VULNERABILIDADES EN INTERNET

INDICE

RESUMEN

VULNERABILIDAD

El prestigioso instituto norteamericano SANS, junto con el FBI, ha dado a conocer un listado de los 20 fallos de seguridad más críticos de Internet, a la vez que recomienda, sobre todo a los administradores de sistemas de las empresas, cómo prevenir y corregir dichas vulnerabilidades.

Hace poco más de un año, el Instituto SANS (Systems Administration, Networking and Security Institute) y el Centro de Protección de Infraestructura Nacional de Estados Unidos publicaron un documento que compendiaba los diez fallos de seguridad más críticos de Internet.

Muchas organizaciones utilizaron este listado para llevar a cabo sus prioridades en materia de seguridad y tapar agujeros y reparar fallos. El nuevo catálogo, emitido el pasado 1 de octubre, actualiza y amplía hasta 20 las vulnerabilidades, segmentándolas en tres categorías: fallos generales, fallos de Windows y fallos de Unix. Asimismo, también proporciona información adicional de utilidad para prevenir y corregir dichos fallos.

Por otro lado, el FBI también ha contribuido a crear esta lista de los Top 20, cuya relación de vulnerabilidades en software, según el Instituto, engloba la mayoría de los ataques que se han producido en Internet, sencillamente porque los atacantes tomaron el camino más fácil y adecuado.

"Los hackers explotan los fallos más conocidos con las más efectivas y fácilmente disponibles armas de ataque. Además, cuentan con organizaciones que no solucionan los problemas de seguridad y a menudo atacan indiscriminadamente, rastreando Internet en busca de sistemas vulnerables", explica el comunicado del Instituto.

En el pasado, los administradores de sistemas manifestaban que no corregían muchos de estos fallos porque simplemente no conocían qué vulnerabilidades eran las más peligrosas, y estaban demasiado ocupados para corregirlas todas.

La lista Top 20 está diseñada para ayudar a aliviar este problema al combinar los conocimientos de docenas de expertos en seguridad de agencias federales, con los principales proveedores de software de seguridad y firmas de consultoría, los más importantes programas de seguridad universitarios, el CERT y el Instituto SANS.

En otro orden de cosas, hay que destacar que el listado se fundamenta en la anterior relación de los Top 10 que el instituto SANS ya lanzó en junio del año pasado. Todos, a excepción de uno de los fallos originales, todavía permanecen en la lista.

El Top 20 de las vulnerabilidades
En concreto, el inventario incluye siete problemas de seguridad que afectan a todos los sistemas, seis vulnerabilidades específicas de los servidores de Microsoft, y siete fallos que afectan a varios programas basados en Unix, incluyendo Linux y Solaris.

Las principales vulnerabilidades que afectan a todos los sistemas son la instalación incompleta de sistemas operativos y aplicaciones, cuentas sin contraseña o contraseñas fáciles de romper, la no realización de copias de seguridad de los archivos, el mantener un gran número de puertos de acceso abiertos, el carecer de paquetes de filtrado para reajustar las direcciones IP entrantes y salientes, la no existencia de logging y ciertas debilidades en los programas CGI (Common Gateway Interfaz), comúnmente utilizados en Microsoft IIS y Apache.

Respecto a las vulnerabilidades que afectan a sistemas Windows, éstas incluyen fallos en el Unicode, en las extensiones ISAPI (Internet Server Application Programming Interface) normalmente instaladas en programas para servidores web, en los RDS (Remote Data Services) de Microsoft IIS. También, contempla una configuración inadecuada del protocolo SMB (Server Message Block) que permite el intercambio de ficheros en una red Windows, la fuga de información a través de conexiones de sesión nulas y un débil esquema de codificación de los sistemas de administración.

Y por último, los fallos en sistemas Unix examinados en el listado Top 20 hacen referencia a los servicios de llamadas de procedimiento remotas (RPC), a los programas sendmail gestores de correo electrónico de Unix y Linux, el paquete BIND (Berkeley Internet Name Domain) utilizado en la implementación de servicios de nombres de dominio, los comandos "R" que permiten acceder a un sistema remoto, el protocolo de impresión remota LPD, Sadmind y Mountd que facilitan, controlan y arbitran el acceso a sistemas Solaris y la carencia del protocolo SNMP (Protocolo de Gestión de Redes Simple).

Agujeros de seguridad físicos

Cuando el problema potencial, es debido al hecho de dar a personas, sin autorización, acceso físico a la máquina, siempre que esto les permita realizar cosas que no deberían ser capaces de hacer.

Un buen ejemplo podría ser una sala pública, con estaciones de trabajo, donde sería facilísimo reinicializar una máquina en modo mono-usuario y trastear con los archivos de la estación de trabajo, si no se hubieran tomado precauciones.

Otro ejemplo sería la necesidad de restringir el acceso a cintas backup confidenciales, que de otro modo podrían ser leídas por cualquier usuario que disponga de una unidad lectora, independientemente de que tenga o no permiso.

Agujeros de Seguridad en el Software.

Es cuando el problema está causado por una mala escritura de partes "privilegiadas" de software (daemons, cronjobs) que pueden estar comprometidos a realizar tareas que no deberían.

El ejemplo mas famoso sería el bug del sendmail que podía permitir a un cracker pillar una shell root, pudiéndolo utilizar para borrar archivos, crear nuevas cuentas, copiar el fichero de passwords..... cualquier cosa.

Nota: Contrariamente a lo que la gente piensa, los ataques vía sendmail no estaban sólo restringidos al infame "Gusano de Internet" (Internet Worm) - cualquier cracker podía hacer esto Telneteando al puerto 25 de la víctima.

Nuevos agujeros como este aparecen todos los días, los mejores métodos para prevenirlos son:

· Tratar de estructurar el sistema de forma que el menor software posible con privilegios root/daemon/bin corra en la máquina, y que el que lo haga sea robusto con toda seguridad.

· Suscribirse a listas de correo para poder tener lo antes posible información con detalles acerca de problemas y/o parches, y actuar en cuanto esté disponible.

· Cuando se instala/actualiza un sistema, tratar de instalar/habilitar solo aquellos paquetes de software cuya necesidad sea inmediata o previsible. Muchos paquetes incluyen daemons o utilidades que pueden revelar información a extraños. Por ejemplo, el paquete de contabilidad del Unix System V de AT&T incluye acctcom(1), que podría permitir (por omisión) a cualquier usuario el revisar los datos de las cuentas diarias de cualquier otro usuario. Muchos paquetes TCP/IP instalan/cargan automáticamente programas tales como rwhod, fingerd, y (ocasionalmente) tftpd, pudiendo todos ellos presentar problemas de seguridad.

Una administración cuidadosa del sistema es la solución. Muchos de estos programas son inicializados/iniciados en el arranque; sería deseable cambiar los scripts de arranque (normalmente en los directorios /etc, /etc/rc, /etc/rcX.d) para prevenir su ejecución y eliminar algunas utilidades que no se vayan a utilizar, bastando (en algunos casos) un simple chmod(1) puede prevenir el acceso de usuarios no autorizados

Resumiendo, no confíes en los scripts/programas de instalación! Tales utilidades tienden a instalar/cargar todo lo que hay en el paquete sin pedir confirmación. Muchos manuales de instalación incluyen listas de "los programas incluidos en este paquete"; asegúrate de revisarlo.

Agujeros de Seguridad por Incompatibilidades.

Se da cuando, por falta de experiencia, o por descuido, el administrador del sistema hace funcionar software sobre un hardware para el que no está optimizado, dando lugar a posibles resultados inesperado y fallos que pueden dañar seriamente la seguridad del sistema. Es la incompatibilidad entre software y hardware la que crea agujeros de seguridad.

Problemas como este son muy difíciles de encontrar una vez que el sistema esta montado y funcionando, de manera que es muy conveniente el leer atentamente la documentación del software y del hardware que se va a montar (o que pretendemos atacar) y estar muy atento a cualquier noticia o actualización.

Elección y Mantenimiento de Filosofía de Seguridad

El cuarto problema de seguridad es el de la percepción y el entendimiento. Software perfecto, hardware protegido, y componentes compatibles no funcionan a menos que se haya elegido una política de seguridad correcta y que se hayan puesto en marcha las partes del sistema que la refuerzan.

Tener el mejor mecanismo de password del mundo es inútil si los usuarios creen que la última parte del nombre de su login es un buen password! La seguridad esta relacionada con una política (o conjunto de políticas/normas) y el funcionamiento del sistema conforme a dicha política.

VULNERABILIDADES SUPERIORES QUE AFECTAN TODOS LOS SISTEMAS (G)

G1 - El defecto instala de sistemas operativos y de usos

Descripción

Las escrituras instalan típicamente más componentes que la mayoría de los usuarios necesitan

Crea muchas de las vulnerabilidades más peligrosas de la seguridad porque los usuarios no mantienen activamente componentes de software del remiendo de la hormiga que no utilizan

Las instalaciones del defecto incluyen casi siempre servicios extraños y puertos abiertos correspondientes

Sistemas afectados

La mayoría de los sistemas operativos y de los usos. Tenga presente que casi todas las extensiones de tercera persona del web server vienen con los archivos de la muestra, muchos de los cuales son extremadamente peligrosos

Determinarse si usted es vulnerable

Y si usted no ha quitado servicios innecesarios e instalado todos los remiendos de la seguridad

Si usted se realizó la configuración adicional

Cómo proteger

Quite el software innecesario

cierre los puertos extraños

la instalación solamente de las características mínimas necesitadas para que el sistema funcione con eficacia

G2 - Cuentas sin contraseñas o contraseñas débiles

Descripción

La mayoría de los sistemas se configuran para utilizar contraseñas como el primer, y solamente, línea de defensa

. En la práctica todas las cuentas con contraseñas débiles, contraseñas del defecto, y ningunas contraseñas se deben quitar de su sistema

Determinarse si usted es vulnerable

Revise las cuentas en sus sistemas y cree una lista principal

Desarrolle los procedimientos para agregar cuentas autorizadas a la lista

Valide la lista sobre una base regular

Funcione una herramienta que se agrieta de la contraseña contra las cuentas que buscan débil o ningunas contraseñas

Tenga procedimientos rígidos para quitar cuentas cuando los empleados o los contratistas se van

Cómo proteger contra él

En el primer paso todas las cuentas sin contraseña se dan una contraseña o se quitan, y se consolidan las contraseñas débiles.

Use los programas de computadora:

Para UNIX: Npasswd

Para Windows NT: Passfilt

G3 Reservas inexistentes o incompletas

Descripción

Cuando ocurre un incidente (y ocurrirá en casi cada organización), la recuperación del incidente requiere reservas actualizadas y métodos probados de restaurar los datos.

Algunas organizaciones hacen reservas diarias, pero nunca verifican que las reservas están trabajando realmente.

Otros construyen políticas y procedimientos de reserva, pero no crean políticas y procedimientos de la restauración

Un segundo problema que implica reservas es protección física escasa del medio de reserva.

Las reservas contienen la misma información sensible que está residiendo en el servidor, y se deben proteger de manera semejante

Determinarse si usted es vulnerable

Un inventario de todos los sistemas críticos debe ser identificado.

Entonces un análisis del riesgo debe ser realizado identificando cuáles es el riesgo y la amenaza correspondiente para cada sistema crítico.

Las políticas y los procedimientos de reserva deben tras claramente a estos servidores dominantes

lo que sigue debe ser validado

Cómo protegerse contra él

Las reservas se deben hacer por lo menos diariamente.

El requisito mínimo en la mayoría de las organizaciones es realizar reservas semanales e incrementales de reserva completas cada día.

Por lo menos una vez al mes que los medios de reserva deben son verificados haciendo un restore a un servidor de la prueba para considerar que los datos se están sosteniendo realmente exactamente

G4 - Número grande de puertos abiertos

Descripción

Ambos usuarios y atacantes legítimos conectan con los sistemas vía puertos abiertos.

Más puertos es abierto las maneras más posibles que alguien puede conectar con su sistema.

Por lo tanto, es importante guardar el menos número de los puertos abiertos en un sistema necesario para él para funcionar correctamente.

El resto de los puertos deben ser cerrados

Determinarse si usted es vulnerable

El comando del netstat se puede funcionar localmente para determinarse qué puertos están abiertos

es funcionar un explorador portuario externo contra sus sistemas

Si los resultados del netstat diferencian de los resultados de exploración portuarios, usted debe investigar por qué. Una vez que las dos listas convengan, pase a través de la lista y valide porqué cada puerto está abierto, y qué está funcionando en cada puerto

Use Exploradores Portuarios:

El más popular es nmap para NT.

La versión de Unix del nmap

Proteger contra él

Identificar el subconjunto mínimo de los puertos que deben seguir siendo abiertos para su sistema a la función con eficacia - entonces cierre el resto de los puertos. Para cerrar un puerto, encuentre el servicio correspondiente y déle vuelta off/remove él

Para UNIX quitar un servicio de inetd.conf, entonces recomenzando inted, para el puerto de ser abierto. Otros servicios se comienzan vía las escrituras funcionadas en el tiempo del cargador

Consulte la documentación de su sistema en cómo inhabilitar estas escrituras, como los detalles varían entre las versiones de Unix

Para Windows NT y Windows 2000, un programa llamado fport se puede utilizar para intentar determinarse qué service/program está escuchando en cierto puerto.

En Windows XP, usted puede determinarse qué programa está escuchando en un puerto funcionando el comando del netstat con - interruptor o

G5 - Paquetes de filtración para las direcciones entrantes y salientes correctas

Descripción

Las direcciones del IP de Spoofing son un método común usado por los atacantes para ocultar sus pistas cuando atacan a víctima

La ejecución de la filtración en el tráfico que viene en su red (ingreso que se filtra) y que sale (salida que se filtra) puede ayudar a proporcionar un alto nivel de la protección

Las reglas de filtración

Ningún paquete que viene en su red no debe tener una dirección de la fuente de su red interna

Cualquier paquete que viene en su red debe tener una dirección de destinación de su red interna

Cualquier paquete que sale de su red debe tener una dirección de la fuente de su red interna

Ningún paquete que sale de su red no debe tener una dirección de destinación de su red interna.

Ningún paquete que viene en su red o que sale de su red no debe tener una fuente o una dirección de destinación de una dirección privada o una dirección enumerada en espacio reservado RFC1918. Éstos incluyen 10.x.x.x/8, 172.16.x.x/12 o 192.168.x.x/16 y la red 127,0,0,0/8 del loopback.

Bloquee cualquier paquete encaminado fuente o cualesquiera paquetes con el sistema del campo de las opciones del IP

Determinarse si usted es vulnerable

Intente enviar a spoofed el paquete y ven si su cortafuego o rebajadora externo lo bloquea. No solamente su dispositivo bloquea el tráfico, solamente debe también producir un expediente en la demostración del registro que spoofed los paquetes se han caído

Cerciórese de que su sistema de registración pueda manejar una carga pesada, si no podría ser vulnerable a un ataque del DOS

Protegerse contra él

Para Cisco:

1. filtración de entrada o del ingreso

2. filtración de salida o de la salida

G6 Registración inexistente o incompleta

Descripción

La registración se debe hacer sobre una base regular en todos los sistemas dominantes, y los registros deben ser archivados y ser sostenidos porque usted nunca sabe cuándo usted puede ser que los necesite.

La mayoría de los expertos recomiendan el enviar de todos sus registros a un servidor central del registro que escriba los datos a los medios de un escribir una vez, de modo que el atacante no pueda sobreescribir los registros y evitar la detección

Determinarse si usted es vulnerable

Repase los registros de sistema para cada sistema importante.

Si usted no tiene registros, o si centralmente no se almacenan y no se sostienen, usted es vulnerable

Proteger contra él

Instalado todos los sistemas para registrar la información localmente, y para enviar los ficheros de diario a un sistema alejado.Esto proporciona redundancia y una capa adicional de seguridad.

Ahora los dos registros se pueden comparar contra uno otro. Cualquier diferencia podía indicar actividad sospechosa en el sistema.

Además, esto permite la comprobación cruzada de los ficheros de diario.

Una línea en un fichero de diario en un solo servidor no puede ser sospechosa, pero la misma entrada en 50 servidores a través de una organización dentro de un minuto de uno a, puede ser una muestra de un problema importante

G7 - Programas Vulnerables del Cgi

Descripción

En hecho, la mayoría de los servidores de la red se entregan (y están instalados) con programas del cgi de la muestra. Desafortunadamente, muchos programadores del cgi no pueden también considerar que sus programas proporcionan un acoplamiento directo de cualquier usuario dondequiera en el Internet directamente al sistema operativo de la computadora que funciona el web server

Los programas vulnerables del cgi presentan una blanco particularmente atractiva a los intrusos porque son relativamente fáciles de localizar y de funcionar con los privilegios y la energía del software del web server sí mismo.

Si usted es vulnerable

Si usted tiene cualquier código de la muestra en su web server, usted es vulnerable. Si usted tiene programas legítimos del cgi, asegúrele están funcionando la versión más última, y después funcionan una herramienta de la exploración de la vulnerabilidad contra su sitio. Simulando un qué atacante haría, usted será preparado para proteger sus sistemas. Para encontrar las escrituras vulnerables del cgi, usted puede utilizar un explorador del cgi llamado la barba

Proteger contra él

Quite todos los programas del cgi de la muestra de su web server de la producción.

Revise las escrituras restantes del cgi y quite las escrituras inseguras del cgi de todos los servidores de la red.

Asegure a todos los programadores del cgi adhieren a una política terminante de la longitud del almacenador intermediario de la entrada que comprueban en programas del cgi.

Aplique los remiendos para las vulnerabilidades sabidas que no pueden ser quitadas.

Cerciórese de que su directorio del compartimiento del cgi no incluya a ningunos recopiladores o intérpretes.

Quite la escritura de la "vista-fuente" del directorio del cgi-compartimiento.

No funcione sus servidores de la red con privilegios del administrador o de la raíz. La mayoría de los servidores de la red se pueden configurar para funcionar con una cuenta menos privilegiada tal como "nadie."

No configure la ayuda del cgi en los servidores de la red que no la necesitan

REMATE LAS VULNERABILIDADES A LOS SISTEMAS DE WINDOWS (W)