[HACK] Los ataques tradicionales a ordenadores remiten en el 2003...

merce at grn.es merce at grn.es
Thu Jan 29 15:55:58 CET 2004 

17:50 21/01/04


LOS  ATAQUES  TRADICIONALES  A ORDENADORES REMITEN EN EL 2003 MIENTRAS
SIGUE LA OLA DE VIRUS Y GUSANOS

Las  denuncias por infracción de derechos de autor subieron un 500% en
la red académica


Mercè Molist
El  mito del "cracker" artesanal que se divierte asaltando ordenadores
es   cada  vez  más  minoritario,  frente  a  quienes  usan  programas
automáticos  y  los virus llamados gusanos, porque saltan solos de una
red  a  otra.  Han  sido  la  norma  el pasado año, según el Centro de
Respuesta  a  Emergencias  (CERT)  de  RedIRIS. Esta tendencia, que se
inició  en el 2001, se intensifica en el 2003: de los 1.294 incidentes
atendidos  en  la  red  académica,  el  81%  eran  gusanos  y escaneos
automáticos  de  ordenadores  y  redes,  la mayoría realizados por los
mismos gusanos.

El IRIS-CERT coordina los incidentes de seguridad de las universidades
y  centros  de  investigación  y del dominio .es, lo que convierte sus
estadísticas  en  representativas  del estado de la cuestión en la red
española,  aunque  no  cubren  la totalidad de casos. Durante el 2003,
atendieron  1.294 incidentes, lo que supone un 13,44% menos que el año
pasado.

Es  la  primera  vez,  desde  1999, que desciende la actividad aunque,
afirma  una  representante  de  IRIS-CERT,  "esto no significa que los
problemas de seguridad hayan disminuido, porque no se contabilizan los
casos  de  correo  basura,  los  virus  de  correo electrónico, ni las
infracciones   de  "copyright",  donde  se  ha  producido  un  aumento
considerable,   casi  el  500%,  la  mayoría  por  películas,  música,
videojuegos y software".

Además,  explica: "Ha habido una serie de gusanos tan virulentos y tan
activos,  por  ejemplo el Blaster, que comenzó a propagarse en agosto,
cuando   la  mayoría  del  personal  estaba  de  vacaciones,  que  las
instituciones,  en algunos casos, en lugar de reportar las incidencias
las   han   gestionado   de  forma  interna,  no  llegando  a  nuestro
conocimiento".   Los  gusanos  representan  el  16,49%  de  incidentes
investigados  por  el  IRIS-CERT,  aunque  buena  parte  de  los casos
catalogados  como  "escaneos  de puertos" eran también producto de los
gusanos.

Estos  escaneos, que buscan de forma masiva ordenadores vulnerables en
la  red, como paso previo al ataque, han sido la actividad que ha dado
más  trabajo  al  IRIS-CERT  en  el  2003:  "Representan  el 64,68% de
incidentes,  normalmente utilizando herramientas automatizadas. Muchos
de  estos  incidentes clasificados escaneos han resultado ser al final
problemas  más  graves  derivados  de  gusanos,  troyanos, acceso como
"root"  e  instalación  de  "rootkits" (programas que consiguen acceso
privilegiado en un ordenador). Los puertos más escaneados han sido los
que tenían que ver con la actividad de algunos gusanos".

Estos gusanos, a diferencia de los virus de correo electrónico, actúan
solos,  no  precisan  de  la  intervención  humana  para  infectar   y
reproducirse,   siguiendo   automáticamente   el   método  básico  del
"hacking":  buscar una vulnerabilidad en una máquina y explotarla para
hacerse  con  el  control, de aquí saltar a otras. Según IRIS-CERT, en
2003  "han  aparecido  una  gran  variedad  de  gusanos. El Slammer, a
principios  de  año,  tuvo una amplia repercusión en la red académica,
obligando  a aplicar filtros en los troncales y enlaces externos. Otro
gusanos  que  se  han  dejado  notar han sido el Blaster, el Welchia o
Nachi,  que  además  provocaba  ataques  de denegación de servicio, el
Bugbear,  versiones de éstos y otros más viejos, como Nimda, Code Red,
etc".

La   mayoría   de   incidentes  (el  92,73%)  han  tenido  repercusión
internacional,  usualmente  porque  se  ha recibido una denuncia desde
fuera  de España. 791 de estos 1.200 casos eran ataques de ordenadores
de la red académica hacia el exterior.

Los   agujeros   más  utilizados  por  los  intrusos  para  entrar  en
ordenadores  han  sido programas ya conocidos por su inseguridad, como
el servidor de correo Sendmail o las aplicaciones Microsoft. El Equipo
para  la  Coordinación de Emergencias de la Universitat Politècnica de
Catalunya  (esCERT-UPC) afirma: "Durante este año, se han detectado un
gran  número  de vulnerabilidades, 374 según nuestra base de datos. La
mayoría pueden permitir a un atacante remoto ejecutar código malicioso
en  la  máquina  o provocar denegaciones de servicio. Algunas han sido
aprovechadas  por  virus  como  Blaster  o  Slammer,  para  propagarse
masivamente por la red. En el 2004 aparecerán virus similares".



LOS VIRUS POR CORREO ELECTRÓNICO SE ESTABILIZAN


La red de sensores del Centro de Alerta Temprana Antivirus detectó, en
2003, un leve incremento del 1,87% en los virus que se distribuyen por
correo  electrónico. Si en 2002 el 2,67% de mensajes analizados por el
Centro  estaban  infectados,  en  2003  fueron el 2,72%. En cambio, el
número  de  virus  en Internet aumentó un 55,54%. Según el Centro, "la
práctica  estabilización  de la incidencia de virus pese al incremento
del  número de ellos se debe a una clara mejoría en la conscienciación
del ciudadano".



INCIDENTES COORDINADOS POR IRIS-CERT

1999............195
2000............416
2001..........1.038
2002..........1.495
2003..........1.294




IRIS-CERT
http://www.rediris.es/cert
Vulnerabilidades más críticas del año
http://escert.upc.es/index.php/web/es/publicacion,131,1.html
Centro de Alerta Temprana Antivirus
http://www.alerta-antivirus.es



Copyright (C) 2004 Mercè Molist.
Verbatim  copying, translation and distribution of this entire article
is permitted in any medium, provided this notice is preserved.

More information about the hacking mailing list