[HACK] Estadisticas 2002 CERTs

merce at grn.es merce at grn.es
Thu Jan 23 18:13:05 CET 2003 

12:50 09/01/03


LOS ATAQUES INFORMÁTICOS SUBIERON MODERADAMENTE EL AÑO PASADO

Los  "gusanos" siguen siendo protagonistas de la mayoría de incidentes
investigados por los dos equipos españoles de respuesta a emergencias

Mercè Molist
Los  programas  maliciosos  que  se autopropagan por los servidores de
Internet,  llamados  "gusanos",  son  el  mayor dolor de cabeza de los
Computer  Emergency  Response  Team  (CERT)  españoles.  Si en el 2001
triplicaban  el trabajo de los investigadores, el año pasado siguieron
dando quehacer, eclipsando a otros tipos de ataques. En total, los dos
centros  españoles, IRIS-CERT, enfocado a las universidades, y esCERT,
a  las empresas, han visto como sus estadísticas subían un 42,5% en el
2002, lo que representa 1.789 incidentes investigados.

Como  siempre,  en  las  universidades  se han producido la mayoría de
problemas:  1.495  casos  el  año pasado, que supone un incremento del
44,02%,  muy  alejado de las cifras espectaculares del 2001, cuando la
subida  fue  del  149,5%,  y del 2000 (113%). "Nos ha sorprendido este
incremento  tan  bajo,  puesto  que  han  sido muchos los problemas de
seguridad,  sobre todo en lo que a gusanos se refiere: en julio, "Code
Red"  dio  mucho trabajo y "Slapper", "Opaserv" y "Bugbear" han tenido
gran repercusión", afirman.

Los  escaneos  masivos  de  puertos, provocados por estos "gusanos" al
buscar  nuevas  máquinas  a  las  que infectar, han sido la alarma más
numerosa.  "El  mayor  número de incidencias se detectó en septiembre,
con  289  casos  por  la  aparición del gusano "Slapper", que afecta a
servidores  Linux,  y "Bugbear", que puede desactivar los programas de
seguridad  de  las  máquinas  que  infecta  y  ha  sido responsable de
distintos   problemas  de  saturación  en  los  troncales  de  la  red
académica.  Además  de  esta nueva gama, continúan activos los gusanos
del año pasado, como Code Red o Nimda", explican en IRIS-CERT.

Parecida  situación  se ha vivido en el esCERT, donde se atiende a las
empresas.  Allí, el gusano estrella ha sido también "Bugbear", del que
esCERT  destaca  "su capacidad para lanzar escaneos de máquinas, crear
una  amplia  red  de  servidores  comprometidos  y  lanzar desde ellos
grandes  ataques.  Queda así demostrado que los virus son cada vez más
completos  y  ya  no se limitan a infectar mediante el correo sinó que
atacan  a  los servidores y les introducen puertas traseras. Esto hace
presagiar que, en breve, pueda aparecer un gusano que ponga en peligro
el buen funcionamiento de la red".

Tampoco  en  IRIS-CERT  se duermen en los laureles por el bajón de las
estadísticas:  "Es  de esperar que la tendencia sea de incremento cada
vez  mayor.  Los  gusanos  han supuesto en el 2002 un 88% del total de
casos  gestionados".  La mayor parte de los incidentes investigados en
las  universidades  han  tenido  repercusión internacional: "Denuncias
desde  el exterior relativas a equipos de nuestra red. Asimismo, hemos
recibido   unas   50   incidencias   relacionadas   con  problemas  de
"copyright",   que  hemos  redirigido  a  otros  centros  y  no  hemos
contabilizado, tampoco el correo basura".

La  forma  más  efectiva  de combatir esta situación, según esCERT, es
"que   todos   los   usuarios   tengan   sus   sistemas  correctamente
"parcheados".  Para  ello,  desde  el año pasado ofrecemos el servicio
Altair,  una  herramienta  que  permite  a  las  empresas  conocer las
vulnerabilidades   que   afectan   a  sus  equipos  y  las  soluciones
pertinentes   para  eliminar  así  futuros  problemas  de  seguridad".
Mientras,  en IRIS-CERT avisan que estos números no son nada comparado
con  la  realidad: "Son cifras orientativas puesto que los sistemas de
gestión que actualmente utilizamos hacen que no podamos presentar unas
estadísticas  completas,  solamente  unos  esbozos  de los principales
problemas de seguridad detectados".

IRIS-CERT
http://www.rediris.es/cert/doc/informes/2002/
esCERT
http://escert.upc.es

  

CASI 200 WEBS 'CRACKEADAS' 


El  archivo internacional de sitios web asaltados, "Zone-h", recoge un
total  de  166  ataques  a  páginas bajo el dominio .es durante el año
pasado. Al haber muchas webs españolas bajo otros dominios, como .com,
esta  cifra  se considera sólo la punta del iceberg, según el servicio
de  información "Noticiasdot". La mayoría de "webdefacements" del 2002
consistieron en cambiar la página principal por la firma del 'cracker'
o  comentarios  sarcásticos.  Sólo  unos  pocos  registraron intereses
políticos,  también  llamados  "hacktivistas", especialmente alrededor
del conflicto del islote Perejil.

Otros  ataques con tintes políticos se vieron en las webs de la filial
española de Daewo, donde los intrusos dejaron mensajes contra la Unión
Europea,  o  los  sitios  de  la  Diputación  de  Toledo y la Sociedad
Española  de  Neurociencias,  donde  cambiaron la portada por textos a
favor  del  pueblo palestino. También la web del Hospital Severo Ochoa
de  Leganés  vió  sustituido su contenido por mensajes pro-palestinos.
Este hospital tiene el dudoso honor de haber visto su web comprometida
en  doce ocasiones durante 2002, la mayoría a cargo del grupo "Lezbian
Girl Team". Otro "cracker" prolífico ha sido "Red Eye", que ha atacado
25 sitios españoles sólo el año pasado.

Las  webs  de  universidades,  algunas repetidamente, han sido las más
vulnerables,  como  las  del  País  Vasco,  Valladolid,  autónomas  de
Barcelona  y Madrid y la Complutense. En la Universidad de Navarra, el
intruso  dejaba  un  divertido  mensaje  en  inglés: "El campus parece
bonito.  ¿Teneis  buen  tiempo todo el año?". El sistema operativo más
débil  ante  "webdefacements" ha sido Windows, con 87 sitios del total
de  166,  mientras  que sólo 30 servidores web bajo Linux mordieron el
polvo.


Zone-h
http://www.zone-h.com
Noticiasdot
http://www.noticiasdot.com


-------------------------------------------------------


INCIDENTES AÑO 2002 esCERT
(empresas y Universitat Politècnica de Catalunya)


Accesos ilegales a máquinas 47 
Escaneos o intentos de entrada 100
Denegaciones de servicio  4  
Gusanos / Virus  137
Otros (amenazas, uso fraudulento de tarjetas, programas piratas)..  6

TOTAL: 294


INCIDENTES AÑO 2002 IRIS-CERT
(resto universidades españolas y máquinas del dominio .es)

Acceso a cuentas privilegiadas 96 
Escaneo de puertos 706 
Denegación de Servicio 23 
Troyanos y gusanos 622 
Uso no autorizado de "proxies" 22 
Otros 26

TOTAL: 1.495

TOTAL AÑO 2002: 1.789


- HISTÓRICO -


año 2001
--------

esCERT

Escanos o intentos de entrada...... 21
Accesos ilegales a máquinas........ 28
Denegaciones de servicio (DoS)..... 16
Infección gusanos/virus............ 118
Correo basura...................... 4
Otros............................. 3

total... 190


IRIS-CERT

Escaneos o intentos de entrada... 372
(la mayoría, gusanos)
Accesos ilegales ................ 377
Correo basura.................... 59
Otros............................ 257

total...1.065 



año 2000
--------

esCERT

Escaneos o intentos de entrada... 33
Accesos ilegales a máquinas...... 19
Correo basura....................  5
Denegaciones de servicio.........  3
Otros............................  4

total... 64


IRIS-CERT

Escaneos o intentos de entrada... 268
Accesos ilegales a máquinas......  61
Correo basura....................  74
Denegaciones de servicio.........  24
Troyanos.........................  14
Otros............................  46

total... 490


año 1999
--------

esCERT

Escaneos o intentos de entrada.... 8
Accesos ilegales a máquinas.......14
Denegaciones de servicio.......... 3
Correo basura..................... 3
Otros.............................11

total... 39


IRIS-CERT

Escaneos o intentos de entrada... 30
Accesos ilegales y denegaciones.. 38
Correo basura.....................78
Otros.............................94

total... 240

More information about the hacking mailing list