El instituto SANS ha publicado un informe periódico de riesgos de seguridad. Para ello se ha basado en los datos de los ataques recibidos por 6000 organizaciones protegidas con los IPSs TippingPoint, 9.000.000 de sistemas escaneados por Qualys, y otra información del Internet Storm Center. Dicha información pertenece al periodo entre Marzo y Agosto de 2009.
El resumen dice que hay 2 prioridades:
- La de los sistemas cliente que no tienen software que no está correctamente parcheado (Adobe Acrobat Reader, Flash, Microsoft Office, Quicktime, etc…) La gente descarga documentos desde sitios que consideran fiables, y debido a vulnerabilidades en el software cliente, se ejecuta código malicioso desde ficheros que antiguamente sería impensable (recuerdo cuando sólo se podía en los .EXE, .COM, .BAT o .PIF). Una vez se compromete una estación de trabajo en una red interna de una organización, se distribuye a través de alguna otra vulnerabilidad dicho código malicioso, comprometiendo redes completas de estaciones de trabajo e incluso de servidores.
- Servidores web expuestos a Internet que son vulnerables. En el periodo analizado, un 60% de los ataques totales que se han analizado, han ido destinados a aplicaciones web vulnerables (un 80% de éstas han sido Inyecciones SQL, XSS y PHP File includes). De esta manera, se comprometen servidores web que pueden considerarse como confiables en herramientas de infectar sistemas cliente no parcheados (los del punto anterior). Dentro de este tipo de vulnerabilidades prevalecen las inyecciones SQL basadas en Select, las evasiones de inyección SQL basadas en funciones String y las que utilizan identidad booleana. Asimismo, de estas estadísticas se extrae que gran cantidad de ataques han sido la identificación del método Connect de HTTP. Los orígenes de estos ataques a servidores web, ha sido mayoritariamente Estados Unidos. En menor medida, Tailandia, Taiwan y China. Lo mismo sucede para ataques XSS.
- Las publicaciones de parches para aplicaciones tardan aún más que las publicaciones para sistemas operativos. Los fabricantes de sistemas operativos están más concienciados de la importancia de la seguridad en los mismos e imagino que por eso que tardan menos en parchear sus debilidades. Asimismo el “parque” de instalaciones de un sistema operativo es enorme comparado con el número de instancias de aplicaciones que hay.
- Se han descubierto menos vulnerabilidades de sistema operativo que sean explotables desde Internet. Aparte del famoso gusano Conficker, no ha habido ningún otro gran foco de infección.
- Aumenta el número de vulnerabilidades zero-day. En los últimos tres años, la cantidad de vulnerabilidades publicadas no parcheadas se han incrementado. Hay vulnerabilidades reportadas con hasta dos años de antiguedad a los fabricantes a las que no se les publica ningún parche que las arregle.
- Aparte de ataques a aplicaciones web, siguen siendo un alto porcentaje los de fuerza bruta a servidores FTP y SSH.
- Los ataques dirigidos a sistema operativo Microsoft, un 90% han sido los referentes a la ejecución remota de código posible gracias al buffer overflow descrito en MS08-067
- Para Apple, la aplicación más atacada es Quicktime. La versión Windows de este software también es vulnerable, así que también tiene que ser parcheada