VULNERABILIDADES EN INTERNET

INDICE

RESUMEN

VULNERABILIDAD

El prestigioso instituto norteamericano SANS, junto con el FBI, ha dado a conocer un listado de los 20 fallos de seguridad más críticos de Internet, a la vez que recomienda, sobre todo a los administradores de sistemas de las empresas, cómo prevenir y corregir dichas vulnerabilidades.

Hace poco más de un año, el Instituto SANS (Systems Administration, Networking and Security Institute) y el Centro de Protección de Infraestructura Nacional de Estados Unidos publicaron un documento que compendiaba los diez fallos de seguridad más críticos de Internet.

Muchas organizaciones utilizaron este listado para llevar a cabo sus prioridades en materia de seguridad y tapar agujeros y reparar fallos. El nuevo catálogo, emitido el pasado 1 de octubre, actualiza y amplía hasta 20 las vulnerabilidades, segmentándolas en tres categorías: fallos generales, fallos de Windows y fallos de Unix. Asimismo, también proporciona información adicional de utilidad para prevenir y corregir dichos fallos.

Por otro lado, el FBI también ha contribuido a crear esta lista de los Top 20, cuya relación de vulnerabilidades en software, según el Instituto, engloba la mayoría de los ataques que se han producido en Internet, sencillamente porque los atacantes tomaron el camino más fácil y adecuado.

"Los hackers explotan los fallos más conocidos con las más efectivas y fácilmente disponibles armas de ataque. Además, cuentan con organizaciones que no solucionan los problemas de seguridad y a menudo atacan indiscriminadamente, rastreando Internet en busca de sistemas vulnerables", explica el comunicado del Instituto.

En el pasado, los administradores de sistemas manifestaban que no corregían muchos de estos fallos porque simplemente no conocían qué vulnerabilidades eran las más peligrosas, y estaban demasiado ocupados para corregirlas todas.

La lista Top 20 está diseñada para ayudar a aliviar este problema al combinar los conocimientos de docenas de expertos en seguridad de agencias federales, con los principales proveedores de software de seguridad y firmas de consultoría, los más importantes programas de seguridad universitarios, el CERT y el Instituto SANS.

En otro orden de cosas, hay que destacar que el listado se fundamenta en la anterior relación de los Top 10 que el instituto SANS ya lanzó en junio del año pasado. Todos, a excepción de uno de los fallos originales, todavía permanecen en la lista.

El Top 20 de las vulnerabilidades
En concreto, el inventario incluye siete problemas de seguridad que afectan a todos los sistemas, seis vulnerabilidades específicas de los servidores de Microsoft, y siete fallos que afectan a varios programas basados en Unix, incluyendo Linux y Solaris.

Las principales vulnerabilidades que afectan a todos los sistemas son la instalación incompleta de sistemas operativos y aplicaciones, cuentas sin contraseña o contraseñas fáciles de romper, la no realización de copias de seguridad de los archivos, el mantener un gran número de puertos de acceso abiertos, el carecer de paquetes de filtrado para reajustar las direcciones IP entrantes y salientes, la no existencia de logging y ciertas debilidades en los programas CGI (Common Gateway Interfaz), comúnmente utilizados en Microsoft IIS y Apache.

Respecto a las vulnerabilidades que afectan a sistemas Windows, éstas incluyen fallos en el Unicode, en las extensiones ISAPI (Internet Server Application Programming Interface) normalmente instaladas en programas para servidores web, en los RDS (Remote Data Services) de Microsoft IIS. También, contempla una configuración inadecuada del protocolo SMB (Server Message Block) que permite el intercambio de ficheros en una red Windows, la fuga de información a través de conexiones de sesión nulas y un débil esquema de codificación de los sistemas de administración.

Y por último, los fallos en sistemas Unix examinados en el listado Top 20 hacen referencia a los servicios de llamadas de procedimiento remotas (RPC), a los programas sendmail gestores de correo electrónico de Unix y Linux, el paquete BIND (Berkeley Internet Name Domain) utilizado en la implementación de servicios de nombres de dominio, los comandos "R" que permiten acceder a un sistema remoto, el protocolo de impresión remota LPD, Sadmind y Mountd que facilitan, controlan y arbitran el acceso a sistemas Solaris y la carencia del protocolo SNMP (Protocolo de Gestión de Redes Simple).

Agujeros de seguridad físicos

Cuando el problema potencial, es debido al hecho de dar a personas, sin autorización, acceso físico a la máquina, siempre que esto les permita realizar cosas que no deberían ser capaces de hacer.

Un buen ejemplo podría ser una sala pública, con estaciones de trabajo, donde sería facilísimo reinicializar una máquina en modo mono-usuario y trastear con los archivos de la estación de trabajo, si no se hubieran tomado precauciones.

Otro ejemplo sería la necesidad de restringir el acceso a cintas backup confidenciales, que de otro modo podrían ser leídas por cualquier usuario que disponga de una unidad lectora, independientemente de que tenga o no permiso.

Agujeros de Seguridad en el Software.

Es cuando el problema está causado por una mala escritura de partes "privilegiadas" de software (daemons, cronjobs) que pueden estar comprometidos a realizar tareas que no deberían.

El ejemplo mas famoso sería el bug del sendmail que podía permitir a un cracker pillar una shell root, pudiéndolo utilizar para borrar archivos, crear nuevas cuentas, copiar el fichero de passwords..... cualquier cosa.

Nota: Contrariamente a lo que la gente piensa, los ataques vía sendmail no estaban sólo restringidos al infame "Gusano de Internet" (Internet Worm) - cualquier cracker podía hacer esto Telneteando al puerto 25 de la víctima.

Nuevos agujeros como este aparecen todos los días, los mejores métodos para prevenirlos son:

· Tratar de estructurar el sistema de forma que el menor software posible con privilegios root/daemon/bin corra en la máquina, y que el que lo haga sea robusto con toda seguridad.

· Suscribirse a listas de correo para poder tener lo antes posible información con detalles acerca de problemas y/o parches, y actuar en cuanto esté disponible.

· Cuando se instala/actualiza un sistema, tratar de instalar/habilitar solo aquellos paquetes de software cuya necesidad sea inmediata o previsible. Muchos paquetes incluyen daemons o utilidades que pueden revelar información a extraños. Por ejemplo, el paquete de contabilidad del Unix System V de AT&T incluye acctcom(1), que podría permitir (por omisión) a cualquier usuario el revisar los datos de las cuentas diarias de cualquier otro usuario. Muchos paquetes TCP/IP instalan/cargan automáticamente programas tales como rwhod, fingerd, y (ocasionalmente) tftpd, pudiendo todos ellos presentar problemas de seguridad.

Una administración cuidadosa del sistema es la solución. Muchos de estos programas son inicializados/iniciados en el arranque; sería deseable cambiar los scripts de arranque (normalmente en los directorios /etc, /etc/rc, /etc/rcX.d) para prevenir su ejecución y eliminar algunas utilidades que no se vayan a utilizar, bastando (en algunos casos) un simple chmod(1) puede prevenir el acceso de usuarios no autorizados

Resumiendo, no confíes en los scripts/programas de instalación! Tales utilidades tienden a instalar/cargar todo lo que hay en el paquete sin pedir confirmación. Muchos manuales de instalación incluyen listas de "los programas incluidos en este paquete"; asegúrate de revisarlo.

Agujeros de Seguridad por Incompatibilidades.

Se da cuando, por falta de experiencia, o por descuido, el administrador del sistema hace funcionar software sobre un hardware para el que no está optimizado, dando lugar a posibles resultados inesperado y fallos que pueden dañar seriamente la seguridad del sistema. Es la incompatibilidad entre software y hardware la que crea agujeros de seguridad.

Problemas como este son muy difíciles de encontrar una vez que el sistema esta montado y funcionando, de manera que es muy conveniente el leer atentamente la documentación del software y del hardware que se va a montar (o que pretendemos atacar) y estar muy atento a cualquier noticia o actualización.

Elección y Mantenimiento de Filosofía de Seguridad

El cuarto problema de seguridad es el de la percepción y el entendimiento. Software perfecto, hardware protegido, y componentes compatibles no funcionan a menos que se haya elegido una política de seguridad correcta y que se hayan puesto en marcha las partes del sistema que la refuerzan.

Tener el mejor mecanismo de password del mundo es inútil si los usuarios creen que la última parte del nombre de su login es un buen password! La seguridad esta relacionada con una política (o conjunto de políticas/normas) y el funcionamiento del sistema conforme a dicha política.

VULNERABILIDADES SUPERIORES QUE AFECTAN TODOS LOS SISTEMAS (G)

G1 - El defecto instala de sistemas operativos y de usos

Descripción

Las escrituras instalan típicamente más componentes que la mayoría de los usuarios necesitan

Crea muchas de las vulnerabilidades más peligrosas de la seguridad porque los usuarios no mantienen activamente componentes de software del remiendo de la hormiga que no utilizan

Las instalaciones del defecto incluyen casi siempre servicios extraños y puertos abiertos correspondientes

Sistemas afectados

La mayoría de los sistemas operativos y de los usos. Tenga presente que casi todas las extensiones de tercera persona del web server vienen con los archivos de la muestra, muchos de los cuales son extremadamente peligrosos

Determinarse si usted es vulnerable

Y si usted no ha quitado servicios innecesarios e instalado todos los remiendos de la seguridad

Si usted se realizó la configuración adicional

Cómo proteger

Quite el software innecesario

cierre los puertos extraños

la instalación solamente de las características mínimas necesitadas para que el sistema funcione con eficacia

G2 - Cuentas sin contraseñas o contraseñas débiles

Descripción

La mayoría de los sistemas se configuran para utilizar contraseñas como el primer, y solamente, línea de defensa

. En la práctica todas las cuentas con contraseñas débiles, contraseñas del defecto, y ningunas contraseñas se deben quitar de su sistema

Determinarse si usted es vulnerable

Revise las cuentas en sus sistemas y cree una lista principal

Desarrolle los procedimientos para agregar cuentas autorizadas a la lista

Valide la lista sobre una base regular

Funcione una herramienta que se agrieta de la contraseña contra las cuentas que buscan débil o ningunas contraseñas

Tenga procedimientos rígidos para quitar cuentas cuando los empleados o los contratistas se van

Cómo proteger contra él

En el primer paso todas las cuentas sin contraseña se dan una contraseña o se quitan, y se consolidan las contraseñas débiles.

Use los programas de computadora:

Para UNIX: Npasswd

Para Windows NT: Passfilt

G3 Reservas inexistentes o incompletas

Descripción

Cuando ocurre un incidente (y ocurrirá en casi cada organización), la recuperación del incidente requiere reservas actualizadas y métodos probados de restaurar los datos.

Algunas organizaciones hacen reservas diarias, pero nunca verifican que las reservas están trabajando realmente.

Otros construyen políticas y procedimientos de reserva, pero no crean políticas y procedimientos de la restauración

Un segundo problema que implica reservas es protección física escasa del medio de reserva.

Las reservas contienen la misma información sensible que está residiendo en el servidor, y se deben proteger de manera semejante

Determinarse si usted es vulnerable

Un inventario de todos los sistemas críticos debe ser identificado.

Entonces un análisis del riesgo debe ser realizado identificando cuáles es el riesgo y la amenaza correspondiente para cada sistema crítico.

Las políticas y los procedimientos de reserva deben tras claramente a estos servidores dominantes

lo que sigue debe ser validado

Cómo protegerse contra él

Las reservas se deben hacer por lo menos diariamente.

El requisito mínimo en la mayoría de las organizaciones es realizar reservas semanales e incrementales de reserva completas cada día.

Por lo menos una vez al mes que los medios de reserva deben son verificados haciendo un restore a un servidor de la prueba para considerar que los datos se están sosteniendo realmente exactamente

G4 - Número grande de puertos abiertos

Descripción

Ambos usuarios y atacantes legítimos conectan con los sistemas vía puertos abiertos.

Más puertos es abierto las maneras más posibles que alguien puede conectar con su sistema.

Por lo tanto, es importante guardar el menos número de los puertos abiertos en un sistema necesario para él para funcionar correctamente.

El resto de los puertos deben ser cerrados

Determinarse si usted es vulnerable

El comando del netstat se puede funcionar localmente para determinarse qué puertos están abiertos

es funcionar un explorador portuario externo contra sus sistemas

Si los resultados del netstat diferencian de los resultados de exploración portuarios, usted debe investigar por qué. Una vez que las dos listas convengan, pase a través de la lista y valide porqué cada puerto está abierto, y qué está funcionando en cada puerto

Use Exploradores Portuarios:

El más popular es nmap para NT.

La versión de Unix del nmap

Proteger contra él

Identificar el subconjunto mínimo de los puertos que deben seguir siendo abiertos para su sistema a la función con eficacia - entonces cierre el resto de los puertos. Para cerrar un puerto, encuentre el servicio correspondiente y déle vuelta off/remove él

Para UNIX quitar un servicio de inetd.conf, entonces recomenzando inted, para el puerto de ser abierto. Otros servicios se comienzan vía las escrituras funcionadas en el tiempo del cargador

Consulte la documentación de su sistema en cómo inhabilitar estas escrituras, como los detalles varían entre las versiones de Unix

Para Windows NT y Windows 2000, un programa llamado fport se puede utilizar para intentar determinarse qué service/program está escuchando en cierto puerto.

En Windows XP, usted puede determinarse qué programa está escuchando en un puerto funcionando el comando del netstat con - interruptor o

G5 - Paquetes de filtración para las direcciones entrantes y salientes correctas

Descripción

Las direcciones del IP de Spoofing son un método común usado por los atacantes para ocultar sus pistas cuando atacan a víctima

La ejecución de la filtración en el tráfico que viene en su red (ingreso que se filtra) y que sale (salida que se filtra) puede ayudar a proporcionar un alto nivel de la protección

Las reglas de filtración

Ningún paquete que viene en su red no debe tener una dirección de la fuente de su red interna

Cualquier paquete que viene en su red debe tener una dirección de destinación de su red interna

Cualquier paquete que sale de su red debe tener una dirección de la fuente de su red interna

Ningún paquete que sale de su red no debe tener una dirección de destinación de su red interna.

Ningún paquete que viene en su red o que sale de su red no debe tener una fuente o una dirección de destinación de una dirección privada o una dirección enumerada en espacio reservado RFC1918. Éstos incluyen 10.x.x.x/8, 172.16.x.x/12 o 192.168.x.x/16 y la red 127,0,0,0/8 del loopback.

Bloquee cualquier paquete encaminado fuente o cualesquiera paquetes con el sistema del campo de las opciones del IP

Determinarse si usted es vulnerable

Intente enviar a spoofed el paquete y ven si su cortafuego o rebajadora externo lo bloquea. No solamente su dispositivo bloquea el tráfico, solamente debe también producir un expediente en la demostración del registro que spoofed los paquetes se han caído

Cerciórese de que su sistema de registración pueda manejar una carga pesada, si no podría ser vulnerable a un ataque del DOS

Protegerse contra él

Para Cisco:

1. filtración de entrada o del ingreso

2. filtración de salida o de la salida

G6 Registración inexistente o incompleta

Descripción

La registración se debe hacer sobre una base regular en todos los sistemas dominantes, y los registros deben ser archivados y ser sostenidos porque usted nunca sabe cuándo usted puede ser que los necesite.

La mayoría de los expertos recomiendan el enviar de todos sus registros a un servidor central del registro que escriba los datos a los medios de un escribir una vez, de modo que el atacante no pueda sobreescribir los registros y evitar la detección

Determinarse si usted es vulnerable

Repase los registros de sistema para cada sistema importante.

Si usted no tiene registros, o si centralmente no se almacenan y no se sostienen, usted es vulnerable

Proteger contra él

Instalado todos los sistemas para registrar la información localmente, y para enviar los ficheros de diario a un sistema alejado.Esto proporciona redundancia y una capa adicional de seguridad.

Ahora los dos registros se pueden comparar contra uno otro. Cualquier diferencia podía indicar actividad sospechosa en el sistema.

Además, esto permite la comprobación cruzada de los ficheros de diario.

Una línea en un fichero de diario en un solo servidor no puede ser sospechosa, pero la misma entrada en 50 servidores a través de una organización dentro de un minuto de uno a, puede ser una muestra de un problema importante

G7 - Programas Vulnerables del Cgi

Descripción

En hecho, la mayoría de los servidores de la red se entregan (y están instalados) con programas del cgi de la muestra. Desafortunadamente, muchos programadores del cgi no pueden también considerar que sus programas proporcionan un acoplamiento directo de cualquier usuario dondequiera en el Internet directamente al sistema operativo de la computadora que funciona el web server

Los programas vulnerables del cgi presentan una blanco particularmente atractiva a los intrusos porque son relativamente fáciles de localizar y de funcionar con los privilegios y la energía del software del web server sí mismo.

Si usted es vulnerable

Si usted tiene cualquier código de la muestra en su web server, usted es vulnerable. Si usted tiene programas legítimos del cgi, asegúrele están funcionando la versión más última, y después funcionan una herramienta de la exploración de la vulnerabilidad contra su sitio. Simulando un qué atacante haría, usted será preparado para proteger sus sistemas. Para encontrar las escrituras vulnerables del cgi, usted puede utilizar un explorador del cgi llamado la barba

Proteger contra él

Quite todos los programas del cgi de la muestra de su web server de la producción.

Revise las escrituras restantes del cgi y quite las escrituras inseguras del cgi de todos los servidores de la red.

Asegure a todos los programadores del cgi adhieren a una política terminante de la longitud del almacenador intermediario de la entrada que comprueban en programas del cgi.

Aplique los remiendos para las vulnerabilidades sabidas que no pueden ser quitadas.

Cerciórese de que su directorio del compartimiento del cgi no incluya a ningunos recopiladores o intérpretes.

Quite la escritura de la "vista-fuente" del directorio del cgi-compartimiento.

No funcione sus servidores de la red con privilegios del administrador o de la raíz. La mayoría de los servidores de la red se pueden configurar para funcionar con una cuenta menos privilegiada tal como "nadie."

No configure la ayuda del cgi en los servidores de la red que no la necesitan

REMATE LAS VULNERABILIDADES A LOS SISTEMAS DE WINDOWS (W)

W1 - Vulnerabilidad De Unicode (Carpeta Traversal Del Web server)

Descripción

Proporciona un número único para cada carácter, no importa qué la plataforma, no importa qué el programa, no importa qué la lengua.

El estándar de Unicode ha sido adoptado por la mayoría de los vendedores, incluyendo Microsoft.

Cómo determinarse si usted es vulnerable

Si usted está funcionando una versión un-remendada de IIS, usted es probablemente vulnerable. La mejor manera de decir si usted es vulnerable es funcionar el hfnetchk. Hfnetchk es una herramienta diseñada para los administradores para utilizar verificar el nivel del remiendo en un o vario sistemas y trabajos a través de una red

Usted puede probar un sistema temporalmente creando un directorio que tenga ejecutar permisos, o usando otro directorio que tenga ejecutar permisos, en vez del directorio de las escrituras en la hazaña

Cómo proteger contra él

Para defender contra esta hazaña, usted debe instalar los remiendos más últimos de Microsoft

La vulnerabilidad traversal del directorio de Unicode fue fijada en las actualizaciones siguientes:

Q269862 - Ms00-057

Q269862 - Ms00-078

Q277873 - Ms00-086

Q293826 - Ms01-026

Q301625 - Ms01-044

Paquete 2 Del Servicio De Windows 2000

Si no se instala ningunos de ésos, el sistema es vulnerable a esta edición

La herramienta de IIS Lockdown y la exploración del URL también protegerán contra esta vulnerabilidad. La herramienta de IIS Lockdown se diseña para ayudar a administradores a trabarse abajo de un servidor de IIS

URLScan es un filtro que filtrará hacia fuera muchas peticiones del HTTP

W2 - El Almacenador intermediario De la Extensión de ISAPI Desborda

Descripcion

IIS es el software del web server encontrado en la mayoría de los sitios de la red desplegados del NT de Microsoft Windows y Windows 2000 servidores

Cuando IIS está instalado, varias extensiones de ISAPI están instaladas automáticamente. ISAPI, que está parado para el interfaz de programación de uso de los servicios del Internet, permite que los reveladores amplíen las capacidades de un servidor de IIS usando DLLs. varios del DLLs, como idq.dll, contiene los errores de programación que los hacen hacer la comprobación incorrecta de los límites del error

En detalle, no bloquean inaceptable secuencias largas de la entrada

Cómo determinarse si usted es vulnerable

Si su web server no tiene por lo menos paquete 2 del servicio instalado, usted es probablemente vulnerable

Los remiendos siguientes incluyen el arreglo para el desbordamiento del almacenador intermediario del printer

Q296576 - Ms01-023

Q300972 - Ms01-033

Q301625 - Ms01-044

Windows 2000 SP2

Q299444 - El Paquete Del Roll-up De la Seguridad De Windows NT 4,0

Los remiendos siguientes incluyen el arreglo para el desbordamiento del almacenador intermediario de idq.dll

Q300972 - Ms01-033

· Q301625 - Ms01-044

· El Paquete Del Roll-up De la Seguridad De Windows NT 4,0

Cómo proteger contra él

Instale los remiendos más últimos de Microsoft

Compruebe sobre una base regular que las extensiones no re-mapped

sus sistemas debe funcionar el menos número de los servicios necesitados para que funcionen correctamente

URLScan es un filtro que filtrará hacia fuera muchas peticiones del HTTP. Por ejemplo, puede ser utilizado para filtrar las peticiones que contienen caracteres codificados UTF8

W3 - hazaña de IIS RDS (servicios alejados de los datos de Microsoft)

Descripción

El IIS es el software del web server encontrado en la mayoría de los sitios de la red desplegados en NT 4,0 de Microsoft Windows.

Los usuarios malévolos explotan defectos de programación en los servicios alejados de los datos de IIS (RDS) para funcionar comandos alejados con privilegios del administrador

Cómo determinarse si usted es vulnerable

Si usted está funcionando un sistema un-remendado, usted es vulnerable

Cómo proteger contra él

Alternativomente, usted puede prevenir este problema aumentando a una versión de MDAC mayor de 2,1

W4 - NETBIOS - Partes desprotegidas del establecimiento de una red de Windows

Descripción

El protocolo del bloque del mensaje del servidor (SMB), también conocido como el sistema de ficheros común del Internet (CIFS), permite el archivo que comparte redes excesivas

La configuración incorrecta puede exponer ficheros del sistema críticos o da el acceso completo del sistema de ficheros a cualquier partido hostil conectado con el Internet

Permitir el archivo que comparte en las máquinas de Windows las hace vulnerables al hurto de la información y a ciertos tipos de virus de ra'pido-mudanza

Los mecanismos de SMB que permiten compartir del archivo de Windows se pueden también utilizar por los atacantes para obtener la información sensible del sistema de los sistemas de Windows

La información del usuario y del grupo

la información del sistema, y ciertas llaves del registro se pueden todos alcanzar vía una conexión de la "sesión nula" al servicio de sesión de NetBIOS

Determinarse si usted es vulnerable

Chasque el icono de "ShieldsUP" para recibir una valoración en tiempo real de la exposición de SMB de cualquier sistema

Observe que si usted está conectado sobre una red donde un poco de dispositivo intermedio bloquea SMB, la herramienta de ShieldsUP divulgará que usted no es vulnerable cuando, en hecho, usted está

Cómo proteger contra él

Tome las medidas siguientes para defender contra partes desprotegidas:

Al compartir datos, asegure solamente los directorios requeridos se comparten.

Para la seguridad agregada, permita el compartir solamente a las direcciones específicas del IP porque los nombres del DNS pueden ser spoofed.

Para los sistemas de Windows (NT y 2000), permiso del sistema de ficheros del uso de asegurarse de que los permisos en los directorios compartidos permitan el acceso solamente a esa gente que requiera el acceso.

Para los sistemas de Windows, prevenga la enumeración anónima de usuarios, de grupos, de la configuración de sistema y de las llaves del registro vía la conexión de la "sesión nula". Vea el artículo W5 para más información

Bloquee las conexiones de entrada al servicio de sesión de NetBIOS (tcp 139) y a Microsoft CIFS (TCP/UDP 445) en la rebajadora o el anfitrión.

Considere el poner de la llave del registro en ejecucio'n de RestrictAnonymous para los anfitriones Internet-conectados en ambientes independientes o no-confiados en del dominio

W5 - salida de la información vía conexiones de sesión nulas

Descripción

Una conexión de sesión nula, también conocida como conexión anónima, es un mecanismo que permite que un usuario anónimo recupere la información (tal como nombres y partes del usuario) sobre la red, o conectar sin la autentificación.

Es utilizada por usos tales como explorer.exe para enumerar partes en los servidores alejados.

En Windows NT y Windows 2000 sistemas, funcionamiento local de muchos servicios bajo cuenta del SISTEMA, conocida como LocalSystem en Windows 2000.

La cuenta del SISTEMA se utiliza para las varias operaciones de sistema críticas. Cuando una máquina necesita recuperar datos del sistema de otra, la cuenta del SISTEMA abrirá una sesión nula en la otra máquina.

La cuenta del SISTEMA tiene privilegios virtualmente ilimitados

Cómo determinarse si usted es vulnerable

Intente conectar con su sistema vía una sesión nula usando el comando siguiente:

"/usuario del uso \\a.b.c.d\ip neto ": ""
(donde está el IP ADDRESS a.b.c.d del sistema alejado.)

Si usted recibe una respuesta fallada "conexión", entonces su sistema no es vulnerable. Si se vuelve ninguna contestación que los medios que el comando era acertado y su sistema es vulnerable

La "caza para el NT" puede también ser utilizada

Cómo proteger contra él

Los reguladores del dominio requieren sesiones nulas comunicarse. Por lo tanto, si usted está trabajando en un ambiente del dominio, usted puede reducir al mínimo la información que los atacantes pueden obtener, pero usted no puede parar toda la salida. Limitar la información disponible para los atacantes, en una máquina de Windows NT 4,0, modifica la llave siguiente del registro:

HKLM/System/CurrentControlSet/Control/LSA/RestrictAnonymous=1

Siempre que usted modifique el registro, podría hacer su sistema parar el trabajar correctamente

También, el sistema se debe sostener siempre para simplificar la recuperación. Si usted no necesita el archivo y no imprime compartir, unbind NetBIOS de TCP/IP.

Los usuarios del Internet deben nunca ser permitidos tener acceso al cualquier regulador interno del dominio o a la otra computadora construida no específicamente para el acceso externo. Para parar tal acceso, bloquee los puertos siguientes en la rebajadora o el cortafuego externa:

Tcp y UDP 135 through139 y 445

W6 - Hashing débil en SAM (picadillo del LM)

Descripcion

Microsoft almacena hashes de la contraseña del encargado de LAN, por defecto, en Windows NT y 2000 sistemas

Puesto que el encargado de LAN utiliza un esquema mucho más débil del cifrado que los acercamientos más actuales de Microsoft, las contraseñas del encargado de LAN se pueden romper en un período del tiempo muy corto. Incluso los hashes fuertes de la contraseña se pueden agrietar adentro bajo mes

Las debilidades de los hashes del encargado de LAN

La contraseña truncó a 14 caracteres

Contraseña rellenada con los espacios para hacer 14 caracteres

La contraseña convirtió a todos los caracteres mayúsculos

La contraseña partió en dos siete pedazos del carácter

Esto significa que un programa que se agrieta de la contraseña tiene que agrietar solamente dos contraseñas del siete-cara'cter sin letras minúsculas de prueba uniformes. Además, el encargado de LAN es vulnerable a escuchar detras de las puertas de los hashes de la contraseña. El escuchar detras de las puertas puede proveer de atacantes contraseñas del usuario

cómo determinarse si usted es vulnerable

Si usted está funcionando una instalación del defecto de el NT o 2000

Usted puede (si usted tiene permiso escrito específico de su patrón) probar la facilidad de la contraseña que se agrieta en sus propios sistemas usando una herramienta que se agrieta automatizada de la contraseña como LC3

cómo proteger contra él

La protección contra agrietarse de la contraseña del LMHash se puede hacer dos maneras:

El primer debe inhabilitar la autentificación del LAN Manger a través de la red y utilizar NTLMv2. NTLMv2 (métodos de la versión del NT LanManager 2) challenge/response superados la mayoría de las debilidades en el encargado de Lan (LM) usando un cifrado más fuerte y mejoró mecanismos de la seguridad de la autentificación y de la sesión

Planear cuidadosamente los cambios si usted tiene aún así más viejos sistemas, tales como Windows 95, en su red. Más viejos sistemas no utilizarán NTLMv2 con el cliente de la red de Microsoft

En el menú del corregir en RegEdt32 o RegEdit el tecleo agrega llave... y agregue una llave llamada NoLMHash. Después de hacer esto, pare el redactor del registro y reanude la computadora

VULNERABILIDADES SUPERIORES A LOS SISTEMAS DE UNIX (U)

U1 - El almacenador intermediario desborda en servicios del RPC

Descripción

Las llamadas alejadas del procedimiento (RPCs) permiten que los programas sobre una computadora ejecuten programas sobre una segunda computadora

Se utilizan extensamente a los servicios de red de acceso tales como archivo del NFS que comparte y las vulnerabilidades de NIS Multiple causadas por los defectos en el RPC se están explotando activamente

Cómo determinarse si usted es vulnerable

Compruebe para ver si usted está funcionando uno de los tres servicios del RPC que se explotan lo más comúnmente posible:

rpc.ttdbserverd

rpc.cmsd

rpc.statd

Estos servicios se explotan comúnmente con los ataques del desbordamiento del almacenador intermediario que son acertados porque los programas del RPC no hacen el repaso de las faltas apropiado.

Una vulnerabilidad del desbordamiento del almacenador intermediario permite que un atacante envíe los datos que el programa no está esperando, y porque el programa hace el repaso de las faltas pobre, pasa los datos encendido para procesar

Cómo proteger contra él

Utilice los pasos siguientes para proteger sus sistemas contra ataques del RPC:

1. Donde sea posible, dé vuelta apagado y/o quite a estos servicios en las máquinas directamente accesibles del Internet.

2. Donde usted debe funcionarlas, instale los remiendos más últimos:

Para Los Remiendos Del Software De Solaris

Para El Software de la IBM AIX

Para Los Remiendos Del Software del Sgi

Para Los Remiendos De Compaq (Digital Unix)

3. Busque regularmente la base de datos del remiendo del vendedor para remiendos nuevos e instálelos enseguida

4. Bloquee el puerto del RPC (puerto 111) en la rebajadora o el cortafuego de la frontera.

5. Bloquee los puertos del "loopback" del RPC, 32770-32789 (TCP y UDP)

U2 - Vulnerabilidades De Sendmail

Descripcion

Sendmail es el programa que envía, recibe, y remite la mayoría del correo electrónico procesado en UNIX y las computadoras de Linux. El uso extenso de Sendmail en el Internet le hace una blanco primera de atacantes

En una de las hazañas más comunes, el atacante envía un mensaje hecho a mano del correo a la máquina que funciona Sendmail, y Sendmail lee el mensaje mientras que las instrucciones que requieren la máquina de la víctima enviar su archivo de la contraseña a la máquina del atacante (o a otra víctima) donde las contraseñas pueden ser agrietadas

Cómo determinarse si usted es vulnerable

Sendmail tiene una gran cantidad de vulnerabilidades y debe ser puesto al día y ser remendado regularmente. Compruebe para ver cuáles es la versión y el nivel más últimos del remiendo para el sendmail; si usted no lo está funcionando, usted es probablemente vulnerable

Cómo proteger contra él

Las medidas siguientes se deben tomar para proteger el sendmail:

Mejora a la versión más última de Sendmail y/o de los remiendos del instrumento para el sendmail.

No funcione Sendmail en modo del demonio (dé vuelta apagado - al interruptor del bd) en las máquinas que son ni servidores del correo ni relais del correo.

U3 - Ate Las Debilidades

Descripcion

El paquete del Berkeley Internet Name Domain (LAZO) es la puesta en práctica lo más extensamente posible usada del servicio del Domain Name (DNS) -- los medios críticos por los cuales todos localizamos sistemas en el Internet por nombre (e.g., www.sans.org) sin tener que saber direcciones específicas del IP -- y esto le hace una blanco preferida para el ataque

Cómo determinarse si usted es vulnerable

Funcione un explorador de la vulnerabilidad, compruebe la versión del LAZO, o compruebe manualmente los archivos para ver si son vulnerables. Si en duda, yerre en el lado de la precaución, y aumente el sistema

Cómo proteger contra él

Las medidas siguientes se deben tomar para defender contra las vulnerabilidades del LAZO:

Inhabilite a demonio del nombre del LAZO (llamado "nombrado") en todos los sistemas que no se autoricen para ser servidores del DNS. Algunos expertos le recomiendan también quitan el software del DNS.

En las máquinas que son los servidores autorizados del DNS, actualización a la versión y al nivel más últimos del remiendo.

Funcione el LAZO como usuario sin privilegios para la protección en el acontecimiento de los ataques futuros del alejado-compromiso. (sin embargo, solamente los procesos que funcionan como la raíz se puede configurar para utilizar puertos debajo de 1024 - un requisito para DNS. Therefore usted debe configurar LAZO para cambiar la identificación del usuario después de atar al puerto.)

El LAZO del funcionamiento en a chroot()ed la estructura del directorio para la protección en el acontecimiento de los ataques futuros del alejado-compromiso.

Inhabilite las transferencias de la zona excepto de los anfitriones autorizados.

Inhabilite la repetición y el pegamento que traen, para defender contra el envenenamiento del escondrijo del DNS.

Oculte su secuencia de la versión

U4 - R Ordena

Descrpción

Las relaciones de la confianza se utilizan extensamente en el mundo de UNIX, particularmente para la administración del sistema. Las compañías asignan con frecuencia a solo administrador para ser responsables de docenas o aún de centenares de sistemas

De los administradores relaciones de la confianza del uso a menudo y los comandos relacionados de UNIX r de cambiar de sistema al sistema convenientemente. los comandos de r permiten alguien tener acceso a un sistema alejado sin proveer una contraseña

En vez de requerir una combinación de username/password, la máquina remota authentica cualquier persona que viene de direcciones confiadas en de un IP

Cómo proteger contra él

No permita las relaciones IP-basadas de la confianza, y no utilice los comandos de r. La autentificación basada en direcciones del IP es demasiado fácil de puentear.

La autentificación se debe basar en medios más seguros tales como símbolo o, en lo más menos posible, contraseñas. Si se requieren los comandos de r, limite el acceso, y controle el perímetro de la red extremadamente cuidadosamente.

Nunca permita el archivo de los "rhosts" en la cuenta de la "raíz".

Usted puede utilizar el comando del "hallazgo" de Unix de buscar regularmente cualquier archivo de los "rhosts" que se pudo haber creado en otras cuentas del usuario

U5 - LPD (demonio alejado del protocolo de la impresión)

Descripción

En Unix, el in.lpd proporciona los servicios para los usuarios para obrar recíprocamente con la impresora local. LPD escucha peticiones en el puerto 515 del TCP.

Los programadores que desarrollaron el código que transfiere trabajos de impresión a partir de una máquina a otra hicieron un error que crea una vulnerabilidad del desbordamiento del almacenador intermediario.

Si dan el demonio también muchos trabajos dentro de un intervalo corto del tiempo, el demonio se estrellará o funcionará código arbitrario con privilegios elevados

Cómo determinarse si usted es vulnerable

Un explorador de la vulnerabilidad se puede funcionar contra su sistema para buscar esta vulnerabilidad, o un cheque manual puede ser funcionado. La manera más fácil de funcionar un cheque manual es considerar si su sistema está funcionando LPD y comprobar el número de versión.

Si usted está funcionando una de las versiones vulnerables del software, y no ha aplicado un remiendo, entonces usted es vulnerable

Cómo proteger contra él

En la época mala, otras opciones para defender contra los ataques que usan esta vulnerabilidad incluyen:

Inhabilite en/etc/inetd.conf del servicio de la impresión si la dirección alejada del trabajo de impresión es innecesaria.

Permita el noexec_user_stack, armonioso agregando las líneas siguientes al archivo / etc/system, y al reboot:

· fije el noexec_user_stack = 1

· fije el noexec_user_stack_log = 1

Bloquee el acceso al puerto 515/tcp de la red

Despliegue los tcpwrappers , de los cuales es parte del paquete tcpd-7.

U6 - Sadmind y Mountd

Descripción

Sadmind permite el acceso alejado de la administración a los sistemas de Solaris, proporcionando un interfaz utilizador gráfico para las funciones de la administración del sistema. Mountd controla y arbitra el acceso a los montajes del NFS en los anfitriones de UNIX. El almacenador intermediario desborda en estos usos, permitidos por los errores de programación hechos por los reveladores del software, se puede explotar para permitir que los atacantes ganen control con el acceso de la raíz

Cómo determinarse si usted es vulnerable

Utilice un explorador de la vulnerabilidad para ver si estos servicios están funcionando y si son vulnerables al ataque

Cómo proteger contra él

Las acciones siguientes protegerán contra vulnerabilidades del NFS, incluyendo sadmind y mountd:

Donde sea posible, dé vuelta apagado y/o quite al sadmind y al mountd en las máquinas directamente accesibles del Internet.

Instale los remiendos más últimos:

El Software de la IBM AIX

Los Remiendos Del Software del Sgi

Los Remiendos De Compaq (Digital Unix)

Utilice las listas de exportación basadas host/ip

Setup los sistemas de ficheros de la exportación para inalterable o ningún suid donde siempre posible

Utilice el nfsbug para explorar para las vulnerabilidades

U7 - Omita Las Secuencias del SNMP

Descripcion

El Simple Network Management Protocol (SNMP) es utilizado extensamente por los administradores de la red para supervisar y para administrar todos los tipos de dispositivos red-conectados que se extienden de las rebajadoras a las impresoras a las computadoras. El SNMP utiliza una "secuencia unencrypted de la comunidad" como su solamente mecanismo de la autentificación. La carencia del cifrado es bastante mala, pero la secuencia de la comunidad del defecto usada por la mayoría extensa de dispositivos del SNMP es "público", con algunos vendedores "listos" del equipo de la red cambiando la secuencia a "privado" para una información más sensible.

Cómo determinarse si usted es vulnerable

Compruebe para ver si usted tiene SNMP el funcionar en sus dispositivos. Si usted , comprobar la configuración archiva para las vulnerabilidades comunes:

Defecto o nombres en blanco de la comunidad del SNMP

Nombres de la comunidad del SNMP de Guessable

Secuencias ocultadas de la comunidad del SNMP

Cómo proteger contra él

Los pasos siguientes ayudarán a defender contra hazañas del SNMP:

Si usted no requiere absolutamente el SNMP, inhabilítelo.

Si usted debe utilizar el SNMP, utilice la misma política para los nombres de la comunidad según lo utilizado para las contraseñas. Cerciórese de que sean difíciles de conjeturar o grieta, y eso están cambiadas periódicamente.

Valide y compruebe los nombres de la comunidad usando el snmpwalk. La información adicional se puede encontrar en:

Filtre SNMP (puerto 161/UDP) en la frontera-rebajadora o el cortafuego a menos que sea absolutamente necesario votar o manejar los dispositivos fuera de la red local.

En lo posible haga que MIBs lee solamente.

ATAQUES

Ataques comunes en Java

Ataques Comunes:

Robo de información

Destrucción de información

Robo de recursos

Denegación de servicio

Enmascaramiento

Engaño

Otros ataques:

Modificación o alteración de un sistema o sus recursos.

Denegación del uso legítimo de los recursos de la máquina.

Ataques a la intimidad del individuo.

Mera molestia.

Tipos de Agujeros

Agujeros de seguridad físicos

Agujeros de Seguridad en el Software

Agujeros de Seguridad por Incompatibilidades

Agujeros de seguridad físicos

Cuando el problema potencial, es debido al hecho de dar a personas, sin autorización, acceso físico a la máquina, siempre que esto les permita realizar cosas que no deberían ser capaces de hacer

Agujeros de Seguridad en el Software.

Es cuando el problema está causado por una mala escritura de partes "privilegiadas" de software (daemons, cronjobs) que pueden estar comprometidos a realizar tareas que no deberían.

Recomendaciones por Nuevos agujeros

Tratar de estructurar el sistema de forma que el menor software posible con privilegios root/daemon/bin corra en la máquina, y que el que lo haga sea robusto con toda seguridad.

Cuando se instala/actualiza un sistema, tratar de instalar/habilitar solo aquellos paquetes de software cuya necesidad sea inmediata o previsible. Muchos paquetes incluyen daemons o utilidades que pueden revelar información a extraños

Agujeros de Seguridad por Incompatibilidades.

SISTEMA DE ENCONTRAR Y SOLUCIONAR LOS AGUJEROS EN LA SEGURIDAD DE LA RED

Encontrar los agujeros de seguridad que un hacker utilizaría para penetrar en su red

Encontrar agujeros en la seguridad que son creados con los cambios en la red

Estar siempre protegido y actualizado contra las últimas amenazas a la seguridad de los sistemas

Cerrar el círculo de la seguridad en la red

Riesgos

Intimidad y confidencialidad	Si no se adoptan medidas de seguridad, las transferencias de datos viajan abiertas a través de Internet, lo cual abre la posibilidad de que se coloquen "sniffers" a la puerta de un servidor donde se realicen operaciones financieras, y se obtenga información sobre cuentas, tarjetas de crédito y passwords.
Integridad de los datos	Los datos de una operación pueden ser modificados en el momento de ser transferidos, o mientras se hallan almacenados en un sistema informático.
Autentificación	A partir de una serie de técnicas como el "IP spoofing", un usuario de Internet puede ocultar su identidad o asumir la de otro. Ello es contrario a la necesidad de verificar la legitimación de cada parte para intervenir en una operación financiera.
No repudio	Si no existen medios para demostrar la intervención de las partes en una transacción electrónica, se genera el riesgo de que cualquiera de ellas pueda rechazar los cargos que se deriven del negocio subyacente, o simplemente se niegue la participación en el mismo.
Arquitectura y diseño del sistema	La arquitectura abierta de Internet permite ataques contra la seguridad del sistema desde cualquier parte del mundo, utilizando servidores intermedios que permiten ocultar el origen real de la acción. Junto a los protocolos de simple lectura existen otros que permite modificar o destruir la información financiera que se suministra al público. En otros casos, se puede generar un número de solicitudes de información tan alto, que provoca la caída del sistema.
Programas de búsqueda de fisuras	Existen programas que permiten localizar los puntos débiles de la seguridad de un servidor. Aunque su utilidad esencial es preventiva, ello no impide que sean utilizados con mala fe, para lanzar ataques contra el sistema.
Control de acceso	Los passwords de acceso pueden ser obtenidos mediante "spoofing", dirigiendo a los usuarios de una entidad financiera a otro web en el que se ha instalado una réplica del original, de manera que se pueda monitorizar la entrada de los datos identificativos. También pueden producirse ataques por fuerza bruta, mediante programas que generen passwords repetitivamente. También pueden obtenerse paswwords con "sniffers" y a través de la memoria caché.
Agujeros de seguridad	Cuando se localiza un fallo de seguridad en un sistema operativo, navegador, firewall, o cualquier otro elemento del sistema, se produce una inmediata difusión a través de Internet, lo cual permite alertar a los administradores del servidor, pero también ofrece la posibilidad de que se produzca un ataque antes de subsanar el problema.
Contenidos activos	Los nuevos lenguajes permiten generar contenidos activos que se instalan en un ordenador y pueden llegar a ejecutar tareas en contra de su voluntad, e incluso, sin su conocimiento. Un ejemplo de ello sería un control que permitiese obtener las claves de acceso de un usuario y enviarlas a otro usuario de Internet.
Virus y programas maliciosos	Estos sistemas de sabotaje afectan a la integridad de los datos y a la seguridad del sistema, y su potencial ha aumentado gracias a las posibilidades de difusión que ofrece Internet.

Medidas de seguridad

Técnicas de cifrado	En este punto el FDIC recomienda a las entidades financieras el uso de técnicas de cifrado, y explica la diferencia entre claves simétricas y claves asimétricas, pero no se pronuncia respecto a la longitud recomendada de la clave.
Firmas digitales	El FDIC recomienda el uso de la firma digital para autentificar la identidad de los participantes en una operación financiera, y evitar el repudio de la misma.
Autoridades de certificación	El informe del FDIC explica la función de las entidades de certificación como tercera parte confiable, encargada de verificar la identidad de los participantes en una transacción.
Arquitectura y diseño del sistema	El FDIC recomienda una total separación entre el servidor conectado a Internet y el sistema central de la entidad financiera. También recomienda la instalación del oportuno firewall, con un "screening router" entre éste y los otros servidores.
Firewalls	El informe establece recomendaciones específicas en la configuración de los firewalls, entre las que destacan el uso de interfaces separadas y direcciones IP diferentes, respecto a las redes internas y las externas, así como la comparación histórica entre las direcciones IP de los logs, con el fin de detectar desviaciones del contexto normal, que ayuden a detectar ataques "spoofing".
Control de acceso	En este área, el informe recomienda: - la educación del usuario en el uso de los passwords - passwords de un solo uso. - la introducción de "tokens" para generar passwords de un solo uso - la utilización de tarjetas inteligentes - la posible utilización de identificadores biométricos
Agujeros de seguridad	Las recomendaciones en este caso son: - mantener un estrecho contacto con los desarrolladores para recibir los parches de forma inmediata. - suscribirse a servicios de alerta como el del CERT
Contenidos activos	Aunque el número de incidentes reportados es mínimo, el FDIC recomienda sensibilizar a los usuarios del sistema para que configuren los programas navegadores de manera que impidan la entrada de contenidos activos en su ordenador.
Virus y programas maliciosos	En este caso la recomendación es evidente: la aplicación de una política de prevención adecuada, que utilice sistemas anti-virus y otras medidas de protección de datos.

TIPOS DE AGUJEROS

Agujeros de seguridad físicos

Cuando el problema potencial, es debido al hecho de dar a personas, sin autorización, acceso físico a la máquina, siempre que esto les permita realizar cosas que no deberían ser capaces de hacer.

Agujeros de Seguridad en el Software.

Es cuando el problema está causado por una mala escritura de partes "privilegiadas" de software (daemons, cronjobs) que pueden estar comprometidos a realizar tareas que no deberían.

Nuevos agujeros como este aparecen todos los días, los mejores métodos para prevenirlos son:

Tratar de estructurar el sistema de forma que el menor software posible con privilegios root/daemon/bin corra en la máquina, y que el que lo haga sea robusto con toda seguridad.
Suscribirse a listas de correo para poder tener lo antes posible información con detalles acerca de problemas y/o parches, y actuar en cuanto esté disponible.
Cuando se instala/actualiza un sistema, tratar de instalar/habilitar solo aquellos paquetes de software cuya necesidad sea inmediata o previsible. Muchos paquetes incluyen daemons o utilidades que pueden revelar información a extraños. Por ejemplo, el paquete de contabilidad del Unix System V de AT&T incluye acctcom(1), que podría permitir (por omisión) a cualquier usuario el revisar los datos de las cuentas diarias de cualquier otro usuario. Muchos paquetes TCP/IP instalan/cargan automáticamente programas tales como rwhod, fingerd, y (ocasionalmente) tftpd, pudiendo todos ellos presentar problemas de seguridad.