Evolución de los incidentes
Siguiente: Incidentes de SPAM 2003 Subir: Estadísticas Anterior: Estadísticas Índice General
Evolución de los incidentes
En la figura anterior, se observa la evolución de los incidentes de seguridad
desde el año 1999.
Las cifras detalladas son los siguientes:
| Año | Incidentes totales | Incremento |
|---|---|---|
| 1999 | 195 | - |
| 2000 | 416 | 113.333% |
| 2001 | 1038 | 149.51% |
| 2002 | 1495 | 44.02% |
| 2003 | 1294 | -13.44% |
A continuación presentamos una gráfica en la que podemos ver la distribución de los incidentes atendidos por IRIS-CERT durante el año 2003 y distribuidos por meses.
Los datos detallados son los siguientes:
| Fecha | Total | % | P. Baja | P. Normal | P. Alta | P. Emergencia |
|---|---|---|---|---|---|---|
| 2003/01 | 90 | 6% | 17 | 22 | 51 | 0 |
| 2003/02 | 68 | 5% | 17 | 27 | 24 | 0 |
| 2003/03 | 134 | 10% | 51 | 30 | 53 | 0 |
| 2003/04 | 117 | 9% | 21 | 28 | 68 | 0 |
| 2003/05 | 108 | 8% | 13 | 55 | 40 | 0 |
| 2003/06 | 56 | 4% | 16 | 28 | 12 | 0 |
| 2003/07 | 158 | 12% | 24 | 110 | 24 | 0 |
| 2003/08 | 71 | 5% | 11 | 49 | 11 | 0 |
| 2003/09 | 167 | 12% | 50 | 104 | 13 | 0 |
| 2003/10 | 164 | 12% | 19 | 100 | 45 | 0 |
| 2003/11 | 99 | 7% | 22 | 56 | 21 | 0 |
| 2003/12 | 62 | 4% | 4 | 44 | 14 | 0 |
La gráfica presenta multitud de subidas y bajadas cuya explicación sería la siguiente:
- El mayor incremento de incidentes lo detectamos en Septiembre con un total de 167 atendidos durante dicho mes. Este incremento se debe a la actividad del gusano Blaster, que aunque empezó a propagarse en Agosto, el día 11 concretamente, no fue hasta la vuelta de vacaciones de verano cuando nos empezaron a llegar más denuncias e informes por parte de las instituciones afiliadas. El impacto del Blaster en la Red Académica, como en Internet en general, fue muy acusado.
- El Slammer (que afectaba a Servidores MSQ de Microsoft), a principios de año, tuvo una amplia repercusión en la red académica, obligando al NOC de RedIRIS a aplicar filtros en los troncales y en los enlaces externos para paliar sus efectos.
- En Marzo comenzamos a detectar un incremento de las denuncias por escaneo a los puertos netbios (139/tcp, 137/tcp-udp, 138/udp y 445/tcp) debido a la aparición de una vulnerabilidad que afectaba al protocolo SMB (Server Message Block), utilizado para la compartición de ficheros y recursos de impresión en máquinas Microsoft Windows 2000 y XP. Aparecieron, así mismo, una serie de herramientas (gusanos) que aprovechaban la mencionada vulnerabilidad. Ejemplo de algunas de estas herramientas son: el W32/Deloder, GT-Bot, sdbot, W32/Slackdor, que a su vez dieron lugar a diversos ataques de DoS y DDoS.
- En general, Marzo fue un mes cargado de problemas de seguridad con la aparición de múltiples vulnerabilidades en diversos servicios y productos ampliamente utilizados (sendmail, BIND, WebDAV, núcleo del S.O Linux, etc..).
- En Mayo detectamos un incremento de ataques a servidores Web que tenían instalados tablones de anuncios y/o portales dinámicos (casi todos albergados en máquinas Linux). Estos problemas seguramente se debieron al aprovechamiento de diversas vulnerabilidades de inyección de código en varias versiones del php-nuke.
- El descenso de incidentes en el mes de Junio (que también se viene observando en años anteriores) se podría deber a la coincidencia de la época de exámenes en las universidades, si bien es verdad que los ataques normalmente se deben a modas o a la aparición de gusanos/exploits específicos en una determinada fecha.
- El mismo razonamiento aplicado al mes de Junio se podría utilizar para explicar el descenso en los meses de Enero-Febrero.
- A finales de Julio aparecen diversas vulnerabilidades que afectan a los mensajes RPC utilizados para la activación de DCOM en el interface RPC de Microsoft (el primer exploit aparecido utilizaba el puerto 4444/tcp para establecer una puerta trasera). Poco después de la aparición de este exploit comienza a propagarse el gusano Blaster. El Blaster utiliza el puerto 135/tcp para lanzar el ataque, aunque también se detectó actividad relacionada con este gusano en los puertos 139/tcp y 445/tcp. Este gusano en su payload contenía una ataque de DoS contra el servidor windowsupdate.com de Microsoft.
- Tras la aparición del Blaster, aparece otro gusano, el Welchia o Nachi que aprovechaba la misma vulnerabilidad del Blaster, aunque en este caso los ataques de DoS asociados no tenían un destino especifico y utilizaban el protocolo ICMP.
- Durante Junio-Julio aparece una variante del Bugbear, el Bugbear.B. El Bugbear.B tenía funcionalidades de gusano, virus y puerta trasera (en el 1080/tcp) y se propagaba mediante mail y por recursos compartidos en redes locales de Windows.
- Durante Diciembre hemos detectado un incremento de escaneos al puerto 6129/tcp. Este puerto es empleado por un programa de control remoto llamado Dameware, del que se publicó un fallo de seguridad principios de dicho mes. Este programa de control remoto se emplea para controlar equipos Windows previamente comprometidos. Las denuncias sobre escaneos a este puerto se han hecho más intensas durante principios del año 2004.
La figura anterior muestra la distribución de los incidentes atendidos por IRIS-CERT durante el año 2003 clasificados según la prioridad asignada (se puede consultar el criterio de prioridad que sigue el equipo aquí).
Esta gráfica no es realmente significativa puesto que la mayoría de los incidentes de seguridad se producen tras la recepción de un correo de queja o denuncia que en la mayoría de los casos se refiere a escaneos de puertos o pruebas. Estos escaneos, en los últimos tiempos, en muchos casos estaban relacionados con máquinas comprometidas por alguno de los gusanos comentados anteriormente (por el tipo de puerto indicado en la denuncia). En definitiva, muchos de los incidentes que se han clasificado como escaneos (prioridad de baja a normal) al final han resultado ser debidos a gusanos, troyanos, compromisos de root, etc.. (con prioridad alta), y algunos de los incidentes que se han catalogado como gusanos al final se debían a escaneos simples y por tanto falsos positivos. Para evitar esta confusión, en los últimos tiempos hemos intentado catalogar de primeras como gusanos aquellos incidentes que mostraban escaneos a puertos relacionados con puertos de propagación de los gusanos activos en ese momento. Otra opción ha sido la de catalogarlos como escaneos de prioridad normal (en lugar de baja) cuando el puerto escaneado tenía que ver con la actividad de una herramienta/gusano de moda en ese momento.
En cifras, la distribución de los incidentes atendidos por IRIS-CERT durante el 2003 en función a la prioridad alcanzada es la siguiente:
| Prioridad | Cantidad | % |
|---|---|---|
| Baja | 265 | 21% |
| Normal | 653 | 50% |
| Alta | 376 | 29% |
| Emergencia | 0 | 0% |
En la siguiente tabla aparece reflejado el porcentaje de cada uno de los incidentes clasificados a partir del primer mensaje que se recibe, y siguiendo nuestra taxonomía de alto nivel3. Es decir, si inicialmente se recibe un mensaje indicando un escaneo de puertos, el incidente se clasifica como "sondeo", aunque posteriormente al investigar se observe que se trata de un acceso a un equipo y se proceda a investigar el incidente.
| Tipo de Incidente | Cantidad | % |
|---|---|---|
| Denegación de Servicio | 76 | 5.87% |
| Sondeo | 837 | 64.68% |
| Acceso a cuentas privilegiadas | 133 | 10.27% |
| Troyanos | 6 | 0.46% |
| Gusano | 213 | 16.49% |
| Uso no autorizado | 15 | 1.15 % |
| Otros | 14 | 1.08% |
Como vemos en la tabla anterior, la suma de los incidentes debidos a escaneos de puertos y redes y los debidos a gusanos suman más de un 80% del total de incidentes atendidos por IRIS-CERT a lo largo del año.
Las denuncias de uso no autorizado se han debido fundamentalmente a equipos Proxies mal configurados que permiten conexiones a equipos externos a la organización, y a problemas con socks proxies.
En cuanto a los incidentes catalogados como "Otros", se han debido fundamentalmente a problemas de suplantación de personalidad, insultos o amenazas utilizando medios telemáticos, aunque en este caso nosotros lo que recomendamos es que los afectados se pongan en contacto directamente con la Policía y Guardia Civil.
En cuanto a los referente a Troyanos sobre todo se han atendido incidentes relacionados con el Subseven, RedShad y kuang2.
Este año ha sido, como el año anterior, bastante prolífico en gusanos (Blaster, Nachi, Slammer, Bugbear, etc.). Pero además de estos gusanos de nueva aparición, durante el 2003 se ha detectado actividad de algunos gusanos que ya aparecieron el el 2002 e incluso en el 2001, sobre todo Nimda (que aprovechaba una vulnerabilidad en el Internet Information Server de Microsoft), pero también Code Red, Slapper (Apache/mod_ssl), Opaserv (Netbios) y SQLSnake (Servidores SQL de Microsoft).
En cuanto a los escaneos de puertos, y si aplicamos la lógica, los puertos más escaneados han sido los relacionados con la actividad de algunos de los gusanos mencionados anteriormente y por lo tanto podemos destacar, como los puertos de los que hemos recibido más denuncias, los siguientes:
- netbios
- 135/tcp-udp, location service
- 137/tcp-udp, netbios name sarver
- 138/tcp-udp, netbios datagram service
- 139/tcp-udp, netbios session service
- 445/tcp-udp microsoft-ds
- http (80/tcp) (gusanos IIS, WebDAV4)
- 1434/tcp, 1433/udp (MS-SQL)
- 1080/tcp (socks proxy, puerta trasera Bugbear)
- 554/tcp (RTSP, Real Time Streaming Protocol5)
- 6129/tcp (Dameware)
Siguiente: Incidentes de SPAM 2003 Subir: Estadísticas Anterior: Estadísticas Índice General Chelo Malagón 2004-01-26
