INFORME DE VULNERABILIDADES

PRIMER SEMESTRE 2011

Primer Semestre 2011

El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar informacin sobre la construccin de documentos PDF accesibles puede consultar la gua disponible en la seccin Accesibilidad > Formacin > Manuales y Guas de la pgina http://www.inteco.es.

Informe_Vulnerabilidades_2011_semestre_1

La presente publicacin pertenece al Instituto Nacional de Tecnologa de la Comunicacin (INTECO) y esta bajo licencia Reconocimiento-No comercial 3.0 Espaa de Creative Commons, y por ello estar permitido copiar, distribuir y comunicar pblicamente esta obra bajo las condiciones siguientes: Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconocimiento no podr en ningn caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra. Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales. Al reutilizar o distribuir la obra, tiene que dejar bien claro los trminos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO.

http://creativecommons.org/licenses/by-nc-sa/3.0/es/
El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). As, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar informacin sobre la construccin de documentos PDF accesibles puede consultar la gua disponible en la seccin Accesibilidad > Formacin > Manuales y Guas de la pgina

http://www.inteco.es

Informe_Vulnerabilidades_2011_semestre_1

Contenido
NDICE DE FIGURAS 1. 2. INTRODUCCIN VULNERABILIDADES 2.1. 2.2. 2.3. 2.4. 2.5. 2.1. 3. Nivel de severidad de las vulnerabilidades Productos ms afectados Fabricantes ms afectados Vulnerabilidades ms comunes segn su tipo 2.4.1. Vulnerabilidad error de buffer Vulnerabilidades segn el sistema operativo para pc Vulnerabilidades por navegadores 5 6 7 7 8 9 10 11 12 13 14 14 14 15 15 16

BUENAS PRCTICAS

3.1.

Copias de seguridad de datos 3.1.1. 3.1.2. 3.1.3. 3.1.4. De qu se puede hacer la copia? Datos creados por el usuario, cules son y dnde estn Otros datos personales a tener en cuenta Cmo crear copias de seguridad?

Informe_Vulnerabilidades_2011_semestre_1

NDICE DE FIGURAS
Figura 1: Vulnerabilidades por nivel de riesgo. Figura 2: Productos ms afectados por las ltimas vulnerabilidades. Figura 3: Fabricantes ms afectados por las ltimas vulnerabilidades. Figura 4: Vulnerabilidades ms comunes por tipo. Figura 5: Vulnerabilidades por sistema operativo para PC Figura 6: Vulnerabilidades por navegador 7 8 9 10 12 13

Informe_Vulnerabilidades_2011_semestre_1

1.

INTRODUCCIN

Fruto del acuerdo de colaboracin que INTECO tiene con el NIST (National Institute of Standards and Technology) el Instituto Nacional de Tecnologas de la Comunicacin cuenta con un completo repositorio que ronda las 47.500 vulnerabilidades traducidas al castellano cuyo fin es informar y advertir a los usuarios sobre los fallos de seguridad existentes en los sistemas operativos, hardware y otro tipo de aplicaciones. Los datos originales procesados en INTECO-CERT se obtienen de su buscador de vulnerabilidades, que es la traduccin al espaol de las vulnerabilidades que se publican en el NIST. El presente Informe de vulnerabilidades primer semestre 2011, emitido por el Centro de Respuesta a Incidentes de Seguridad de INTECO, INTECO-CERT, pretende mostrar un resumen sobre las vulnerabilidades reportadas en el primer semestre de 2011, expresado en grficas para ofrecer una visin global de la actividad generada durante los seis primeros meses del ao. Tambin es objetivo de este informe concienciar sobre la importancia de las actualizaciones de seguridad en los sistemas para minimizar los riesgos provocados por las vulnerabilidades como, por ejemplo, los vectores de ataque del software malicioso que existe en la actualidad. Este informe refleja tambin uno de los pilares de INTECO-CERT: el fomento de la cultura de Seguridad. sta ha de llevarse a cabo siguiendo unas instrucciones bsicas y teniendo, el usuario, usa serie de hbitos para que, de forma natural, los utilice y mejore su experiencia en Internet.

Informe_Vulnerabilidades_2011_semestre_1

2.

VULNERABILIDADES
NIVEL DE SEVERIDAD DE LAS VULNERABILIDADES

2.1.

La siguiente grfica muestra el nmero de vulnerabilidades documentadas en http://cert.inteco.es a lo largo del primer semestre de 2011 (clasificadas por su nivel de gravedad), que ascendi a 2.037.

Figura 1: Vulnerabilidades por nivel de riesgo.

Segn el grfico anterior es posible observar que, durante todo el periodo analizado, las vulnerabilidades ms frecuentes son las correspondientes al nivel de gravedad alta y media. Esto significa que ha sido un periodo de riesgo ya que estas vulnerabilidades podran causar problemas en caso de que fueran explotadas. Tambin se podra deducir que las vulnerabilidades que ms se reportan son las que corresponden a estos niveles.

Informe_Vulnerabilidades_2011_semestre_1

2.2.

PRODUCTOS MS AFECTADOS

La siguiente figura muestra los productos ms afectados por las vulnerabilidades del primer semestre de 2011. Solamente se incluyen aquellos productos afectados por el mayor nmero de nuevas vulnerabilidades.

Figura 2: Productos ms afectados por las ltimas vulnerabilidades.

Google Chrome aparece en el primer puesto seguido de Webkit de Apple, que es la estructura base (framework) que usan otros navegadores, entre ellos Chrome y algunos navegadores para mviles. Al igual que ocurri en el anterior semestre, los navegadores ocupan esta vez tambin los primeros puestos. Este hecho, unido a que la mayor parte son multiplataforma, hace que sean un objetivo de primera para los ciberdelincuentes. Por este motivo, INTECO-CERT insiste en cada informe en la importancia de realizar las actualizaciones de seguridad y ms concretamente en este caso, en la necesidad de tener actualizado el navegador, como el primer escudo de defensa ante las vulnerabilidades.

Informe_Vulnerabilidades_2011_semestre_1

2.3.

FABRICANTES MS AFECTADOS

La siguiente figura muestra los diez fabricantes ms afectados por las vulnerabilidades detectadas durante el trimestre.

Figura 3: Fabricantes ms afectados por las ltimas vulnerabilidades.

Al igual que el informe del semestre anterior, dentro de los fabricantes ms afectados por las vulnerabilidades aparece Microsoft en el primer puesto. Esto da pie para sealar que los desarrolladores que ms productos tienen en el mercado son los que ms vulnerabilidades van a publicar habitualmente. Las compaas que tienen mltiples productos en el mercado son: Microsoft, Cisco, Apple y Adobe. Durante el primer semestre de 2011 CISCO ocupa la segunda posicin. Debido a que esta empresa se centra en conectividad de redes a nivel muy tcnico, y a que sus mquinas tienen su propio sistema operativo, estos dispositivos (bridges, switchs, routers) suelen presentar vulnerabilidades. Pese a que pueda parecer que estas vulnerabilidades no afectan al gran pblico, sino solo a grandes empresas, lo cierto es que cualquier comunicacin de datos pasar por alguna mquina de CISCO en algn momento.

Informe_Vulnerabilidades_2011_semestre_1

2.4.

VULNERABILIDADES MS COMUNES SEGN SU TIPO

El siguiente grfico muestra los tipos de vulnerabilidades ms comunes registradas durante los primeros seis meses de 2011 y la proporcin que cada uno de ellos representa sobre el total de vulnerabilidades registradas.

Figura 4: Vulnerabilidades ms comunes por tipo.

En el grfico de arriba aparece como ms comn el grupo Otros. Esto se debe principalmente a que el proceso de alta de vulnerabilidades consiste en varios pasos: reporte de las mismas, comprobacin de que efectivamente son ciertas, comprobacin de qu productos se ven afectados, a qu son debidas, etc. Este proceso puede durar algo de tiempo, y en algunos casos es muy complicado determinar el tipo de vulnerabilidad debido a que puede deberse a varios factores, o a otros no contemplados en la clasificacin actual.

Informe_Vulnerabilidades_2011_semestre_1

10

2.4.1.

Vulnerabilidad error de buffer

En este periodo, aparecen en primer lugar (por nmero) las vulnerabilidades referidas a errores de buffer (CWE-119). Un buffer es una zona de memoria que se emplea como depsito de datos parcial para unir dos dispositivos con distintas velocidades de trabajo, con el objeto de mejorar el rendimiento de los distintos dispositivos que lo usan. Permite que un dispositivo rpido, no tenga que esperar por uno lento, o que un dispositivo no se quede sin datos de entrada para procesar. Hay dos tipos genricos de errores de buffer: Desbordamiento de buffer (buffer overflow/overrun) es la situacin que se produce cuando un proceso escribe o lee datos fuera de la zona de buffer destinada a tal efecto. Subdesbordamiento de buffer (buffer underflow/underrun). Es la situacin que se produce cuando la velocidad de entrada de los datos al buffer es inferior a la velocidad de procesamiento de la misma, con lo cual el buffer se vaca y se procesan datos nulos.

El tipo de error de buffer ms frecuente en vulnerabilidades es el desbordamiento. No obstante, en ambos casos cuando se trata de explotar este tipo de vulnerabilidades se intenta que el programa no funcione de forma adecuada, pudiendo provocar accesos a informacin de memoria (fuga de informacin), modificacin de la secuencia de ejecucin de un proceso, modificacin de datos en tiempo de ejecucin, cada de la aplicacin e incluso la ejecucin de comandos. La forma de prevenir este tipo de problemas es aprovechar una caracterstica de los procesadores modernos de marcar zonas de memoria como protegidas. De esta forma, cuando se produzca un intento de acceso a una zona protegida, se generar una excepcin del sistema que, controlada de forma adecuada, podra solucionar, o al menos controlar, esta situacin. Para proteger las zonas de memoria, el programador ha de indicar al sistema operativo las zonas en cuestin para cada programa que se utilizar. Esto supone, adems de una carga extra de trabajo para los desarrolladores, un problema de cdigo heredado.

Informe_Vulnerabilidades_2011_semestre_1

11

2.5.

VULNERABILIDADES SEGN EL SISTEMA OPERATIVO PARA PC

El siguiente grfico muestra los datos correspondientes a los sistemas operativos que se ha optado monitorizar al tratarse de los ms ampliamente utilizados por los equipos de usuario.

Figura 5: Vulnerabilidades por sistema operativo para PC

El ranking de vulnerabilidades por sistema operativo durante el periodo analizado est encabezado por Windows y finalizado por Mac OS X. Este indicador se utiliza para analizar la evolucin a lo largo del tiempo, nos siendo vlido para afirmar que un sistema operativo es ms seguro que otro al no tener en cuenta la importancia de las vulnerabilidades, el tiempo de resolucin y el grado de explotacin de las mismas. En este semestre se intercambian las dos primeras posiciones respecto al semestre anterior, mantenindose Mac en tercer puesto en ambos casos. En principio sacar conclusiones con una serie de dos valores no es adecuado, pero se puede extraer que el nmero de vulnerabilidades que afectan a los sistemas es ms bajo que en el semestre anterior. Tambin hay que sealar que el nmero de vulnerabilidades en los sistemas operativos no es alto comparado con el total, lo que indica que se reportan ms vulnerabilidades de aplicaciones que de sistemas operativos. Esta afirmacin es refrendada por un informe de Kaspersky que indica que las 12 vulnerabilidades ms comunes encontradas en equipos de usuarios son relativas a productos de Adobe (Reader y Flash) y de Sun (Java).

Informe_Vulnerabilidades_2011_semestre_1

12

2.1.

VULNERABILIDADES POR NAVEGADORES

El siguiente grfico muestra los datos correspondientes a las vulnerabilidades reportadas para cada navegador monitorizado. stos han sido elegidos por tratarse de los ms utilizados por los usuarios.

Figura 6: Vulnerabilidades por navegador

En esta ocasin, destaca respecto del resto Google Chrome, seguido de Mozilla Firefox (la tercera parte de vulnerabilidades que Chrome). Respecto al semestre anterior, se mantiene el orden, siendo Google Chrome el navegador del que ms vulnerabilidades se han reportado. INTECO-CERT continuar la monitorizacin para poder comprobar la tendencia en este tipo de software a lo largo del tiempo. De momento, Chrome encabeza el nmero de vulnerabilidades reportadas en los dos semestres analizados. El resto de navegadores mantienen sus posiciones y el nmero aproximado de vulnerabilidades.

Informe_Vulnerabilidades_2011_semestre_1

13

3.

BUENAS PRCTICAS

Con este informe de vulnerabilidades INTECO-CERT no slo pretende informar sobre cuntas se han reportado y mostrar algunas clasificaciones sino que tambin se pretende concienciar sobre las medidas a utilizar para mejorar la seguridad de los sistemas. Dentro de las consignas de seguridad de INTECO-CERT se tienen como base de trabajo los siguientes tres conceptos: actualizar proteger prevenir

3.1.

COPIAS DE SEGURIDAD DE DATOS

Dentro de la seccin de Buenas prcticas de este informe se ofrece una serie de consejos sobre la proteccin de datos del sistema, en concreto en este informe se van a tratar las copias de seguridad en los sistemas Windows. El primer paso para proteger la informacin consiste en realizar copias de seguridad peridicas.

3.1.1.

De qu se puede hacer la copia?

La copia de seguridad ms importante es la que contiene los ficheros creados en el sistema. Estos ficheros son los documentos de texto, hojas de clculo, programas de contabilidad, fotos realizadas por el usuario. Esto es, los ficheros que no se pueden volver a obtener. Tambin hay otros datos que se almacenan en el equipo y de los que es necesario hacer copias de seguridad. Esto da pi a diversos grupos de informacin para hacer las copias de seguridad, que son los siguientes: datos creados por el usuario (ficheros creados por el usuario: documentos, fotos) configuracin del usuario del ordenador sistema completo (sistema operativo, aplicaciones, configuracin y datos de usuarios)

Este informe, ahonda en las copias de seguridad de los ficheros personales del usuario (creados por el).

Informe_Vulnerabilidades_2011_semestre_1

14

3.1.2.

Datos creados por el usuario, cules son y dnde estn

Dentro de este grupo se engloban los ficheros de datos que se generan con las aplicaciones que estn instaladas en el sistema y que almacenen los datos en un disco local. En funcin de qu tipo de software se utilice, se generarn distintos tipos de ficheros. Por ejemplo, en una oficina normalmente hay ficheros creados con procesadores de texto, hojas de clculo, facturas, correos electrnicos, etc. Asimismo, en el estudio de un editor de vdeo habr ficheros de audio, vdeo, efectos, etc. Cada usuario ha de ser consciente de qu datos genera y, sobre todo, dnde los almacena. En los sistemas operativos Windows se crea una carpeta donde se almacenan los documentos del usuario por defecto. Esa carpeta se llama Mis documentos en Windows XP y est en la siguiente ruta por defecto: C:\Document and Settings\%usuario%\Mis documentos

En Windows Vista y Windows 7 se llama Documentos y est en la siguiente ruta: C:\Users\%Usuario%\Documents

En todos estos casos se da por supuesto que el sistema operativo est instalado en la unidad C:. Dentro de esta carpeta se encuentran otras para imgenes, videos, msica, descargas etc. En sistemas Linux la carpeta de usuario suele estar en la ruta /home/%Usuario%. Igualmente, dentro de ella existen carpetas para imgenes, aplicaciones, etc. En los sistemas Mac los ficheros de los usuarios estn situados en /users/%usuario%. La copia de seguridad ms elemental debe incluir todos los ficheros personales de todos los usuarios del equipo. Sin embargo, de los archivos de msica y vdeo, que ocupan mucho espacio, no es necesario hacer las copias de seguridad, si el usuario tiene los originales y puede recuperarlos.

3.1.3.

Otros datos personales a tener en cuenta

Aparte de los ficheros que se almacenan en las carpetas que se indican en el apartado anterior, hay otra serie de ficheros que es necesario incluir en una copia de seguridad ya que, aunque su prdida no cause grandes daos s podra representar un quebranto importante. Dentro de este otro tipo de datos estn los siguientes: Correos electrnicos. Si el usuario tiene un cliente de correo y descarga todos los mensajes sin guardar copia en el servidor, solo le quedara la copia del correo en su ordenador. Si por algn fallo pierde el correo, esto sera irreversible, por lo cual es necesario hacer esas copias. Tambin es buena idea hacer una copia de seguridad de los correos de servidores web (Hotmail, Google, Yahoo).

Informe_Vulnerabilidades_2011_semestre_1

15

Datos del navegador. Hoy en da es una de las herramientas de trabajo ms usadas y, entre otros datos, almacena el historial, favoritos, etc. Por ello, es necesario incluirlo en la copia de seguridad de forma que, en caso de prdida, se pueda restaurar de forma sencilla. Certificados digitales. Cada vez son ms utilizados y, en muchos casos, no se tiene en cuenta la posibilidad de que se deterioren los que ya estn instalados, de forma que tenerlos en la copia de seguridad es importante. Documentos del escritorio. En todos los sistemas operativos con interfaz grfico (prcticamente todos), hay muchos usuarios que trabajan con carpetas en el escritorio por comodidad. Es importante saber que esta carpeta es distinta a la de documentos personales (en algunos casos la carpeta del escritorio est dentro de la carpeta personal). En caso de que la carpeta de escritorio no est dentro de la carpeta personal habr que incluirla en la copia. Bases de datos. Hay aplicaciones que utilizan bases de datos (contabilidad, facturacin, servidores web) que almacenan la informacin en carpetas distintas a la personal, normalmente dentro de la carpeta de instalacin de la aplicacin. Habr que identificar estas carpetas y realizar copia de seguridad de todas ellas.

3.1.4.

Cmo crear copias de seguridad?

Todos los sistemas operativos disponen de aplicaciones propias de copia de seguridad de forma eficiente, as que no es necesario instalar otras aplicaciones. No obstante, es cierto que hay aplicaciones que tienen prestaciones superiores a las del sistema o bien son ms precisas u orientadas a tareas muy concretas de forma que complementan la incluida en el sistema. Dentro de portal de la Oficina de Seguridad del Internauta de INTECO, en la seccin Protgete, est el apartado Protege tu ordenador y dentro est el contenido Copias de seguridad en la cual se explica cmo hacer copias de seguridad en Windows, Ubuntu y Mac. En el portal del CERT de INTECO, en la seccin Proteccin, se encuentra la seccin tiles Gratuitos, en la que hay una serie de herramientas gratuitas para realizar copias de seguridad tanto de datos, como de configuraciones y del sistema completo.

Informe_Vulnerabilidades_2011_semestre_1

16