El scanning de puertos no siempre precede a un ataque de hackers

12 Dic 2005 en Seguridad

El rastreado de puertos (port scanning) consiste en recorrer  todos los puertos de una computadora para descubrir cuál de ellos está abierto y es una actividad que siempre se consideró como primer paso en la preparación de un ataque de parte de un hacker.
Pero, para nuestra sorpresa, ese puede no ser siempre el caso. Así lo reportan investigadores de University of Maryland (UM).
En los ambientes de prueba de UM, se descubrió que los rastreos de puertos precedieron ataques solamente en un 5% de los casos. Además, se verificó que más de la mitad de los ataques no son precedidos por ningún tipo de scanning. “Los hackers no necesariamente observan el terreno antes de atacar,” reza en las conclusiones.
Michael Cukier, profesor de UM y coautor del estudio, se sorprendió por lo bajo del porcentaje de scannings y quisiera verificar los resultados en otro entorno de prueba ajeno a UM. “Sería interesante repetir el experimento en otros lugares y con otras alternativas,” nos dijo Cukier.
Aunque el rastreado de puertos no predice a los ataques, los scans de vulnerabilidades sí llevan a ataques en un significativo porcentaje de los casos. UM define a un scanning de vulnerabilidad como a un rastreo usado “encontrar rastros de la presencia o ausencia de una vulnerabilidad explotable.”
En el caso de UM, el 21 % de los scannings de vulnerabilidades condujo a un ataque. Cuando se combinan los scannings de vulnerabilidad y puertos, ese conjunto de actividades llevó a un ataque en el 71% de los casos. Estos indicadores nos dicen que son muy pocos los scannings que se realizan en comparación con los ataques, pero que cuando hay scannings, especialmente de vulnerabilidad, casi siempre hay un ataque en puertas.
En UM usaron el scanner de vulnerabilidad Nessus en su red y concluyeron en que también hace falta un scanner de vulnerabilidad de hosts y para ello Cukier y su equipo han iniciado un proyecto open source con el nombre de Ferret. “Se centra en las vulnerabilidades de Windows y es una herramienta open source. Nuestra meta es crear una comunidad similar a la de Nessus pero para vulnerabilidades Windows.”