 11
de engañar al usuario para que pulse una URL especialmente manipulada que, al abrirse,
ejecutará generalmente código Javascript, que será interpretado en el navegador del
usuario. El código que inyecta el atacante llamará a diversos objetos DOM (Document
Object Model) para ejecutar acciones en el equipo de la víctima. Asimismo, para dar un
aspecto más amigable a la URL y para evitar ciertos filtros, ésta suele ser transformada
mediante acortadores URL o codificada en hexadecimal.
Ejemplo:
<script>document.write('<img src="http://inteco.com/img.jpg" />')</script> %3Cscript%3Edocument.write%28%27%3Cimg%20src %3D%22http%3A%2F%2Finteco.com%2Fimg.jpg%22%20%2F%3E%27%29%3C%2Fscript%3E
Generalmente estos ataques están catalogados como «no persistentes» al ejecutarse en el
contexto del navegador sin modificar la página web original. Por otro lado, los conocidos
como «persistentes» son más peligrosos ya que el código Javascript es directamente
insertado en una base de datos, de tal forma que todos los usuarios que visualicen registros
de dicha BBDD se verán afectados.
Hasta ahora, la mayor parte de ataques XSS se centraban en ataques de phishing, robo de
cookies, redireccionamientos de URL, defacements, carga de iframes con código malicioso,
etc. Sin embargo, poco a poco, van surgiendo técnicas más sofisticadas que van un paso
más allá y que hacen valorar en mayor medida la importancia de este tipo de ataques. “Shell
of the Future” o “BeFF” son un claro ejemplo de ello.
El problema que origina normalmente este tipo de vulnerabilidades es que no se validan de
forma adecuada los datos de entrada que usan algunas aplicaciones. Esto es un problema
de programación ya que las entradas de datos no sólo hay que validarlas a nivel de
conformidad sintáctica sino que también hay que comprobar su conformidad semántica para
evitar esta vulnerabilidad y otras cuyo origen es el mismo: la validación de la entrada (como
la inyección de comandos SQL, por ejemplo).
Siempre hay que prestar especial atención a las buenas prácticas en programación ya que
son el primer bastión para que las aplicaciones sean seguras por sí mismas.
Informe de vulnerabilidades 2º semestre 2010 12
2.5. VULNERABILIDADES SEGÚN EL SISTEMA OPERATIVO PARA
PC
El siguiente gráfico muestra los datos correspondientes a los sistemas operativos
monitorizados debido al número de equipos que los utilizan.
Figura 5: Vulnerabilidades por sistema operativo para PC
El ranking de vulnerabilidades por sistema operativo durante este periodo es encabezado
por Linux, seguido de Windows y, por último, está Mac OS X. Este indicador se utiliza para
analizar la evolución a lo largo del tiempo ya que, de forma aislada, no se puede usar para
afirmar que un sistema operativo es más seguro que otro sin tener en cuenta la importancia
de las vulnerabilidades, el tiempo de resolución y el grado de explotación de las mismas.
Estos datos que son complicados de cruzar.
Informe de vulnerabilidades 2º semestre 2010 13
2.1. VULNERABILIDADES POR NAVEGADORES
El siguiente gráfico muestra los datos correspondientes a las vulnerabilidades reportadas
para cada navegador monitorizado.
Figura 6: Vulnerabilidades por navegador
Dentro de los navegadores se encuentra Google Chrome como muy destacado, seguido de
Mozilla Firefox. Igual que ocurre con los sistemas operativos, sólo con este gráfico no se
puede llegar a afirmar que Google Chrome sea el más inseguro, pero sí se puede decir que
es el navegador del que más vulnerabilidades se han reportado. Desde INTECO-CERT
continuará la monitorización para poder comprobar la tendencia en este tipo de software a lo
largo del tiempo.
Informe de vulnerabilidades 2º semestre 2010 14
3. BUENAS PRÁCTICAS
Con este informe de vulnerabilidades no sólo se pretende informar sobre cuántas se han
reportado y mostrar algunas clasificaciones, sino que también se pretende concienciar sobre
las medidas debemos a utilizar para mejorar la Seguridad de los sistemas.
Dentro de las consignas de seguridad de INTECO-CERT se tienen como base de trabajo los
siguientes tres conceptos:
- actualizar
- proteger
- prevenir
3.1. ACTUALIZACIONES EN SISTEMAS MICROSOFT
Microsoft tiene una política de actualizaciones que consiste en ir resolviendo
vulnerabilidades y agrupar estas soluciones en una actualización de Seguridad que se
publica el segundo martes de cada mes.
En caso de que alguna vulnerabilidad importante esté siendo explotada de forma importante,
en el momento que tienen su actualización de Seguridad preparada, publican una
actualización de Seguridad «fuera de ciclo» para que los usuarios la solucionen lo antes
posible.
En general, las actualizaciones de Microsoft (Windows Update) se pueden configurar de
varias formas, para adaptarlas a las necesidades de cada usuario, permitiendo seleccionar
varios modos en lo relativo al aviso, descarga e instalación.
- No buscar actualizaciones. De esta forma el sistema no se conectará con los
servidores de Microsoft para comprobar si hay actualizaciones de Seguridad. Esta
práctica no está indicada para equipos de usuario básico/medio ya que el usuario no
va recibir advertencias de nuevas actualizaciones a menos que las busque por sí
mismo en la página de Microsoft, en los boletines de avisos de seguridad de
INTECO-CERT u otros medios. Esta opción sólo se suele utilizar en entornos con
muchos equipos en los cuales se suelen probar las actualizaciones en algún
ordenador para comprobar que no afectan a los sistemas de forma negativa.
- Buscar actualizaciones, mostrar un mensaje permitiendo seleccionar las que
queremos descargar e instalar. Esta opción nos avisa de las nuevas actualizaciones,
las cuales podemos descargar e instalar. Se suele aplicar, al igual que las anteriores
en entornos donde antes de instalarlas hay que verificar su necesidad e interacción
con otros programas o sistemas.
- Descargarlas y preguntar por las que se quiere instalar. Similar a la anterior.
Informe de vulnerabilidades 2º semestre 2010 15
- Instalar las actualizaciones automáticamente. Esta opción es la recomendada para la
mayoría de los usuarios ya que, en el momento que se detecta una nueva
actualización, se procede a la descarga e instalación de la misma quedando el
sistema protegido de forma automática.
Todos los sistemas se básicamente configuran de una forma idéntica. Puede cambiar la
forma de hacerlo, pero el fondo es igual en todos los casos. A continuación, se hace un
repaso a cada sistema.
3.2. WINDOWS 7
Se comienza haciendo clic en el botón «Inicio». A continuación se selecciona la opción
«Panel de control» donde se hace clic en el enlace a «Sistema y seguridad». Dentro de
«Windows Update» se seleccionala opción «Activar o desactivar la actualización
automática».
Figura 7: Actualizaciones de seguridad en Windows 7 (1)
Ahí aparece la ventana «Cambiar configuración».
En ella se muestra un campo desplegable con las opciones correspondientes a las
actualizaciones importantes:
- instalar actualizaciones automáticamente (recomendado)
Informe de vulnerabilidades 2º semestre 2010 16
- descargar actualizaciones, pero permitirme elegir si deseo instalarlas
- buscar actualizaciones, pero permitirme elegir si deseo descargarlas e instalarlas
- no buscar actualizaciones (no recomendado)
Figura 8: Actualizaciones de seguridad en Windows 7 (2)
Se debe seleccionar la opción que mejor se adapte a cada necesidad y, en caso de
desconocer la mejor opción, se debería seleccionar la opción «Instalar las actualizaciones
automáticamente», ya que es la que mayor nivel de Seguridad nos va a aportar.
Junto a estas opciones aparecen otras relacionadas con actualizaciones recomendadas (si
se quiere que se actúe con ellas como con las importantes), que permiten especificar si se
desea que las actualizaciones las pueda instalar cualquier usuario, y no solo un
administrador (este punto es importante, ya que si tenemos las actualizaciones en «modo
automático» se debería marcar la opción, para que cualquier usuario (sea administrador o
usuario limitado) pueda instalarlas. Otra opción es la de ofrecer actualizaciones de otros
productos Microsoft y nuevo software. Ésta es una mezcla entre las utilidades instaladas en
el ordenador y otras nuevas. La última opción es para que se muestren nuevos productos de
Microsoft.
Informe de vulnerabilidades 2º semestre 2010 17
Figura 9: Actualizaciones de seguridad en Windows 7 (3)
3.3. WINDOWS VISTA.
Se hace clic en el «botón de Inicio» y se selecciona la opción «Panel de control». En la
ventana del panel de control se hace clic en el enlace «Sistema y seguridad». De las
opciones que aparecendentro de «Windows Update» se elije la opción «Activar o desactivar
la actualización automática».
Figura 10: Actualizaciones de seguridad en Windows Vista (1)
Informe de vulnerabilidades 2º semestre 2010 18
Aparece la ventana «Cambiar configuración» desde la que hay que seleccionar cómo se
realizan las actualizaciones importantes, con qué frecuencia y a qué hora. Además, permite
seleccionar si se pretende que gestione de la misma forma las actualizaciones
recomendadas y que todos los usuarios puedan instalar las actualizaciones.
Figura 11: Actualizaciones de seguridad en Windows Vista (2)
Dentro de la forma de realizar las actualizaciones importantes, es posible seleccionar cuatro
modos:
Figura 12: Actualizaciones de seguridad en Windows Vista (3)
- instalar automáticamente (recomendado)
- descargar actualizaciones y permitir seleccionar las que se instalarán
- buscar y avisar de que las hay, pero permitir seleccionar las que se descargan e
instalan
- no buscar actualizaciones (no recomendado)
Informe de vulnerabilidades 2º semestre 2010 19
3.4. WINDOWS XP SP3
Se hace clic en el «botón de Inicio» y se selecciona la opción «Panel de control». En la
ventana del panel de control se pincha en el icono «Actualizaciones Automáticas»
Figura 13: Actualizaciones de seguridad en Windows XP SP3 (1)
Aquí aparecerá la ventana «Actualizaciones automáticas».
Figura 14: : Actualizaciones de seguridad en Windows XP SP3 (2)
Informe de vulnerabilidades 2º semestre 2010 20
En ese momento, aparecerá una selección de opciones mediante botones de radio (sólo
permite seleccionar una opción, y en caso de ser la primera opción, permite seleccionar la
periodicidad y la hora). Las opciones de actualización, al igual que en los otros sistemas
son:
- instalar automáticamente (recomendado)
- dDescargar actualizaciones y permitir seleccionar las que se instalarán
- buscar y avisar de que las hay, pero permitir seleccionar las que se descargan e
instalan
- no buscar actualizaciones (no recomendado)