Embed Size (px)
Citation preview
INFORME DE
VULNERABILIDADES
1º SEMESTRE 2011
1º Semestre 2011
Informe_Vulnerabilidades_2011_1semestre_rev.doc 2
El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es.
Informe_Vulnerabilidades_2011_1semestre_rev.doc 3
La presente publicación pertenece al Instituto Nacional de Tecnología de la Comunicación (INTECO) y esta bajo licencia Reconocimiento-No comercial 3.0 España de Creative Commons, y por ello estar permitido copiar, distribuir y comunicar públicamente esta obra bajo las condiciones siguientes: Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra. Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO.
http://creativecommons.org/licenses/by-nc-sa/3.0/es/ El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Así, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible
en la sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es
Informe_Vulnerabilidades_2011_1semestre_rev.doc 4
Contenido
ÍNDICE DE FIGURAS 5
1. INTRODUCCIÓN 6
2. VULNERABILIDADES 7
2.1. Nivel de severidad de las vulnerabilidades 7
2.2. Productos más afectados 8
2.3. Fabricantes más afectados 9
2.4. Vulnerabilidades más comunes según su tipo 10
2.4.1. Vulnerabilidad Error de búfer 11
2.5. Vulnerabilidades según el sistema operativo para pc 12
2.1. Vulnerabilidades por navegadores 13
3. BUENAS PRÁCTICAS 14
3.1. Copias de seguridad de datos 14
3.1.1. ¿De qué se puede hacer la copia? 14
3.1.2. Datos creados por el usuario, cuales son y donde están 15
3.1.3. Otros datos «personales» a tener en cuenta 15
3.1.4. ¿Cómo crear copias de seguridad? 16
Informe_Vulnerabilidades_2011_1semestre_rev.doc 5
ÍNDICE DE FIGURAS
Figura 1: Vulnerabilidades por nivel de riesgo. 7
Figura 2: Productos más afectados por las últimas vulnerabilidades. 8
Figura 3: Fabricantes más afectados por las últimas vulnerabilidades. 9
Figura 4: Vulnerabilidades más comunes por tipo. 10
Figura 5: Vulnerabilidades por sistema operativo para PC 12
Figura 6: Vulnerabilidades por navegador 13
Informe_Vulnerabilidades_2011_1semestre_rev.doc 6
1. INTRODUCCIÓN
Fruto del acuerdo de colaboración con el NIST (National Institute of Standards and
Technology), INTECO cuenta con un completo repositorio de casi 47500 vulnerabilidades
traducidas al castellano cuyo fin es informar y advertir a los usuarios sobre los fallos de
Seguridad existentes en los sistemas operativos, hardware y otro tipo de aplicaciones.
Con este informe se pretende mostrar un resumen de información de carácter general sobre
las vulnerabilidades aparecidas en el primer semestre de 2011, expresado en gráficas, para
ofrecer una visión global de la actividad generada durante el periodo de tiempo mencionado.
También es objetivo de este informe concienciar de la importancia de las actualizaciones de
seguridad en los sistemas para minimizar los riesgos provocados por las vulnerabilidades
como vectores de ataque del software malicioso actual.
Desde INTECO-CERT se tata de fomentar una cultura de Seguridad siguiendo unas
instrucciones básicas, que serán las que deban fundamentar esa Seguridad además de
crear en el usuario usa serie de hábitos para que, de forma natural, los utilice y mejore su
experiencia en Internet.
En cada informe se pretende resaltar los aspectos que se consideran oportunos con el fin de
aportar un valor especial al mismo. Además, se trata de difundir una serie de datos y de
interpretarlos así como de proporcionar los conocimientos necesarios acerca de esos
aspectos, siempre desde el objetivo de la prevención.
Los datos originales procesados en INTECO-CERT se obtienen de su buscador de
vulnerabilidades, que es la traducción al español de las vulnerabilidades que se publican en
el NIST.
Informe_Vulnerabilidades_2011_1semestre_rev.doc 7
2. VULNERABILIDADES
2.1. NIVEL DE SEVERIDAD DE LAS VULNERABILIDADES
La siguiente gráfica muestra el número de vulnerabilidades documentadas en
http://cert.inteco.es y su nivel de severidad a lo largo del semestre, periodo durante el cual
se emitieron un total de 2037. Los niveles de severidad de las vulnerabilidades publicadas
aparecen en la siguiente figura.
Figura 1: Vulnerabilidades por nivel de riesgo.
Según el gráfico anterior es posible observar que, durante todo el periodo analizado, las
vulnerabilidades que más aparecen son las correspondientes al nivel de gravedad alta y
media. Esto significa que ha sido un periodo, al menos, «preocupante» ya que estas
vulnerabilidades podrían provocar problemas en caso de que fueran explotadas, también se
podría deducir que las vulnerabilidades que más se reportan son las que corresponden a
estos niveles.
Informe_Vulnerabilidades_2011_1semestre_rev.doc 8
2.2. PRODUCTOS MÁS AFECTADOS
La siguiente figura muestra los productos más afectados por las vulnerabilidades del
trimestre. Nótese que sólo aparecen aquellos productos afectados por el mayor número de
nuevas vulnerabilidades.
Figura 2: Productos más afectados por las últimas vulnerabilidades.
En este semestre aparece Google Chrome en el primer puesto destacado (el siguiente,
webkit es la estructura base (Framework) que usan otros navegadores, entre ellos Chrome y
algunos navegadores para móviles).
Al igual que en el anterior semestre, los navegadores están en los primeros puestos, y eso
unido a que la mayor parte son multiplataforma hace que sean un «objetivo de primera»
para los ciberdelincuentes.
Insistimos en cada informe en la necesidad de las actualizaciones de seguridad, en este
caso, debemos insistir en la necesidad de tener actualizado nuestro navegador, como el
primer bastión de defensa ante las vulnerabilidades (por lo menos las resueltas) en nuestra
experiencia en Internet.
Informe_Vulnerabilidades_2011_1semestre_rev.doc 9
2.3. FABRICANTES MÁS AFECTADOS
La figura muestra los diez fabricantes más afectados por las vulnerabilidades detectadas
durante el trimestre.
Figura 3: Fabricantes más afectados por las últimas vulnerabilidades.
Al igual que el informe anterior, dentro de los fabricantes más afectados por las
vulnerabilidades aparece Microsoft como el primero, y al igual que en el informe anterior hay
que señalar que son los desarrolladores que más productos tienen en el mercado los que
más vulnerabilidades van a publicar, de esta forma los primeros puestos de este “TopTen” lo
ocupan compañías que tiene múltiples productos en el mercado: Microsoft, Cisco, Apple y
Adobe.
En este semestre aparece en segunda posición CISCO. Hay que pensar que la mayor parte
del negocio de CISCO se orienta a conectividad de redes a nivel muy técnico, y que sus
máquinas tienen su propio sistema operativo. Es por eso que estos dispositivos (bridges,
switchs, routers…) presentan vulnerabilidades, aunque estas vulnerabilidades pueda
parecer que no afectan al gran público, sino que solo a grandes empresas, hay que se
conscientes de que cualquier comunicación de datos que hagamos, pasará por alguna
máquina de CISCO en cualquier parte del mundo.
Informe_Vulnerabilidades_2011_1semestre_rev.doc 10
2.4. VULNERABILIDADES MÁS COMUNES SEGÚN SU TIPO
El siguiente gráfico muestra los tipos de vulnerabilidades más comunes registradas en el
semestre y la proporción que cada uno de ellos representa sobre el total de vulnerabilidades
registradas.
Figura 4: Vulnerabilidades más comunes por tipo.
En el gráfico aparece como más común el grupo «Otros». Esto es debido a que el proceso
de alta de vulnerabilidades consiste en varios pasos: reporte de las mismas, comprobación
de que efectivamente son ciertas, comprobación de qué productos le afectan, a qué son
debidas, etc., este proceso puede durar algo de tiempo, y en algunos casos es muy
complicado determinar el tipo de vulnerabilidad debido a que puede deberse a varios
factores, o a otros no contemplados en la clasificación actual, lo que produce que
normalmente sea el grupo mayor.
Informe_Vulnerabilidades_2011_1semestre_rev.doc 11
2.4.1. Vulnerabilidad Error de búfer
En este periodo, aparecen en primer lugar (por número) las vulnerabilidades referidas a
errores de búfer (CWE-119).
Un búfer es una zona de memoria que se emplea como “depósito” de datos parcial para unir
dos dispositivos con distintas velocidades de trabajo, con el objeto de mejorar el rendimiento
de los distintos dispositivos que lo usan, y que un dispositivo rápido, no tenga que esperar
por uno lento, o bien un dispositivo no se quede sin datos de entrada que procesar.
Hay dos tipos genéricos de errores de búfer:
- Desbordamiento de búfer (búfer overflow/overrun), es la situación que se produce
cuando un proceso escribe o lee datos fuera de la zona de búfer destinada a tal
efecto.
- Subdesbordamiento de búfer (búfer underflow/underrun). Es la situación que se
produce cuando la velocidad de entrada de los datos al búfer, es inferior a la
velocidad de procesamiento de la misma, con lo cual el búfer se vacía y se
procesarán datos nulos.
El tipo de error de búfer más frecuente en vulnerabilidades es el desbordamiento, no
obstante en ambos casos cuando se trata de explotar este tipo de vulnerabilidades se
intenta que el programa no funcione de forma adecuada, pudiendo provocar accesos a
información de memoria (fuga de información), modificación de la secuencia de ejecución de
un proceso, modificación de datos en tiempo de ejecución, caída de la aplicación incluso
ejecución de comandos.
La forma de prevenir este tipo de problema es aprovechar una característica de los
procesadores modernos de marcar zonas de memoria como protegidas, de forma que
cuando se produce un intento de acceso a una zona protegida se genera una excepción del
sistema que controlada de forma adecuada podría solucionar, o al menos controlar esta
situación.
Proteger zonas de memoria, el programador ha de indicar al sistema operativo las zonas
que ha de proteger en cada programa que se utilizará, lo que supone, además de una carga
de trabajo extra para los desarrollos, el problema del código heredado.
Informe_Vulnerabilidades_2011_1semestre_rev.doc 12
2.5. VULNERABILIDADES SEGÚN EL SISTEMA OPERATIVO PARA
PC
El siguiente gráfico muestra los datos correspondientes a los sistemas operativos
monitorizados debido al número de equipos que los utilizan.
Figura 5: Vulnerabilidades por sistema operativo para PC
El ranking de vulnerabilidades por sistema operativo durante este periodo es encabezado
por Windows y, por último, está Mac OS X. Este indicador se utiliza para analizar la
evolución a lo largo del tiempo ya que, de forma aislada, no se puede usar para afirmar que
un sistema operativo es más seguro que otro sin tener en cuenta la importancia de las
vulnerabilidades, el tiempo de resolución y el grado de explotación de las mismas. Estos
datos que son complicados de cruzar.
Este semestre se intercambian las dos primeras posiciones, manteniéndose el Mac como
tercero en ambos casos. En principio extraer conclusiones con una serie de dos valores no
es adecuado, pero si que se puede extraer que el número de vulnerabilidades que afectan a
los sistemas es más bajo que en el semestre anterior.
También hay que señalar que el número de vulnerabilidades en los sistemas operativos no
es grande comparando con el total, lo que indica que se reportan más vulnerabilidades de
aplicaciones que de sistemas operativos, esta afirmación además viene refrendada por un
informe de Kaspersky que indica que las 12 vulnerabilidades más comunes encontradas en
equipos de usuarios son relativas a productos de Adobe (Reader y Flash) y de Sun (Java)
Informe_Vulnerabilidades_2011_1semestre_rev.doc 13
2.1. VULNERABILIDADES POR NAVEGADORES
El siguiente gráfico muestra los datos correspondientes a las vulnerabilidades reportadas
para cada navegador monitorizado.
Figura 6: Vulnerabilidades por navegador
En esta ocasión, destaca por la diferencia respecto del resto Google Chrome, seguido de
Mozilla Firefox (la tercera parte de vulnerabilidades que Chrome). Respecto del trimestre
anterior, se mantiene el orden, Google Chrome es el navegador del que más
vulnerabilidades se han reportado. Desde INTECO-CERT continuará la monitorización para
poder comprobar la tendencia en este tipo de software a lo largo del tiempo, de momento,
Chrome encabeza el número de vulnerabilidades reportadas en los dos semestres
analizados, el resto de navegadores mantienen sus posiciones y el número aproximado de
vulnerabilidades.
Informe_Vulnerabilidades_2011_1semestre_rev.doc 14
3. BUENAS PRÁCTICAS
Con este informe de vulnerabilidades no sólo se pretende informar sobre cuántas se han
reportado y mostrar algunas clasificaciones, sino que también se pretende concienciar sobre
las medidas debemos a utilizar para mejorar la Seguridad de los sistemas.
Dentro de las consignas de seguridad de INTECO-CERT se tienen como base de trabajo los
siguientes tres conceptos:
- actualizar
- proteger
- prevenir
3.1. COPIAS DE SEGURIDAD DE DATOS
Dentro de nuestra sección de buenas prácticas de este informe, se van a dar una serie de
consejos sobre la protección de datos de nuestro sistema, en este informe se van a tratar las
copias de seguridad en los sistemas Windows.
El primer paso para proteger nuestra información consiste en realizar copias de seguridad
periódicas.
3.1.1. ¿De qué se puede hacer la copia?
La copia de seguridad más importante es la que contiene los ficheros que creamos en
nuestro sistema. Estos ficheros son los documentos de texto, hojas de cálculo, programas
de contabilidad, fotos realizadas por nosotros, etc… esto es, los ficheros que no podemos
volver a obtener de otra fuente.
Si por ejemplo, perdemos la música que tenemos en nuestro equipo, se puede volver a
recuperar desde los CDs originales, pero si perdemos las fotos del último cumpleaños, o
tenemos una copia de ellas o se perderán para siempre.
También hay otros datos que se almacenan en el equipo y que es necesario hacer copias de
seguridad, esto nos da pié a diversos grupos de información para hacer las copias de
seguridad:
- Datos creados por el usuario (ficheros creados por el usuario: documentos,
fotos…)
- Configuración de nuestro usuario del ordenador
- Sistema completo (Sistema operativo, aplicaciones, configuración y datos de
usuarios).
Informe_Vulnerabilidades_2011_1semestre_rev.doc 15
En este informe nos centraremos en las copias de seguridad de los ficheros personales del
usuario (creados por el).
3.1.2. Datos creados por el usuario, cuales son y donde están
Dentro de este grupo se engloban los ficheros de datos que se generan con las aplicaciones
que tengamos instaladas en nuestro sistema y que almacenen los datos en un disco local.
En función de qué tipo de software utilicemos, generaremos distintos tipos de ficheros, por
ejemplo en una oficina normalmente hay ficheros creados con procesadores de texto, hojas
de cálculo, facturas, correos electrónicos etc… en el estudio de un editor de vídeo, tendrá
ficheros de audio, video, efectos etc… de forma que cada usuario ha de ser consciente de
que datos genera, y sobre todo, donde los almacena.
En los sistemas operativos Windows se crea una carpeta donde se almacenan los
documentos del usuario por defecto, esa carpeta se llama: «Mis documentos» en Windows
XP y está en la ruta C:\Document and Settings\%usuario%\Mis documentos por defecto,
“Documentos” en Windows Vista y Windows 7 está en la ruta
C:\Users\%Usuario%\Documents (suponiendo en todos los casos que el sistema operativo
está instalado en C:). Dentro de esta carpeta están otras para imágenes, videos, música ,
descargas etc.
En sistemas Linux, la carpeta de usuario suele estar en la ruta «/home/%Usuario%, también
dentro de ella se situan carpetas para imágenes, aplicaciones etc…
En los sistemas Mac los ficheros de los usuarios están en /users/%usuario%
La copia de seguridad más elemental, debe incluir todos los ficheros personales, de todos
los usuarios del equipo, es la mínima. También hay que tener en cuenta que hay usuarios
que almacenan música y videos que ocupan mucho espacio, por ello de éstos no es
necesaria hacer la copia de seguridad si tenemos los originales y podemos volver a
recuperarlos.
3.1.3. Otros datos «personales» a tener en cuenta
Aparte de los ficheros que se almacenan en las carpetas que se indican en el apartado
anterior hay otra serie de ficheros que es necesario incluir en esta copia de seguridad, ya
que aunque su pérdida podría no ser “desastrosa” nos podría representar una pérdida
importante. Dentro de estos otros tipos de datos están:
- Correos electrónicos. Si tenemos un cliente de correo y descargamos todo el
correo sin guardar copia en el servidor, solo quedaría la copia del correo en
nuestro ordenador, de forma que si perdemos el correo sería irreversible, por lo
cual es necesario hacer esa copia. También es buena idea hacer una copia de
seguridad de los correos que tengamos en servidores Web (Hotmail, google,
yahoo…)
Informe_Vulnerabilidades_2011_1semestre_rev.doc 16
- Datos del navegador. Hoy día es una de las herramientas de trabajo más usada y
entre otros datos almacenamos el historial, favoritos, etc. Por ello es necesario
incluirlo en nuestra copia de seguridad de forma que en caso de pérdida se
pueda restaurar de forma sencilla.
- Certificados digitales. Cada son más utilizados y en muchos casos, no se tiene en
cuenta la posibilidad de que se deterioren los que tenemos instalados, de forma
que tenerlos en nuestra copia de seguridad es importante.
- Documentos del escritorio. En todos los sistemas operativos con Interfaz gráfico
(Prácticamente todos), hay muchos usuarios que trabajan con carpetas en el
escritorio por comodidad, es importante saber que esta carpeta es distinta a la de
documentos personales (en algunos casos la carpeta del escritorio está dentro de
la carpeta personal). En caso de que esta carpeta no esté en el escritorio hay que
incluirla en la copia.
- Bases de datos. Hay aplicaciones que utilizan bases de datos (contabilidad,
facturación, servidores Web…) que almacenan la información en carpetas
distintas a la personal, normalmente dentro de la carpeta de instalación de la
aplicación.
3.1.4. ¿Cómo crear copias de seguridad?
Todos los sistemas operativos disponen de aplicaciones propias de copia de seguridad de
forma eficiente, así que no es necesario instalar otras aplicaciones. No obstante es cierto
que hay aplicaciones que tienen prestaciones superiores a las del sistema, o bien son más
precisas u orientadas a tareas muy concretas, de forma que complementan la incluida en el
sistema.
Dentro de portal de la Oficina de Seguridad del Internauta dentro de la sección «Protégete»
está el apartado «Protege tu ordenador» y dentro está el contenido «Copias de seguridad»
en la cual se explica cómo hacer copias de seguridad en Windows, Ubuntu y Mac.
En el portal del CERT de INTECO, en la sección «Protección» está la sección de «Útiles
Gratuitos», hay una serie de herramientas gratuitas para realizar copias de seguridad tanto
de datos, configuraciones y del sistema completo.
