INFORME DE VULNERABILIDADES

PRIMER SEMESTRE 2011

Primer Semestre 2011

El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es.

Informe_Vulnerabilidades_2011_semestre_1

2

La presente publicación pertenece al Instituto Nacional de Tecnología de la Comunicación (INTECO) y esta bajo licencia Reconocimiento-No comercial 3.0 España de Creative Commons, y por ello estar permitido copiar, distribuir y comunicar públicamente esta obra bajo las condiciones siguientes: Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra. Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO.

http://creativecommons.org/licenses/by-nc-sa/3.0/es/
El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Así, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la sección Accesibilidad > Formación > Manuales y Guías de la página

http://www.inteco.es

Informe_Vulnerabilidades_2011_semestre_1

3

Contenido
ÍNDICE DE FIGURAS 1. 2. INTRODUCCIÓN VULNERABILIDADES 2.1. 2.2. 2.3. 2.4. 2.5. 2.1. 3. Nivel de severidad de las vulnerabilidades Productos más afectados Fabricantes más afectados Vulnerabilidades más comunes según su tipo 2.4.1. Vulnerabilidad error de buffer Vulnerabilidades según el sistema operativo para pc Vulnerabilidades por navegadores 5 6 7 7 8 9 10 11 12 13 14 14 14 15 15 16

BUENAS PRÁCTICAS

3.1.

Copias de seguridad de datos 3.1.1. 3.1.2. 3.1.3. 3.1.4. ¿De qué se puede hacer la copia? Datos creados por el usuario, cuáles son y dónde están Otros datos «personales» a tener en cuenta ¿Cómo crear copias de seguridad?

Informe_Vulnerabilidades_2011_semestre_1

4

ÍNDICE DE FIGURAS
Figura 1: Vulnerabilidades por nivel de riesgo. Figura 2: Productos más afectados por las últimas vulnerabilidades. Figura 3: Fabricantes más afectados por las últimas vulnerabilidades. Figura 4: Vulnerabilidades más comunes por tipo. Figura 5: Vulnerabilidades por sistema operativo para PC Figura 6: Vulnerabilidades por navegador 7 8 9 10 12 13

Informe_Vulnerabilidades_2011_semestre_1

5

1.

INTRODUCCIÓN

Fruto del acuerdo de colaboración que INTECO tiene con el NIST (National Institute of Standards and Technology) el Instituto Nacional de Tecnologías de la Comunicación cuenta con un completo repositorio que ronda las 47.500 vulnerabilidades traducidas al castellano cuyo fin es informar y advertir a los usuarios sobre los fallos de seguridad existentes en los sistemas operativos, hardware y otro tipo de aplicaciones. Los datos originales procesados en INTECO-CERT se obtienen de su buscador de vulnerabilidades, que es la traducción al español de las vulnerabilidades que se publican en el NIST. El presente «Informe de vulnerabilidades primer semestre 2011», emitido por el Centro de Respuesta a Incidentes de Seguridad de INTECO, INTECO-CERT, pretende mostrar un resumen sobre las vulnerabilidades reportadas en el primer semestre de 2011, expresado en gráficas para ofrecer una visión global de la actividad generada durante los seis primeros meses del año. También es objetivo de este informe concienciar sobre la importancia de las actualizaciones de seguridad en los sistemas para minimizar los riesgos provocados por las vulnerabilidades como, por ejemplo, los vectores de ataque del software malicioso que existe en la actualidad. Este informe refleja también uno de los pilares de INTECO-CERT: el fomento de la cultura de Seguridad. Ésta ha de llevarse a cabo siguiendo unas instrucciones básicas y teniendo, el usuario, usa serie de hábitos para que, de forma natural, los utilice y mejore su experiencia en Internet.

Informe_Vulnerabilidades_2011_semestre_1

6

2.

VULNERABILIDADES
NIVEL DE SEVERIDAD DE LAS VULNERABILIDADES

2.1.

La siguiente gráfica muestra el número de vulnerabilidades documentadas en http://cert.inteco.es a lo largo del primer semestre de 2011 (clasificadas por su nivel de gravedad), que ascendió a 2.037.

Figura 1: Vulnerabilidades por nivel de riesgo.

Según el gráfico anterior es posible observar que, durante todo el periodo analizado, las vulnerabilidades más frecuentes son las correspondientes al nivel de gravedad alta y media. Esto significa que ha sido un periodo de riesgo ya que estas vulnerabilidades podrían causar problemas en caso de que fueran explotadas. También se podría deducir que las vulnerabilidades que más se reportan son las que corresponden a estos niveles.

Informe_Vulnerabilidades_2011_semestre_1

7

2.2.

PRODUCTOS MÁS AFECTADOS

La siguiente figura muestra los productos más afectados por las vulnerabilidades del primer semestre de 2011. Solamente se incluyen aquellos productos afectados por el mayor número de nuevas vulnerabilidades.

Figura 2: Productos más afectados por las últimas vulnerabilidades.

Google Chrome aparece en el primer puesto seguido de Webkit de Apple, que es la estructura base (framework) que usan otros navegadores, entre ellos Chrome y algunos navegadores para móviles. Al igual que ocurrió en el anterior semestre, los navegadores ocupan esta vez también los primeros puestos. Este hecho, unido a que la mayor parte son multiplataforma, hace que sean un objetivo de primera para los ciberdelincuentes. Por este motivo, INTECO-CERT insiste en cada informe en la importancia de realizar las actualizaciones de seguridad y más concretamente en este caso, en la necesidad de tener actualizado el navegador, como el primer escudo de defensa ante las vulnerabilidades.

Informe_Vulnerabilidades_2011_semestre_1

8

2.3.

FABRICANTES MÁS AFECTADOS

La siguiente figura muestra los diez fabricantes más afectados por las vulnerabilidades detectadas durante el trimestre.

Figura 3: Fabricantes más afectados por las últimas vulnerabilidades.

Al igual que el informe del semestre anterior, dentro de los fabricantes más afectados por las vulnerabilidades aparece Microsoft en el primer puesto. Esto da pie para señalar que los desarrolladores que más productos tienen en el mercado son los que más vulnerabilidades van a publicar habitualmente. Las compañías que tienen múltiples productos en el mercado son: Microsoft, Cisco, Apple y Adobe. Durante el primer semestre de 2011 CISCO ocupa la segunda posición. Debido a que esta empresa se centra en conectividad de redes a nivel muy técnico, y a que sus máquinas tienen su propio sistema operativo, estos dispositivos (bridges, switchs, routers…) suelen presentar vulnerabilidades. Pese a que pueda parecer que estas vulnerabilidades no afectan al gran público, sino solo a grandes empresas, lo cierto es que cualquier comunicación de datos pasará por alguna máquina de CISCO en algún momento.

Informe_Vulnerabilidades_2011_semestre_1

9

2.4.

VULNERABILIDADES MÁS COMUNES SEGÚN SU TIPO

El siguiente gráfico muestra los tipos de vulnerabilidades más comunes registradas durante los primeros seis meses de 2011 y la proporción que cada uno de ellos representa sobre el total de vulnerabilidades registradas.

Figura 4: Vulnerabilidades más comunes por tipo.

En el gráfico de arriba aparece como más común el grupo «Otros». Esto se debe principalmente a que el proceso de alta de vulnerabilidades consiste en varios pasos: reporte de las mismas, comprobación de que efectivamente son ciertas, comprobación de qué productos se ven afectados, a qué son debidas, etc. Este proceso puede durar algo de tiempo, y en algunos casos es muy complicado determinar el tipo de vulnerabilidad debido a que puede deberse a varios factores, o a otros no contemplados en la clasificación actual.

Informe_Vulnerabilidades_2011_semestre_1

10

2.4.1.

Vulnerabilidad error de buffer

En este periodo, aparecen en primer lugar (por número) las vulnerabilidades referidas a errores de buffer (CWE-119). Un buffer es una zona de memoria que se emplea como depósito de datos parcial para unir dos dispositivos con distintas velocidades de trabajo, con el objeto de mejorar el rendimiento de los distintos dispositivos que lo usan. Permite que un dispositivo rápido, no tenga que esperar por uno lento, o que un dispositivo no se quede sin datos de entrada para procesar. Hay dos tipos genéricos de errores de buffer: Desbordamiento de buffer (buffer overflow/overrun) es la situación que se produce cuando un proceso escribe o lee datos fuera de la zona de buffer destinada a tal efecto. Subdesbordamiento de buffer (buffer underflow/underrun). Es la situación que se produce cuando la velocidad de entrada de los datos al buffer es inferior a la velocidad de procesamiento de la misma, con lo cual el buffer se vacía y se procesan datos nulos.

-

El tipo de error de buffer más frecuente en vulnerabilidades es el desbordamiento. No obstante, en ambos casos cuando se trata de explotar este tipo de vulnerabilidades se intenta que el programa no funcione de forma adecuada, pudiendo provocar accesos a información de memoria (fuga de información), modificación de la secuencia de ejecución de un proceso, modificación de datos en tiempo de ejecución, caída de la aplicación e incluso la ejecución de comandos. La forma de prevenir este tipo de problemas es aprovechar una característica de los procesadores modernos de marcar zonas de memoria como protegidas. De esta forma, cuando se produzca un intento de acceso a una zona protegida, se generará una excepción del sistema que, controlada de forma adecuada, podría solucionar, o al menos controlar, esta situación. Para proteger las zonas de memoria, el programador ha de indicar al sistema operativo las zonas en cuestión para cada programa que se utilizará. Esto supone, además de una carga extra de trabajo para los desarrolladores, un problema de código heredado.

Informe_Vulnerabilidades_2011_semestre_1

11

2.5.

VULNERABILIDADES SEGÚN EL SISTEMA OPERATIVO PARA PC

El siguiente gráfico muestra los datos correspondientes a los sistemas operativos que se ha optado monitorizar al tratarse de los más ampliamente utilizados por los equipos de usuario.

Figura 5: Vulnerabilidades por sistema operativo para PC

El ranking de vulnerabilidades por sistema operativo durante el periodo analizado está encabezado por Windows y finalizado por Mac OS X. Este indicador se utiliza para analizar la evolución a lo largo del tiempo, nos siendo válido para afirmar que un sistema operativo es más seguro que otro al no tener en cuenta la importancia de las vulnerabilidades, el tiempo de resolución y el grado de explotación de las mismas. En este semestre se intercambian las dos primeras posiciones respecto al semestre anterior, manteniéndose Mac en tercer puesto en ambos casos. En principio sacar conclusiones con una serie de dos valores no es adecuado, pero se puede extraer que el número de vulnerabilidades que afectan a los sistemas es más bajo que en el semestre anterior. También hay que señalar que el número de vulnerabilidades en los sistemas operativos no es alto comparado con el total, lo que indica que se reportan más vulnerabilidades de aplicaciones que de sistemas operativos. Esta afirmación es refrendada por un informe de Kaspersky que indica que las 12 vulnerabilidades más comunes encontradas en equipos de usuarios son relativas a productos de Adobe (Reader y Flash) y de Sun (Java).

Informe_Vulnerabilidades_2011_semestre_1

12

2.1.

VULNERABILIDADES POR NAVEGADORES

El siguiente gráfico muestra los datos correspondientes a las vulnerabilidades reportadas para cada navegador monitorizado. Éstos han sido elegidos por tratarse de los más utilizados por los usuarios.

Figura 6: Vulnerabilidades por navegador

En esta ocasión, destaca respecto del resto Google Chrome, seguido de Mozilla Firefox (la tercera parte de vulnerabilidades que Chrome). Respecto al semestre anterior, se mantiene el orden, siendo Google Chrome el navegador del que más vulnerabilidades se han reportado. INTECO-CERT continuará la monitorización para poder comprobar la tendencia en este tipo de software a lo largo del tiempo. De momento, Chrome encabeza el número de vulnerabilidades reportadas en los dos semestres analizados. El resto de navegadores mantienen sus posiciones y el número aproximado de vulnerabilidades.

Informe_Vulnerabilidades_2011_semestre_1

13

3.

BUENAS PRÁCTICAS

Con este informe de vulnerabilidades INTECO-CERT no sólo pretende informar sobre cuántas se han reportado y mostrar algunas clasificaciones sino que también se pretende concienciar sobre las medidas a utilizar para mejorar la seguridad de los sistemas. Dentro de las consignas de seguridad de INTECO-CERT se tienen como base de trabajo los siguientes tres conceptos: actualizar proteger prevenir

3.1.

COPIAS DE SEGURIDAD DE DATOS

Dentro de la sección de «Buenas prácticas» de este informe se ofrece una serie de consejos sobre la protección de datos del sistema, en concreto en este informe se van a tratar las copias de seguridad en los sistemas Windows. El primer paso para proteger la información consiste en realizar copias de seguridad periódicas.

3.1.1.

¿De qué se puede hacer la copia?

La copia de seguridad más importante es la que contiene los ficheros creados en el sistema. Estos ficheros son los documentos de texto, hojas de cálculo, programas de contabilidad, fotos realizadas por el usuario. Esto es, los ficheros que no se pueden volver a obtener. También hay otros datos que se almacenan en el equipo y de los que es necesario hacer copias de seguridad. Esto da pié a diversos grupos de información para hacer las copias de seguridad, que son los siguientes: datos creados por el usuario (ficheros creados por el usuario: documentos, fotos…) configuración del usuario del ordenador sistema completo (sistema operativo, aplicaciones, configuración y datos de usuarios)

-

Este informe, ahonda en las copias de seguridad de los ficheros personales del usuario (creados por el).

Informe_Vulnerabilidades_2011_semestre_1

14

3.1.2.

Datos creados por el usuario, cuáles son y dónde están

Dentro de este grupo se engloban los ficheros de datos que se generan con las aplicaciones que estén instaladas en el sistema y que almacenen los datos en un disco local. En función de qué tipo de software se utilice, se generarán distintos tipos de ficheros. Por ejemplo, en una oficina normalmente hay ficheros creados con procesadores de texto, hojas de cálculo, facturas, correos electrónicos, etc. Asimismo, en el estudio de un editor de vídeo habrá ficheros de audio, vídeo, efectos, etc. Cada usuario ha de ser consciente de qué datos genera y, sobre todo, dónde los almacena. En los sistemas operativos Windows se crea una carpeta donde se almacenan los documentos del usuario por defecto. Esa carpeta se llama «Mis documentos» en Windows XP y está en la siguiente ruta por defecto: C:\Document and Settings\%usuario%\Mis documentos

En Windows Vista y Windows 7 se llama «Documentos» y está en la siguiente ruta: C:\Users\%Usuario%\Documents

En todos estos casos se da por supuesto que el sistema operativo está instalado en la unidad «C:». Dentro de esta carpeta se encuentran otras para imágenes, videos, música, descargas etc. En sistemas Linux la carpeta de usuario suele estar en la ruta «/home/%Usuario%». Igualmente, dentro de ella existen carpetas para imágenes, aplicaciones, etc. En los sistemas Mac los ficheros de los usuarios están situados en «/users/%usuario%». La copia de seguridad más elemental debe incluir todos los ficheros personales de todos los usuarios del equipo. Sin embargo, de los archivos de música y vídeo, que ocupan mucho espacio, no es necesario hacer las copias de seguridad, si el usuario tiene los originales y puede recuperarlos.

3.1.3.

Otros datos «personales» a tener en cuenta

Aparte de los ficheros que se almacenan en las carpetas que se indican en el apartado anterior, hay otra serie de ficheros que es necesario incluir en una copia de seguridad ya que, aunque su pérdida no cause grandes daños sí podría representar un quebranto importante. Dentro de este otro tipo de datos están los siguientes: Correos electrónicos. Si el usuario tiene un cliente de correo y descarga todos los mensajes sin guardar copia en el servidor, solo le quedaría la copia del correo en su ordenador. Si por algún fallo pierde el correo, esto sería irreversible, por lo cual es necesario hacer esas copias. También es buena idea hacer una copia de seguridad de los correos de servidores web (Hotmail, Google, Yahoo…).

Informe_Vulnerabilidades_2011_semestre_1

15

-

Datos del navegador. Hoy en día es una de las herramientas de trabajo más usadas y, entre otros datos, almacena el historial, favoritos, etc. Por ello, es necesario incluirlo en la copia de seguridad de forma que, en caso de pérdida, se pueda restaurar de forma sencilla. Certificados digitales. Cada vez son más utilizados y, en muchos casos, no se tiene en cuenta la posibilidad de que se deterioren los que ya están instalados, de forma que tenerlos en la copia de seguridad es importante. Documentos del escritorio. En todos los sistemas operativos con interfaz gráfico (prácticamente todos), hay muchos usuarios que trabajan con carpetas en el escritorio por comodidad. Es importante saber que esta carpeta es distinta a la de documentos personales (en algunos casos la carpeta del escritorio está dentro de la carpeta personal). En caso de que la carpeta de escritorio no esté dentro de la carpeta personal habrá que incluirla en la copia. Bases de datos. Hay aplicaciones que utilizan bases de datos (contabilidad, facturación, servidores web…) que almacenan la información en carpetas distintas a la personal, normalmente dentro de la carpeta de instalación de la aplicación. Habrá que identificar estas carpetas y realizar copia de seguridad de todas ellas.

-

-

-

3.1.4.

¿Cómo crear copias de seguridad?

Todos los sistemas operativos disponen de aplicaciones propias de copia de seguridad de forma eficiente, así que no es necesario instalar otras aplicaciones. No obstante, es cierto que hay aplicaciones que tienen prestaciones superiores a las del sistema o bien son más precisas u orientadas a tareas muy concretas de forma que complementan la incluida en el sistema. Dentro de portal de la Oficina de Seguridad del Internauta de INTECO, en la sección «Protégete», está el apartado «Protege tu ordenador» y dentro está el contenido «Copias de seguridad» en la cual se explica cómo hacer copias de seguridad en Windows, Ubuntu y Mac. En el portal del CERT de INTECO, en la sección «Protección», se encuentra la sección «Útiles Gratuitos», en la que hay una serie de herramientas gratuitas para realizar copias de seguridad tanto de datos, como de configuraciones y del sistema completo.

Informe_Vulnerabilidades_2011_semestre_1

16

Sign up to vote on this title
UsefulNot useful