 |
|
|
Como eliminar las diez vulnerabilidades de seguridad en Internet mas criticas
|
|
|
|
|
El consenso de los expertos
Version 1.32 - 18 de enero de 2001
Copyright, 2000, The SANS Institute
|
|
|
|
?Detener los accesos no autorizados!
La mayoria de los ataques con exito a ordenadores mediante Internet se pueden agrupar como la utilizacion de un reducido numero de
vulnerabilidades. La mayor parte de los ordenadores comprometidos durante el incidente conocido como "Solar Sunrise Pentagon" fueron atacados mediante una vulnerabilidad concreta. Una
vulnerabilidad similar a esa fue la que se utilizo para controlar la mayor parte de los ordenadores que posteriormente se utilizaron masivamente en los ataques distribuidos de negacion de
servicio. De la misma forma, los recientes accesos ilegales a servidores web basados en Windows NT estan asociados a la utilizacion de una vulnerabilidad sobradamente conocida. Otra
vulnerabilidad, todavia, suficientemente estudiada para ser la causa de permitir el control ilegal de mas de 30.000 sistemas Linux.
|
|
|
|
|
|
|
|
Actualizaciones
|
|
v. 1.32 -18/01/01
|
|
|
Curso, en ingles, sobre esta recopilacion de vulnerabilidades. El curso incluye una presentacion (en formato .PDF) y la explicacion (en formato
.MP3).
|
|
v. 1.31 -28/12/00
|
|
|
Enlace a una guia que explica, paso a paso, a los administradores de sistemas como determinar el impacto de estas diez vulnerabilidades de seguridad en sus sistemas (Solaris y BSDI).
|
|
v. 1.30 -19/11/00
|
|
|
Correccion del titulo de la seccion sobre sendmail.
|
|
v. 1.29 -19/11/00
|
|
Actualizacion de los sistemas afectados por vulnerabilidades en bind.
|
|
v. 1.28 -08/11/00
|
|
|
Mas informacion en el Apendice B.
|
|
v. 1.27 -12/09/00
|
|
|
Actualizacion del Apendice B.
|
|
|
Downloads
|
|
Documento en formato .PDF
|
|
|
|
|
Con solo algunas vulnerabilidades, en definitiva, se realizan la mayor parte de los ataques con exito debido, en gran parte a que los atacantes son oportunistas - utilizan la via mas facil y
conveniente. Utilizan las brechas mejor conocidas mediante el uso de diversas herramientas de ataques muy efectivas y ampliamente difundidas. Se aprovechan de aquellas organizaciones que no aplican los parches para
resolver los problemas, realizando habitualmente ataques de forma indiscriminada, rastreando en Internet por la existencia de sistemas vulnerables.
La mayor parte de los administradores de sistemas afirman que no han solucionado estas brechas de seguridad por la simple razon que desconocen cuales de los 500 problemas potenciales son los mas
peligrosos y carecen del tiempo necesario para poder corregirlos todos. Hemos preparado una guia que explica, paso a paso, como los administradores de sistemas pueden determinar el impacto de estas vulnerabilidades.
La comunidad de profesionales de la seguridad informatica desea resolver este problema identificando las areas de seguridad en Internet mas criticas - el grupo de vulnerabilidades que los
administradores de sistemas deben eliminar de forma inmediata. Esta lista consensuada, a la que denominaremos Top Ten, es un ejemplo sin precedentes de cooperacion activa entre la industria, los organismos
publicos y las instituciones educativas. Los participantes provienen de las agencias federales con mayor conciencia en temas de seguridad, de los principales distribuidores de productos de seguridad, de
consultoras especializadas; de diversas universidades con programas especializados en seguridad y del CERT/CC y el SANS Institute. Al final del articulo incluimos la relacion completa de participantes.
Esta es la lista de los 10 problemas de seguridad en Internet mas frecuentemente utilizados, con la relacion de acciones que deben tomarse para proteger los sistemas de las mismas.
|
|
|
|
|
|
Tres notas para el lector:
|
|
|
|
Nota 1. Este es un documento en constante evolucion. Incluye las instrucciones iniciales, paso a paso y direcciones para solucionar los defectos. Iremos actualizando las
instrucciones a medida que vayamos identificando cuales son los pasos mas convenientes; se agradeceran los comentarios del lector al respecto. Este documento es un consenso de la comunidad -su experiencia
en la eliminacion de las vulnerabilidades puede ayudar a los que vengan detras. Para enviar sus sugerencias, envie un mensaje a <barcelona@selseg.com> utilizando "Comentarios al Top Ten" como tema del mismo. Para obtener la version mas actualizada de estas
instrucciones, envie un mensaje a <barcelona@selseg.com> con el tema "
Documento Top Ten".
Nota 2. Encontrara referencia a registros CVE - los numeros de referencia de las Vulnerabilidades y Exposiciones mas Habituales, que se corresponden con una vulnerabilidad. Los
numeros CAN corresponden a propuestas de CVE que no han sido totalmente verificadas. Para informacion adicional sobre el proyecto CVE, visite http://cve.mitre.org.
Nota 3. Al final de la lista, encontrara una seccion extra con una relacion de los puertos utilizados por los servicios habitualmente sondeados y atacados. Bloqueando el trafico a dichos
puertos en su cortafuegos u otro dispositivo de proteccion perimetral, obtendra un nivel extra de defensa que le ayuda a protegerse de los errores de configuracion.
|
|
|
|
Contenido
|
|
Debilidades de BIND: nxt, qinv e in.named permiten comprometer la cuenta de root inmediatamente. Programas CGI y extensiones de aplicacion (por ejemplo, ColdFusion) instalados en servidores web.
Comparticion de archivos global y comparticion de
informacion inapropiada mediante NetBIOS y los puertos 135 -> 139 en Windows NT (445 en Windows 2000), exports de NFS en Unix (puerto 2049), comparticion via web en Macintosh y Appleshare/IP en puertos 80,
427 y 548. Cuentas de usuario, especialmente la de root o
administrador, sin contrasena o con contrasena poco segura. Vulnerabilidades de desbordamiento de buffer o configuracion incorrecta en IMAP
y POP3.
Informacion adicional
Guia, para administradores de sistemas, que ayuda a los
administradores de sistemas a verificar el impacto de estas vulnerabilidades en sus sistemas (Solaris y BSDI). Curso, en ingles, sobre el material de este informe.
|
|
|
|
|
