Upload File

serweb

15
Vulnerabilidades Presentes en Servidores Web: Estudio de la Realidad Chilena (Informe T´ ecnico CLCERT-2002-03) Marcos Kiwi * Roberto Opazo Resumen Este trabajo reporta el resultado de tomar una muestra estratificada de IPs que funcionan como servidores web, ejecutar una herramienta (Nessus) de an´ alisis perimetral de vulnerabilidades sobre ellos, y analizar estad´ ısticamente los datos recolectados. Entre los factores analizados est´ an: n´ umero de vulnerabilidades, riesgo, puertos afectados, forma de soluci ´ on, y sistemas operativos involucrados. Se compararon resultados en 2 subpoblaciones: Educacional (direcciones IP asociadas a sitios educacionales) y gobierno (direcciones IP asociadas a sitios de gobierno). En todos los indicadores calculados la muestra de gobierno result´ o m´ as segura que la muestra educacional. Por ejemplo, en la muestra educacional el 70, 0% de las direcciones IP tiene al menos una vulnerabilidad seria (la categor´ ıa m´ as alta), en cambio en la muestra de gobierno este indicador baja al 50, 0%. En este trabajo no se consideran de ninguna forma las diferencias en importancia, inter´ es, y/o visibilidad de los sitios web, dado lo subjetivo de este aspecto — a pesar que el nivel de seguridad requerido por un sitio tiene relaci´ on directa con estos factores. 1 Introducci´ on La seguridad de los sistemas computacionales del pa´ ıs es un tema de inter´ es nacional. Esto se refleja, en parte, en el hecho que los incidentes de seguridad que los han afectado han sido tema de inter´ es p´ ublico y amplia cobertura por parte de los medios de comunicaci ´ on. Tanto el an´ alisis de la situaci ´ on local actual como la discusi ´ on de los incidentes ocurridos tiende a basarse en hechos anecd´ oticos, datos obtenidos de estudios realizados en otros pa´ ıses (principalmente Estados Unidos) y/o estudios internacionales donde el pa´ ıs es considerado junto a muchos otros. Claramente las an´ ecdotas son insuficientes para determinar objetiva y cuantitativamente cu´ al es el estado de los sistemas computacionales nacionales en lo que respecta a seguridad. Los estudios realizados en otros pa´ ıses no son necesariamente extrapolables a la realidad chilena. Por lo tanto, tampoco permiten precisar nuestra situaci ´ on – al menos, hay un desfase en el tiempo en comparaci ´ on con pa´ ıses tecnol´ ogicamente m´ as avanzados cuyos estudios se tiende a citar (un ejemplo de este tipo de fen´ omeno se reporta en [2]). Finalmente, los estudios internacionales, por su naturaleza misma, tienden a ser demasiado gen´ ericos y por ende dan lugar a datos m´ as agregados y/o imprecisos que los estudios locales (nuevamente, en [2] se describe una situaci´ on como la mencionada). El presente trabajo est´ a motivado por el deseo de desmitificar la discusi´ on de algunos aspectos de seguridad que in- volucran a los sistemas chilenos, facilitar la formulaci´ on de pol´ ıticas y pr´ acticas acordes con nuestra realidad/desarrollo sustentada en una discusi´ on t´ ecnica, basada en datos reales, verificables, y que permitan un seguimiento en el tiempo de la evoluci´ on de la situaci´ on. Esperamos as´ ı contribuir a generar una discusi´ on t´ ecnica y objetiva de una situaci´ on de com´ un inter´ es. * Dept. Ing. Matem´ atica & Ctr. de Modelamiento Matem´ atico, UMR 2071 U. Chile–CNRS, [email protected]. Agradece el apoyo de Fondap en Matem´ aticas Aplicadas, 2000–2005. Dept. Cs. de la Computaci ´ on, U. Chile, [email protected]. 1

Upload: negck

Post on 10-Nov-2015

7 views

Category:

Documents


2 download

Report

DESCRIPTION

Aplicacion

TRANSCRIPT

  • Vulnerabilidades Presentes en Servidores Web: Estudio de laRealidad Chilena

    (Informe Tecnico CLCERT-2002-03)

    Marcos Kiwi Roberto Opazo

    Resumen

    Este trabajo reporta el resultado de tomar una muestra estratificada de IPs que funcionan como servidores web,ejecutar una herramienta (Nessus) de analisis perimetral de vulnerabilidades sobre ellos, y analizar estadsticamentelos datos recolectados. Entre los factores analizados estan: numero de vulnerabilidades, riesgo, puertos afectados,forma de solucion, y sistemas operativos involucrados.

    Se compararon resultados en 2 subpoblaciones: Educacional (direcciones IP asociadas a sitios educacionales) ygobierno (direcciones IP asociadas a sitios de gobierno). En todos los indicadores calculados la muestra de gobiernoresulto mas segura que la muestra educacional. Por ejemplo, en la muestra educacional el 70,0% de las direccionesIP tiene al menos una vulnerabilidad seria (la categora mas alta), en cambio en la muestra de gobierno este indicadorbaja al 50,0%.

    En este trabajo no se consideran de ninguna forma las diferencias en importancia, interes, y/o visibilidad de lossitios web, dado lo subjetivo de este aspecto a pesar que el nivel de seguridad requerido por un sitio tiene relaciondirecta con estos factores.

    1 IntroduccionLa seguridad de los sistemas computacionales del pas es un tema de interes nacional. Esto se refleja, en parte, en elhecho que los incidentes de seguridad que los han afectado han sido tema de interes publico y amplia cobertura porparte de los medios de comunicacion.

    Tanto el analisis de la situacion local actual como la discusion de los incidentes ocurridos tiende a basarse en hechosanecdoticos, datos obtenidos de estudios realizados en otros pases (principalmente Estados Unidos) y/o estudiosinternacionales donde el pas es considerado junto a muchos otros. Claramente las anecdotas son insuficientes paradeterminar objetiva y cuantitativamente cual es el estado de los sistemas computacionales nacionales en lo que respectaa seguridad. Los estudios realizados en otros pases no son necesariamente extrapolables a la realidad chilena. Por lotanto, tampoco permiten precisar nuestra situacion al menos, hay un desfase en el tiempo en comparacion con pasestecnologicamente mas avanzados cuyos estudios se tiende a citar (un ejemplo de este tipo de fenomeno se reportaen [2]). Finalmente, los estudios internacionales, por su naturaleza misma, tienden a ser demasiado genericos y porende dan lugar a datos mas agregados y/o imprecisos que los estudios locales (nuevamente, en [2] se describe unasituacion como la mencionada).

    El presente trabajo esta motivado por el deseo de desmitificar la discusion de algunos aspectos de seguridad que in-volucran a los sistemas chilenos, facilitar la formulacion de polticas y practicas acordes con nuestra realidad/desarrollosustentada en una discusion tecnica, basada en datos reales, verificables, y que permitan un seguimiento en el tiempode la evolucion de la situacion. Esperamos as contribuir a generar una discusion tecnica y objetiva de una situacionde comun interes.Dept. Ing. Matematica & Ctr. de Modelamiento Matematico, UMR 2071 U. ChileCNRS, [email protected]. Agradece el apoyo de

    Fondap en Matematicas Aplicadas, 20002005.Dept. Cs. de la Computacion, U. Chile, [email protected].

    1

  • Resumen de resultados obtenidos:

    Los datos recolectados permiten concluir que en promedio hay mayor cantidad de vulnerabilidades, y que estas sonde mayor gravedad, en los IPs del sector gobierno en comparacion con los del sector educacion. Unas 1,4 vecesmas, si se consideran solo la vulnerabilidad mas grave presente en cada direccion IP especficamente, 50,0%de los IP de gobierno exhiben vulnerabilidades serias versus 70,0% para el caso del sector educacional. Distintasteoras pueden explicar esta diferencia; se podra pensar que el gobierno actua coordinadamente aplicando polticasde seguridad que han resultado exitosas; que los sitios de gobierno son objetivos mas atractivos para los atacantesy eso genera niveles de defensa superiores; que los sitios educacionales se atreven a experimentar con versionesmas nuevas y de distinto tipo tanto a nivel del sistema operativo como de aplicaciones; y otras. Este estudio nopretende resolver esta disyuntiva, pero si mostrar que la preocupacion por la seguridad de los sitios web puede producirresultados significativamente superiores. Ademas, se observa que en todos los niveles de riesgo las vulnerabilidadesestan presentes con mayor intensidad (en un factor que vara entre 1,6 y 2,2) en las IPs asociados al sector gobiernoversus las del sector educacional.

    Los porcentajes mencionados en el parrafo anterior, as como el resto de los que se documentan en este trabajo,tienen una precision de 10,0% y un nivel de confianza de 95,0%. Luego, la diferencia entre el 50,0% y 70,0%mas arriba mencionada es estadsticamente significativa. Esta diferencia es evidencia (indirecta) de que los falsospositivos, comunes en cualquier analisis perimetral de seguridad, no invalidan los resultados del presente trabajo.Esto, puesto que no hay razones naturales para suponer que los falsos positivos ocurran con distinta frecuencia endistintas subpoblaciones de IPs. Por ello, las diferencias estadsticamente significativas entre poblaciones debera serreal, y por ende, el orden de magnitud de las proporciones mencionadas debiesen ser aproximadamente correctos.

    La vulnerabilidad seria mas frecuente (CVE-1999-0024) aparece 41 veces, contra 8 repeticiones de la vulnera-bilidad que la sigue. Se trata de una vulnerabilidad que permite enganar al usuario que se conecta a un sitio web,presentandole un sitio distinto al que realmente corresponde a la direccion en Internet (URL) que solicito el usuario.De esta forma es posible construir trampas tipo caza password y otras. La vulnerabilidad se explota atacando elservicio de nombres que utiliza el usuario (DNS), no el sito web. Por lo tanto, el sitio no puede tomar medidas paraevitar el ataque, salvo educar a sus usuarios para que sean capaces de reconocer una pagina segura y acostumbrarse aingresar passwords unicamente en estas paginas.

    Se percibe una notoria exposicion a vulnerabilidades de las cuales una configuracion tpica de un cortafuego nopermite protegerse. En efecto, el 43,2% y 25,7% de las vulnerabilidades detectadas en el universo muestral afectanlos puertos 80 (servicio http) y 53 (servicio DNS) respectivamente.

    Entre los aspectos alentadores de este estudio esta el que una significativa proporcion de las vulnerabilidadesdetectadas (sobre el 75,0%) es de relativamente facil solucion. Esto pues en su mayora conllevan re-configurar,aplicar parches y/o filtros.

    Tanto en el sector gobierno como educacional el sistema operativo configurado de forma mas segura es Unix. Estadiferencia en el nivel de seguridad encontrado en Unix versus Windows se ve acentuada en la muestra de gobiernodonde alcanza un factor de 3,4 (versus 1,3 en el caso educacional). Tambien hay indicaciones que el uso de sistemasoperativos poco frecuentes (menor a un 2,0% de la poblacion total) conlleva incrementos en el nivel de vulnerabilida-des serias en un factor de aproximadamente 1,4.

    Organizacion:

    Lo que resta de este trabajo esta organizado de la siguiente manera; en la Seccion 2 se describe la metodologa usadapara la confeccion de la muestra de maquinas analizadas, en la Seccion 3 se discuten las consideraciones que setuvieron en cuenta en la recoleccion de los datos y la forma en que se tomaron, en la Seccion 4 se presenta el analisisestadstico de los datos, y en la Seccion 5 se concluye con la discusion de algunas interrogantes que deja abiertas elpresente trabajo as como de posibles lneas de investigacion futura de interes.

    2 Metodologa usada para la confeccion de la lista de IPs revisadosPara obtener una muestra representativa de servidores web chilenos activos, se tomo como punto de partida la listade sitios web confeccionada por TodoCL.cl (www.todocl.cl) en Octubre del 2001. Esta lista se genera recorriendotodos los servidores de la forma www.dom.cl o dom.cl donde dom es un dominio inscrito en NIC Chile. De cada

    2

  • Figura 1: Cantidad de IPs que alojan un numero dado de sitios web

    servidor activo as encontrado, se extraen los dominios apuntados por las paginas que se encuentren en el. Se continuarecursivamente este procedimiento mientras los servidores as encontrados sean del tipo *.cl o su IP corresponda a unared chilena. El proceso se detiene cuando el numero de servidores que no contestan es a lo mas 50 (aproximadamente).

    La lista facilitada por TodoCL.cl contena 23.903 entradas. De estas 17.760 (74,3%) correspondan a servidoresoperando en Chile. Esto ultimo se determina de acuerdo a si el IP del servidor pertenece a un rango asignado a unISP chileno. Para efectos de este estudio, se descartaron aquellas entradas asociadas a servidores fuera de Chile. Enadelante, llamaremos a cada una de estas entradas sitio web o simplemente sitio. Para cada sitio, se determino vauna consulta al DNS el/los numeros IP a los que estaba asociado. Se observaron 7.650 sitios asociados a una IP deNIC Chile. Se descartaron todos estos sitios (pues evidentemente corresponden a sitios inactivos) salvo el del NIC. Sedetermino que los 10.111 sitios restantes estaban asociados a 2.227 numeros IP. Luego, en promedio cada IP alberga4,54 sitios. La cantidad de IPs que albergan un numero dado s de sitios, denotado en adelante I(s), se muestra en laFigura 1. El mismo grafico, pero en una escala log-log se muestra en la Figura 2. Si bien uno pudiese estar tentado aajustar una recta a los datos de este ultimo grafico, conviene ser cautos. Especialmente por lo desordenadode la colade la distribucion hay muy pocos IPs (en proporcion al total) que alojan una gran cantidad de sitios. Tpicamenteesto se aborda agrupando en intervalos que van creciendo exponencialmente (uniformemente espaciados en una escalalogartmica). El resultado de agrupar en los intervalos 11, 23, 47, 815, 1631, 3263, 64127, 128255, 256511,5121023, 10242047 de acuerdo al numero de sitios se muestra en la Figura 3 la pendiente de la recta dibujada esde = 1,88 y el factor de correlacion de la regresion lineal es 0,96. Una forma alternativa, pero equivalente [1],de ilustrar la relacion recien mencionada es graficar en una escala log-log la cantidad I(s) versus Rs , donde Rs esel ranking de s entre todos los distintos valores observados de s. Este ultimo grafico se muestra en la Figura 4 lapendiente de la recta dibujada es de =1,66 y el factor de correlacion de la regresion lineal es 0,99. La relacionentre y que teoricamente debera tenerse es de la forma = 1/1 [1]. En nuestro caso 1/11,53.

    Dado que la seguridad de un sitio depende principalmente de la maquina en que reside, y no del sitio mismo perse, este estudio se concentra en el analisis de las vulnerabilidades de las maquinas (IPs) en que estan los sitios webidentificados, no en aquellas vulnerabilidades que tienen que ver con los dispositivos instalados, el software usado, yla configuracion de los mismos. Vulnerabilidades que surgen de la incorrecta operacion de un sitio, como por ejemploel uso de un RUT o numero de telefono como clave, no son abordadas.

    Se considero relevante e interesante estratificar el conjunto de numeros IP de alguna forma que reflejase a quienesperteneca el IP y la comunidad a la cual prestaban servicios. La clasificacion que se uso es la misma empleada en lacategorizacion de los dominios .cl, a saber, comercial, persona natural, educacional, militar, gobierno, otro. A los IPasociados a sitios en solo una de las categoras mencionadas se les asigno dicha categora. Se agrego una categoraadicional, denominada mixta, para capturar aquellos IP con sitios pertenecientes a al menos dos categoras (este casoocurre tpicamente en aquellos IP asignados a entidades que prestan servicios de hosting). La factibilidad de llevaradelante este proceso de clasificacion reside en que el trabajo que requiere es mas bien proporcional al numero deIPs detectados que al numero de sitios considerados. Esto, porque una mirada superficial a la distribucion de sitiospor IP arroja que en aquellos IP que tienen un significativo numero de sitios asociados, es facil identificar al menos

    3

  • Figura 2: Cantidad de IPs que alojan un numero dado de sitios web (escala loglog).

    Figura 3: Cantidad de IPs versus el ranking del numero de sitios observados en dichos IP.

    Figura 4: Cantidad normalizada de IPs versus numero de sitios observados en dichos IPs.

    4

  • UNIVERSO MUESTRAIPs Sitios IPs Sitios

    No. % No. % No. No.comercial 1.224 55,49 2.818 27,96 227 502persona natural 3 0,14 3 0,03 1 1gobierno 149 6,75 225 2,23 59 87educacional 391 17,72 558 5,54 77 106otro 101 4,58 122 1,21 19 23mixta 338 15,32 6.351 63,03 75 1.132

    2.206 10.077 458 1.851

    Tabla 1: Resumen de las caractersticas del universo muestral y de la muestra estratificada.

    dos correspondientes a distintas categoras. Por lo tanto, son clasificados como de tipo mixta. As, rapidamente sedescartan un gran numero de sitios a los que no es necesario asignarles categoras, quedando un numero de entre 2.000y 3.000 sitios cuya clasificacion, aunque tediosa, es factible (especialmente considerando que filtros por palabrasclaves como uchile.cl o puc.cl permiten apresurar el proceso).

    Se descartaron de este estudio los 11 IP clasificados como de tipo militar (22 sitios). Esto, por considerar quelos requerimientos de seguridad de estas maquinas podran ser de naturaleza distinta a aquellas que funcionan en elambito civil. Tambien se descartaron del estudio 10 IPs (12 sitios) que no se logro clasificar (dado que los sitios estabaninaccesibles). El resumen de la categora de los IP restante se muestra en la primera parte de la Tabla 1. Terminado elmencionado proceso de clasificacion, se tomo una muestra sin reemplazo de manera de garantizar que:

    Cualquier propiedad del universo muestral compartida por una fraccion ni demasiado grande ni demasiadopequena en comparacion con el universo pudiese ser estimada a partir de la muestra con una precision de 0,05y con un nivel de confianza de 97,5%.Para lograr esto en un universo de tamano N, se requiere una muestra de tamano n tal que [4, Cap. III, A]:

    (N1)nNn = 2,24 0,05.

    Despejando, para N = 2.206, se obtiene n = 409. Estratificando de acuerdo al tamano de las subpoblaciones, sellega a un espacio muestral de 410 puntos constituidos por 227, 1, 28, 72, 19 y 63 puntos para cada subpoblaciondel tipo comercial, persona natural, gubernamental, educacional, otro y mixta respectivamente.

    En toda subpoblacion menor al 25,0% del universo muestral pudiese estimarse cualquier propiedad compartidapor una fraccion ni demasiado grande ni demasiado pequena en comparacion con el tamano de la subpoblacioncon una precision de 0,1 y con un nivel de confianza de 95,0%. Para lograr esto en una subpoblacion de tamanoN, se requiere una muestra de tamano n tal que [4, Cap. III, A]:

    (N1)nNn = 1,96 0,10.

    Para efectos de este estudio se considero a las subpoblaciones de tamano menor a 100 IPs (aproximadamente),demasiado pequenas como para hacer estudios estadsticos de las mismas. Todo lo anterior conlleva el tomaruna muestra que contenga 59, 77 y 75 puntos de las subpoblaciones del tipo gobierno, educacional y mixtarespectivamente.

    Las caractersticas de la muestra obtenida se resumen en las dos ultimas columnas de la Tabla 1.

    Los analisis y resultados que se discutiran en lo que resta de este trabajo conciernen al universo muestral reciendescrito. Claramente, no consideran de ninguna forma la importancia, interes, y/o visibilidad de los sitios web alojadosen cada IP. Esto, por la dificultad que tiene cuantificar estos aspectos y el deseo de no introducir factores subjetivosen el presente estudio.

    5

  • 3 Recoleccion de datosPara la recoleccion de informacion relacionada con la cantidad y tipo de vulnerabilidades presentes en cada IP dela muestra, se utilizo una herramienta de analisis perimetral de vulnerabilidades llamada Nessus (www.nessus.org).Esta herramienta fue elegida para el estudio entre varias alternativas por tener las siguientes caractersticas que seconsideraron ventajosas: Distribucion gratuita: Esto permite que se corroboren los resultados aqu presentados, que se realicen otros

    estudios del mismo tipo y se comparen esos resultados con los que se obtuvieron en este. Tambien hace factibleque una entidad cualquiera pueda analizar las vulnerabilidades encontradas en su propio sitio usando la mismaherramienta y determinar su estado de seguridad relativo al de otras entidades al comparar los resultados de suanalisis con los resultados aqu reportados.

    Proyecto Open Source: Nessus es un proyecto Open Source en el que han participado expertos en seguridadde todo el mundo. Esto, combinado con su alto nivel de uso hace que el codigo sea confiable.

    Clasificacion automatica: Nessus clasifica automaticamente las vulnerabilidades encontradas en 4 categorasde riesgo: bajo, medio, alto y serio. Esta clasificacion facilita la realizacion del estudio, lo hace mas imparcial,y menos subjetivo. Codigos CVE: Los reportes entregados por Nessus, en la mayora de los casos, incluyen el codigo CVE (Com-

    mon Vulnerabilities & Exposures) de las vulnerabilidades encontradas. Los codigos CVE son asignados inter-nacionalmente (cve.mitre.org) para facilitar la documentacion de las vulnerabilidades encontradas y de lasherramientas que revisan esas vulnerabilidades. Esto permite revisar una amplia documentacion disponible enInternet referentes a las vulnerabilidades mas comunes. Sin esta forma de uniformar el lenguaje, dos herra-mientas podran detectar la misma vulnerabilidad, pero referirse a ella con distinto nombre, dificultando as lacomparacion entre estudios basados en distintas herramientas. El uso de codigos CVE en las conclusiones deeste estudio permite compararlo con otros que usen la misma nomenclatura y le da continuidad en el tiempo.

    Vulnerabilidades examinadas: A la fecha de realizacion de este estudio Nessus permite revisar en formaautomatica mas de 1.000 vulnerabilidad reportadas publicamente en Internet.

    Deteccion del sistema operativo: Nessus puede ser configurado (va un plug-in llamado nmap) para que detecteautomaticamente el sistema operativo que corre en el servidor que se esta revisando. Esto, permite hacer crucesestadsticos por sistema operativo y reducir la cantidad de falsos positivos reportados al configurar Nessus demodo que solo examine las vulnerabilidades que son coherentes con el sistema operativo detectado en cadadireccion IP.

    El objetivo en el proceso de recoleccion de datos fue obtener la mayor cantidad de informacion relacionada convulnerabilidades, pero sin afectar el funcionamiento de los sitios web que fueron seleccionados dentro de la muestra.En particular, se tuvo en cuenta las siguientes consideraciones:

    Denegacion de servicios: Desde un comienzo se desactivaron todas las pruebas de denegacion de servicios queNessus realiza en la configuracion normal.

    Difusion previa: El estudio fue anunciado a traves de la pagina principal del CLCERT, por la lista de informa-cion que este posee y en una lista de administradores de sistemas a la que se tena acceso. Esto, como formade prevenir a la mayor cantidad posible de administradores de sistemas, y prevenirlos de trafico atpico en susredes.

    Horario de las pruebas: Todos los procesos de recoleccion de informacion fueron ejecutados en horario labo-ral. De esta forma se busco facilitar el contacto en caso de que un administrador de sistemas detectara que seestaban realizando pruebas de vulnerabilidad en su sitio.

    Velocidad: A medida que avanzaba la recoleccion de datos se fue adaptando de forma de minimizar el lapsode tiempo que Nessus requera para la revision de cada IP. El objetivo era hacer lo mas evidente posible que seestaba realizando un barrido no intrusivo del IP objetivo. Finalmente, se determino que el optimo era revisar 4IPs en paralelo. El aumento del paralelismo por sobre este numero, reduce el tiempo total de la revision, peroaumenta el tiempo dedicado a cada direccion IP.

    6

  • UNIVERSO MUESTRAIPs Sitios IPs Sitios

    No. % No. % No. No.gobierno 149 27,59 225 28,74 59 87educacional 391 72,41 558 71,26 77 106

    540 783 136 193

    Tabla 2: Resumen de las caractersticas del universo muestral finalmente estudiado y de la muestra asociada.

    Informacion de contacto: Avanzada la toma de datos se reconfiguro la informacion de inversos del IP desdedonde se continuo ejecutando Nessus incluyendo informacion de contacto. Tambien se puso sobre-aviso a losISP correspondientes, explicandoles lo que se estaba haciendo. Ambas medidas tenan por objeto facilitar quecualquier afectado por la toma de datos pudiese averiguar facilmente el origen e intencion del trafico observado.

    La realizacion del estudio fue anunciada el 19 de Junio del 2002. Se inicio una semana despues. Hubo 3 administra-dores de sistemas que se contactaron para averiguar el origen de estas pruebas, 2 de la muestra de gobierno y 1 de lamuestra educacional. Estos casos demostraron que, al menos en el nivel humano, se estaba alterando el funcionamien-to normal de los sitios. Por lo tanto, se estimo que no se estaba cumpliendo uno de los objetivos planteados, a saber, nocausar molestias y/o inconveniencias. En consecuencia, una vez concluida la toma de datos del sector gubernamentaly educacional, se decidio suspender la recoleccion de datos. Esto fue anunciado el 2 de Agosto del 2002, por losmismos canales que se haban usado para dar a conocer la realizacion del estudio.

    Nuestra intencion era hacer publica, salvo secreto estadstico, la informacion recolectada. Por ello, aunque nose completo el analisis de toda la muestra, la informacion recolectada si es estadsticamente significativa para lassubpoblaciones de IP del tipo gobierno y educacional. Esta informacion es la que se analiza en lo que resta de estetrabajo. La suspension de la recoleccion de datos implica, en estricto rigor, que los resultados obtenidos solo sonvalidos para el universo que se senala en la primera parte de la Tabla 2. La muestra realmente analizada se describe enla ultima parte de la tabla recien mencionada.

    4 ResultadosNessus reporta sus resultados va un listado de registros. Un registro corresponde a una vulnerabilidad o a informacionacerca del IP objetivo. Las vulnerabilidades tienen asociado (generalmente) uno de entre cuatro niveles de riesgo;bajo, medio, alto y serio. En (pocas) ocasiones, Nessus condiciona estos niveles de riesgo con condiciones como deacuerdo a si la vulnerabilidad se explota local o remotamente o con respecto al uso de determinadas aplicaciones y/oversiones de software. En otro casos, mas frecuentes, Nessus genera registros informativos a las que no les asignariesgo.

    A continuacion se entrega una breve descripcion de cada una de las categoras mencionadas y un par de ejemplosque facilitan la compresion de su naturaleza. Los ejemplos son entregados con el texto original de Nessus (en ingles).

    Vulnerabilidad de importancia baja:Son aspectos de la configuracion de un sistema que probablemente podran ser utilizados para violar la seguridad delmismo. Pero, no constituyen una vulnerabilidad por s solos pues para ser explotados requieren de un complementoque no necesariamente sera conseguido por un atacante.

    Ejemplo 1: The remote SSH daemon supports connections made using the version 1.33 and/or 1.5 of the SSHprotocol.These protocols are not completely cryptographically safe so they should not be used.

    Ejemplo 2: The rlogin service is running. This service is dangerous in the sense that it is not ciphered - that is,everyone can sniff the data that passes between the rlogin client and the rlogin server.

    7

  • Vulnerabilidad de importancia media:

    Son funcionalidades disponibles en forma remota en el sistema revisado que normalmente son utilizadas por losatacantes para explotar otra vulnerabilidad. No son el objetivo final en ningun ataque. Ejemplo 1: The walld RPC service is running. It is usually used by the administrator to tell something to the

    users of a network by making a message appear on their screen.Since this service lacks any kind of ...

    Ejemplo 2: It was possible to log into the remote host using a NULL session. The concept of a NULL sessionis to provide a null username and a null password, which grants the user the guest access

    Vulnerabilidad de importancia alta:

    Son vulnerabilidades que pueden ser utilizadas para obtener acceso a recursos que deberan estar protegidos en elservidor remoto. Por ejemplo permiten leer el codigo fuente de paginas dinamicas, reemplazar paginas web y engeneral obtener control remoto de la maquina atacada.

    Ejemplo 1: The remote host is running a version of PHP earlier than 4.1.2.There are several flaws in how PHP handles multipart/form-data POST requests, any one of which can allow anattacker to gain remote access ...

    Ejemplo 2: We could upload the file /puttest1.html onto your web server. This allows an attacker to runarbitrary code on your server, or set a trojan horse

    Vulnerabilidades de importancia seria:

    Al igual que las vulnerabilidades de importancia alta, estas permiten leer el codigo fuente de paginas dinamicas,reemplazar paginas web y en general obtener control remoto de la maquina atacada, pero explotarlas es mas facil.

    Ejemplo 1: The Count.cgi cgi is installed. This CGI has a well known security flaw that lets anyone executearbitrary commands with the privileges of the http daemon (root or nobody). Ejemplo 2: It is possible to get the source code of ASP scripts by issuing the following request :

    GET /null.htw?CiWebHitsFile=/default.asp%20& CiRestriction=none&CiHiliteType=FullASP source codes usually contain ...

    De los 77 IPs del tipo educacional, hubo 70 (90,9%) que se determino estaban activos. En el caso de los 59 IPsde gobierno, hubo 56 (94,9%) en similar estado. La aparente inactividad de un IP puede deberse a la presencia deun cortafuego o de un sistema de deteccion de intrusos que bloquee la comunicacion con dicha IP o a que este enefecto esta inactivo. Ante la imposibilidad de discernir entre estas dos situaciones el analisis que sigue concierne soloa aquellos IP que se pudo determinar estaban activos.

    La informacion fue pre-procesada bajo el principio de mnima paranoia, lo que se tradujo en que: Cuando el nivel de riesgo reportado estaba condicionado, se considero el menor riesgo de entre los senalados. La eliminacion de todos aquellos registros que advertan que se poda tratar de un falso positivo.Despues de pre-procesar los registros generados por Nessus se obtuvieron 2.046 entradas, de ellas 599 y 1.447

    asociados a las 56 y 70 direcciones IP de la muestra gubernamental y educacional respectivamente. En la Figura 5 semuestra el promedio (con respecto a la cantidad de IPs) de vulnerabilidades para cada uno de los niveles de riesgo.Observar que en todos los niveles de riesgo hay un mayor promedio de vulnerabilidades en la muestra educacional.Esta relativa menor seguridad de los IP de tipo educacional versus los de tipo gubernamental tambien se aprecia alcalcular el nivel de exposicion de cada direccion IP, definido como la vulnerabilidad mas grave encontrada en dichaIP. En la Figura 6 se muestra el porcentaje de IPs de cada muestra en que la vulnerabilidad mas grave encontrada esla senalada. Nuevamente se observa que hay un mayor nivel de exposicion en la muestra educacional. Especialmente

    8

  • Figura 5: Promedio, por IP, de vulnerabilidades observadas.

    Figura 6: Nivel de exposicion, por IP.

    9

  • Figura 7: Frecuencia de ocurrencia de principales vulnerabilidades por codigo CVE.

    Figura 8: Frecuencia de ocurrencia de principales vulnerabilidades por familia.

    significativo es el hecho que el 70,0% de los IP del tipo educacional muestran alguna vulnerabilidad seria comparadocon el 50,0% de los IP de la muestra de gobierno.

    Consistentes con el principio de mnima paranoia antes enunciado, en lo que sigue nos limitaremos a analizarlas 144 vulnerabilidades reportadas como serias (49 en la muestra gubernamental y 95 en la muestra educacional).

    El 91,9% de la vulnerabilidades serias reportadas tenan asociado un codigo CVE (o estaban en proceso deasignarselos). Esto permitio analizar la distribucion de vulnerabilidades de acuerdo a este codigo. Nessus tambienle asigna a cada vulnerabilidad reportada un identificador unico. Cada identificador esta asociado a una de 22 familiasde vulnerabilidades y a un puerto/servicio afectado. Tambien se analizo la distribucion de vulnerabilidades de acuerdoa estos dos parametros. Finalmente, se procesaron automaticamente los registros correspondientes a vulnerabilidadesserias para determinar si Nessus sugera una solucion. En caso afirmativo se clasifico dicha solucion (ver detalle enApendice A) en uno de los siguientes tipos: Configurar/Borrar/Seleccionar, Desabilitar/Bloquear/Filtrar, Upgra-de, Download/Aplicar/Instalar, Usar ..., Ver ..., Contactar vendedor, Una de al menos dos de la anteriores,Por lo menos dos de las anteriores, Otra, y Ninguna de las anteriores.

    Los datos obtenidos de la muestra de gobierno y educacional agregados (ponderando por el tamano de la subpo-blacion de acuerdo a lo senalado en la Tabla 2, es decir, 27,6% y 72,4% respectivamente) para cada uno de los crucesmencionados en el parrafo anterior se ilustran en las Figuras 7, 8, 9, y 10 no se muestran los datos desagregadospor muestra pues estan correlacionadas. En efecto, los factores de correlacion son 0,85, 0,85, 0,72, y 0,76 en el casode los CVE, puertos, familia de vulnerabilidades, y tipo de solucion respectivamente.

    El IP de la muestra que tena asociado mas sitios de la lista original generada por TodoCL.cl, alojaba 9 sitios. Encontraste, en el universo muestral se observaron IPs asociados a 379 sitios. La pobre calidad de la muestra en este

    10

  • Figura 9: Frecuencia de ocurrencia de principales vulnerabilidades por puerto afectado.

    Figura 10: Frecuencia de ocurrencia de principales vulnerabilidades por tipo de solucion requerida.

    11

  • sentido no permite corroborar la hipotesis que aquellos IP que alojan mas sitios presentan menos vulnerabilidades.Por otro lado, consideramos ilustrativo describir las 5 vulnerabilidades serias con codigo CVE mas frecuentes.

    CVE-1999-0024 DNS cache poisoning via BIND, by predictable query Ids. Es una vulnerabilidad quepermite atacar un servidor que esta corriendo servicios de DNS. Los usuarios que resuelven sus nombresde dominio a traves del servidor atacado pueden ser enganados y enviados a un servidor falso. En elservidor falso es posible instalar paginas iguales a las del servidor verdadero. Entre otros usos, esta vulne-rabilidad podra utilizarse para construir paginas caza password. Lo grave de esta vulnerabilidad es quesu explotacion no puede ser prevenida por quien administra el sitio web. El ataque procede por el lado delcliente y por lo tanto la unica accion posible es educar a los usuarios, especficamente, acostumbrarlos aingresar passwords solo en paginas seguras. Otro elemento que llama la atencion es que la muestra fuetomada entre IPs que proveen servicios web y no es recomendable que este tipo de servidores ademasejecuten un servicio de DNS como el delatado por la presencia de esta vulnerabilidad.CVE-2000-0860 The file upload capability in PHP versions 3 and 4 allows remote attackers to read arbi-trary files by setting hidden form fields whose names match the names of internal PHP script variables.Es una vulnerabilidad para algunas versiones de PHP (Un interprete para generar paginas dinamicas). Lavulnerabilidad permite leer en forma remota el codigo fuente de programas instalados en el servidor ata-cado. Estos archivos no deberan ser legibles ya que normalmente contienen informacion sensible comoel nombre de usuario y la password utilizada por la aplicacion para conectarse a la base de datos.CVE-2001-0834 htsearch CGI program in htdig (ht://Dig) 3.1.5 and earlier allows remote attackers touse the -c option to specify an alternate configuration file, which could be used to (1) cause a denialof service (CPU consumption) by specifying a large file such as /dev/zero, or (2) read arbitrary files byuploading an alternate configuration file that specifies the target file. Esta vulnerabilidad permite generarataques de denegacion de servicios y leer el codigo fuente de archivos de paginas dinamicas y otros.CVE-1999-0407 By default, IIS 4.0 has a virtual directory /IISADMPWD which contains files thatcan be used as proxies for brute force password attacks, or to identify valid users on the system. Estavulnerabilidad aprovecha archivos creados automaticamente durante la instalacion de IIS (el servidor depaginas web de Microsoft). Puede ser utilizada para obtener informacion de usuarios y passwords de lamaquina atacada.CAN-2001-0508 Vulnerability in IIS 5.0 allows remote attackers to cause a denial of service (restart)via a long, invalid WebDAV request. Esta vulnerabilidad tambien afecta servidores que esten ejecutandoIIS. Permite realizar ataques de denegacion de servicio.

    En todos los casos, salvo el primero, la solucion pasa por la instalacion de un parche, la actualizacion de un programao la eliminacion de un archivo. Es decir, pueden ser facilmente solucionadas por los administradores de los sitiosafectados.

    Nessus permite preguntar por el sistema operativo que esta corriendo en el servidor de la direccion IP escanea-da. Esta pregunta en algunos casos puede entregar un resultado equivocado pues es posible configurar los servidorespara que respondan con nombres de sistemas operativos falsos. Los autores de este trabajo no conocen estudios queindiquen la frecuencia con que un administrador de sistemas configura sus equipos para que respondan con informa-cion falsa del sistema operativo que se esta ejecutando. Basandose en el criterio de que cambiar la informacion delsistema operativo es una practica mucho mas avanzada que la requerida para evitar la mayora de las vulnerabilidadesencontradas, se opto por aceptar como valida la informacion recolectada referente a los sistemas operativos.

    La informacion de sistema operativo entregada por Nessus trata a Unix y Linux como una categora que agrupa avarias versiones de distintos sistemas operativos. Sin embargo, informa en una categora aparte algunos de los sistemasoperativos que tambien pertenecen a la familia Unix, por ejemplo Solaris, AIX, Irix, MacOS, IBM Risc System /600y Sun SNMP Agent. En ninguno de estos casos la cantidad de apariciones en la muestra supero el 5,0%, por loque fueron agrupados en una categora llamada Otro. Windows 2000 aparecio 3 veces en la muestra educacionaly 2 en la de gobierno, lo que tambien fue considerado insuficiente para hacer analisis estadstico. En consecuencias,Windows 2000 tambien fue incluido en la categora Otro.

    La Figura 11, permite ver la presencia (estimada) de cada uno de los sistemas operativos en el universo y subpobla-ciones considerados (los datos agregados correspondientes al universo muestral fueron nuevamente obtenidos usandolos factores de ponderacion para las subpoblaciones indicados en la Tabla 2). Se observa una clara preponderancia

    12

  • Figura 11: Frecuencia (en el universo total y en las subpoblaciones consideradas) de uso de sistemas operativos en IPsque proveen servicios web.

    de los sistemas operativos de la familia Unix, al menos en lo que respecta a las maquinas que prestan servicios weben el sector de gobierno y educacion. Esto es consistente con el claro dominio de los servidores tipo Apache que seobserva en el rubro de servidores web y por ser este tipo de servidores gratuitos. Resultados similares que confirmanla preferencia por sistemas de tipo Unix en la Internet chilena ya haban sido reportados especficamente en [3] sedetermino que el 37,7% de los servidores de correo electronico del dominio .cl ocupaban Sendmail, siguiendole enuso Microsoft Exchange Internet Mail Service, con una presencia del 10,7%. Se observa un uso de sistemas opera-tivo tipo Unix (incluido Linux dentro de este tipo) similar en ambas subpoblaciones. Sin embargo, hay una notablediferencia en lo que respecta al uso de sistemas Linux en el sector gobierno. De hecho, ninguno de los IP del sectorgobierno informo estar usando Linux. Hay varias hipotesis que podran explicar esta diferencia; el mayor poder deprocesamiento posiblemente requerido en la prestacion de servicios del sector publico que tpicamente va asociada aluso de estaciones de trabajo que operan con Unix; una mayor disponibilidad de recursos para adquirir equipamientocomputacional lo que se traduce en el uso de maquinas mas grandes que operan con Unix; el uso masivo de Linuxes una tendencia que se ha ido generalizando durante la ultima decada y el sector educacion es probablemente masproclive a experimentar con nuevos sistemas.

    En la Figura 12 se muestra el promedio de vulnerabilidades en cada maquina corriendo el correspondiente sistemaoperativo. Los promedios por vulnerabilidad no muestran diferencias importantes entre Unix y Linux (recordar que nose detecto el uso de Linux entre los IP de la muestra de gobierno). Sin embargo, si parece ser significativa la diferenciaen el promedio de vulnerabilidades que se observa entre maquinas que corren sistemas del tipo Unix y WindowsNT. Otro punto que merece mencion es que el uso de sistemas operativos menos comunes (aquellos clasificadoscomo Otros) pareciera involucrar mayores riesgos. Esto pues todos salvo uno de los sistemas del tipo Otroscorrespondan a variantes poco comunes de Unix y dan lugar casi al doble del promedio de vulnerabilidades que su

    13

  • Figura 12: Promedio de vulnerabilidades detectadas en cada IP por sistema operativo de dicha maquina.

    mas tradicional version, en cada una de las subpoblaciones.

    5 Comentarios FinalesEl principal punto que este trabajo no aborda es el estudio de las vulnerabilidades presentes en las subpoblaciones deIPs de tipo comercial, persona natural, otro, y mixta. Especialmente interesante sera medir cuan expuestos estan lasmaquinas del tipo comercial.

    Tambien creemos necesario realizar un estudio similar a este que involucre a los 6.143 sitios web de la lista originalobtenida de TodoCL.cl y localizados en servidores que operan fuera de Chile. En particular, para determinar si existeno no diferencias en los niveles de vulnerabilidades detectados entre servidores localizados dentro y fuera del pas.

    Otro aspecto que merece ser estudiado es si la concentracion de sitios en un mismo servidor esta (positivamente)correlacionada con el numero de vulnerabilidades detectadas en el servidor. Esto sera un argumento a favor deexternalizar servicios web, a pesar que la mayor concentracion de sitios hace que la web chilena como un todo seamenos robusta (la falla de unas pocas maquinas puede tener notables consecuencias).

    Aunque hay evidencia indirecta que la influencia de los falsos positivos no invalida las principales conclusionesque arroja el presente estudio, convendra hacer un analisis cuantitativo del tema.

    Una extension interesante de este trabajo sera incorporar al analisis aspectos como la importancia, visibilidad y/outilidad de los sitios web. Ello necesariamente requiere cuantificar de algun modo estos aspectos.

    Finalmente, y aunque no es un problema tecnico, las situaciones ocurridas durante la realizacion de este trabajo,en particular producto de las inconveniencias causadas a terceros, plantea varias interrogantes. Entre otras de quemanera, quien, y en que circunstancias es deseable la realizacion de este tipo de estudios?

    AgradecimientosLos autores desean agradecer a TodoCL.cl por facilitarles su listado de sitios web y por las detalladas explicacionesde la forma en que la lista fue generada, a Eduardo Rodrguez por interesantes y valiosos comentarios, a MauricioPalma por su aporte en la recoleccion de datos, y a Cristian Gutierrez por su revision de un borrador de este trabajo.

    Referencias[1] L. A Adamic. Zipf, power-laws, and Pareto A ranking tutorial.

    www.hpl.hp.com/shl/papers/ranking/ranking.html, Abril 2000.

    [2] M. Kiwi, S. Pena, y E. Rodrguez S. Open relay en servidores de correo: Estudio de la realidad chilena. InformeTecnico CLCERT-2002-01, CLCERT, Abril 2002.

    14

  • [3] E. Rodrguez S. Perfil de servidores SMTP que permiten relay. Informe Tecnico CLCERT-2002-02, CLCERT,Septiembre 2002.

    [4] Pandurang V. Sukhatme. Sampling Theory of Surveys With Applications. Bangalore Press, 1954.

    A ApendiceAl tipo de soluciones requeridas para eliminar una vulnerabilidad reportada por Nessus, se les asigno una categora deacuerdo al siguiente procedimiento:

    Se extrajo de cada registro los caracteres a continuacion de palabras claves como See, Workaround, Re-commendation, Solution y Quickfix, dando as origen a un campo denominado solucion. Si en el campo solucion apareca alguna de las siguientes expresiones:1

    Upgrade, disable|deactivate|suppress|Block.ports|Restrict|filter, delete|remove|configure|comment out|set.option|add.option|Select|make sure.set|Change.(banner|

    version number), (Inform|Contact).(vendor|fix), (download|apply|install).(hotfix|patch), use,

    See http|See MS advisory|See;http|See Microsoft security bulletin|See MSEntonces, la solucion fue categorizada (respectivamente) como:

    Upgrade, Desabilitar/Bloquear/Filtrar, Configurar/Borrar/Seleccionar, Contactar vendedor, Download/Aplicar/Instalar, Usar ..., Ver ....

    En el caso en que en el campo solucion se requeran una u otra, dos, o ninguna de las expresiones de mas arriba,la solucion fue clasificada (respectivamente) como:

    Una de al menos dos de la anteriores, Por lo menos dos de las anteriores, Otra.

    1 El o y secuencias arbitrarias de caracteres se denotan por | y . respectivamente. Entre parentesis se agrupan posibles alternativas.

    15


captura imagen c#

Puntuación PAEF,s

Book1

Municipios de España

PLANTILLA PROYECTO DE INVERSION

BIBLIOGRAFIA

especificaciones, concreto y acero

practicas quimica organica 2

Acta de Recepción Definitiva de Obras de Urbanización

Kar Español

FORMATOS DE CONTABILIDAD

Método De Solfeo - Laz Tomo 1

recoplilació jocs multiculturals

CARGUE PUCC

CLINICA DENTAL PORTUGAL

problemes unitats de mesura

DÍA DE LA ANUNCIACIÓN

3-Sentsoreak

gidoi teknikoa

VALORIZACION OCTUBRE VICTOR ROMERO

Ejemplos de ficha bibliográfica

hoja de costos falda2

reinaga - Pensamiento Amautico v2

MIRTA VARGAS DE ARGENTINA MEDIA 9 CALZADA Cat B 2° grupo 1ª Actividad

EXPLOCION CE INSUMO HOSPITAL

PRECIOSCHACO

Mapas Conceptuales

Formato Financiero-1 (con tabla de amortizacion corregida)

Libro1

BOLETA DE PAGO

Logos

Fosa Septica

REGISTRO EXCEL ASISTENCIA LABORAL II 2007

galdetegia

BAREMOS