12:50 09/01/03
LOS ATAQUES INFORMÁTICOS SUBIERON MODERADAMENTE EL AÑO PASADO
Los "gusanos" siguen siendo protagonistas de la mayoría de incidentes investigados por los dos equipos españoles de respuesta a emergencias
Mercè Molist
Los programas maliciosos que se autopropagan por los servidores de Internet, llamados "gusanos", son el mayor dolor de cabeza de los Computer Emergency Response Team (CERT) españoles. Si en el 2001 triplicaban el trabajo de los investigadores, el año pasado siguieron dando quehacer, eclipsando a otros tipos de ataques. En total, los dos centros españoles, IRIS-CERT, enfocado a las universidades, y esCERT, a las empresas, han visto como sus estadísticas subían un 42,5% en el 2002, lo que representa 1.789 incidentes investigados.Como siempre, en las universidades se han producido la mayoría de problemas: 1.495 casos el año pasado, que supone un incremento del 44,02%, muy alejado de las cifras espectaculares del 2001, cuando la subida fue del 149,5%, y del 2000 (113%). "Nos ha sorprendido este incremento tan bajo, puesto que han sido muchos los problemas de seguridad, sobre todo en lo que a gusanos se refiere: en julio, "Code Red" dio mucho trabajo y "Slapper", "Opaserv" y "Bugbear" han tenido gran repercusión", afirman.
Los escaneos masivos de puertos, provocados por estos "gusanos" al buscar nuevas máquinas a las que infectar, han sido la alarma más numerosa. "El mayor número de incidencias se detectó en septiembre, con 289 casos por la aparición del gusano "Slapper", que afecta a servidores Linux, y "Bugbear", que puede desactivar los programas de seguridad de las máquinas que infecta y ha sido responsable de distintos problemas de saturación en los troncales de la red académica. Además de esta nueva gama, continúan activos los gusanos del año pasado, como Code Red o Nimda", explican en IRIS-CERT.
Parecida situación se ha vivido en el esCERT, donde se atiende a las empresas. Allí, el gusano estrella ha sido también "Bugbear", del que esCERT destaca "su capacidad para lanzar escaneos de máquinas, crear una amplia red de servidores comprometidos y lanzar desde ellos grandes ataques. Queda así demostrado que los virus son cada vez más completos y ya no se limitan a infectar mediante el correo sinó que atacan a los servidores y les introducen puertas traseras. Esto hace presagiar que, en breve, pueda aparecer un gusano que ponga en peligro el buen funcionamiento de la red".
Tampoco en IRIS-CERT se duermen en los laureles por el bajón de las estadísticas: "Es de esperar que la tendencia sea de incremento cada vez mayor. Los gusanos han supuesto en el 2002 un 88% del total de casos gestionados". La mayor parte de los incidentes investigados en las universidades han tenido repercusión internacional: "Denuncias desde el exterior relativas a equipos de nuestra red. Asimismo, hemos recibido unas 50 incidencias relacionadas con problemas de "copyright", que hemos redirigido a otros centros y no hemos contabilizado, tampoco el correo basura".
La forma más efectiva de combatir esta situación, según esCERT, es "que todos los usuarios tengan sus sistemas correctamente "parcheados". Para ello, desde el año pasado ofrecemos el servicio Altair, una herramienta que permite a las empresas conocer las vulnerabilidades que afectan a sus equipos y las soluciones pertinentes para eliminar así futuros problemas de seguridad". Mientras, en IRIS-CERT avisan que estos números no son nada comparado con la realidad: "Son cifras orientativas puesto que los sistemas de gestión que actualmente utilizamos hacen que no podamos presentar unas estadísticas completas, solamente unos esbozos de los principales problemas de seguridad detectados".
IRIS-CERT
http://www.rediris.es/cert/doc/informes/2002/
esCERT
http://escert.upc.es
CASI 200 WEBS 'CRACKEADAS'
El archivo internacional de sitios web asaltados, "Zone-h", recoge un total de 166 ataques a páginas bajo el dominio .es durante el año pasado. Al haber muchas webs españolas bajo otros dominios, como .com, esta cifra se considera sólo la punta del iceberg, según el servicio de información "Noticiasdot". La mayoría de "webdefacements" del 2002 consistieron en cambiar la página principal por la firma del 'cracker' o comentarios sarcásticos. Sólo unos pocos registraron intereses políticos, también llamados "hacktivistas", especialmente alrededor del conflicto del islote Perejil.
Otros ataques con tintes políticos se vieron en las webs de la filial española de Daewo, donde los intrusos dejaron mensajes contra la Unión Europea, o los sitios de la Diputación de Toledo y la Sociedad Española de Neurociencias, donde cambiaron la portada por textos a favor del pueblo palestino. También la web del Hospital Severo Ochoa de Leganés vió sustituido su contenido por mensajes pro-palestinos. Este hospital tiene el dudoso honor de haber visto su web comprometida en doce ocasiones durante 2002, la mayoría a cargo del grupo "Lezbian Girl Team". Otro "cracker" prolífico ha sido "Red Eye", que ha atacado 25 sitios españoles sólo el año pasado.
Las webs de universidades, algunas repetidamente, han sido las más vulnerables, como las del País Vasco, Valladolid, autónomas de Barcelona y Madrid y la Complutense. En la Universidad de Navarra, el intruso dejaba un divertido mensaje en inglés: "El campus parece bonito. ¿Teneis buen tiempo todo el año?". El sistema operativo más débil ante "webdefacements" ha sido Windows, con 87 sitios del total de 166, mientras que sólo 30 servidores web bajo Linux mordieron el polvo.
Zone-h
http://www.zone-h.com
Noticiasdot
http://www.noticiasdot.com
-------------------------------------------------------
INCIDENTES AÑO 2002 esCERT
(empresas y Universitat Politècnica de Catalunya)
Accesos ilegales a máquinas 47
Escaneos o intentos de entrada 100
Denegaciones de servicio 4
Gusanos / Virus 137
Otros (amenazas, uso fraudulento de tarjetas, programas piratas).. 6TOTAL: 294
INCIDENTES AÑO 2002 IRIS-CERT
(resto universidades españolas y máquinas del dominio .es)Acceso a cuentas privilegiadas 96
Escaneo de puertos 706
Denegación de Servicio 23
Troyanos y gusanos 622
Uso no autorizado de "proxies" 22
Otros 26TOTAL: 1.495
TOTAL AÑO 2002: 1.789
- HISTÓRICO -
año 2001
--------esCERT
Escanos o intentos de entrada...... 21
Accesos ilegales a máquinas........ 28
Denegaciones de servicio (DoS)..... 16
Infección gusanos/virus............ 118
Correo basura...................... 4
Otros............................. 3total... 190
IRIS-CERT
Escaneos o intentos de entrada... 372
(la mayoría, gusanos)
Accesos ilegales ................ 377
Correo basura.................... 59
Otros............................ 257total...1.065
año 2000
--------esCERT
Escaneos o intentos de entrada... 33
Accesos ilegales a máquinas...... 19
Correo basura.................... 5
Denegaciones de servicio......... 3
Otros............................ 4total... 64
IRIS-CERT
Escaneos o intentos de entrada... 268
Accesos ilegales a máquinas...... 61
Correo basura.................... 74
Denegaciones de servicio......... 24
Troyanos......................... 14
Otros............................ 46total... 490
año 1999
--------esCERT
Escaneos o intentos de entrada.... 8
Accesos ilegales a máquinas.......14
Denegaciones de servicio.......... 3
Correo basura..................... 3
Otros.............................11total... 39
IRIS-CERT
Escaneos o intentos de entrada... 30
Accesos ilegales y denegaciones.. 38
Correo basura.....................78
Otros.............................94total... 240