Las amenazas en Internet del 1er semestre del año

3 Oct 2004 en Seguridad

Este sexto informe semestral de Symantec proporciona un estudio pormenorizado de las tendencias existentes en los ataques, vulnerabilidades y actividad de códigos maliciosos en Internet en el período de tiempo comprendido entre el 1 de enero y el 30 de junio de 2004.

Principales conclusiones
Aumento de amenazas a servicios de comercio electrónico: Durante el período que se recoge en este informe, el comercio electrónico fue la actividad económica preferida por los atacantes, registrando un 16% de los ataques considerados como especialmente dirigidos a un sector específico. Esto representa un importante aumento del 400% frente a lo registrado durante los 6 meses anteriores, y es un motivo de preocupación porque muestra un cambio desde los ataques motivados por la notoriedad a los ataques para conseguir beneficios económicos. Esto queda patente por el aumento de ataques producidos mediante técnicas de phising y spyware, diseñados para conseguir información confidencial del usuario que, posteriormente, será transmitida a los atacantes

Incremento de ataques dirigidos a tecnologías para aplicaciones Web:
Los ataques contra Aplicaciones Web también han registrado un gran aumento. Las aplicaciones Web son uno de los objetivos prioritarios para los atacantes, ya que se encuentran ampliamente desplegadas en las organizaciones y, además, son vulnerabilidades relativamente fáciles de explotar. Las aplicaciones Web permiten a los atacantes acceder a los sistemas penetrando en el ordenador del usuario final y burlando las medidas aplicadas en el perímetro de seguridad del sistema. Un 82% de las vulnerabilidades en aplicaciones Web conocidas se pueden clasificar como “fáciles de explotar” y, por esta razón, representan una importante amenaza para las infraestructuras y datos esenciales de las organizaciones.

Reducción del tiempo medio entre la aparición de la vulnerabilidad y su explotación:
Según el informe, el tiempo medio entre la publicación de una vulnerabilidad y la aparición del código asociado para explotar dichos ataques es extremadamente breve. Los datos de Symantec indican que, durante el último semestre, esta media fue de 5,8 días. Tan pronto como se publica una vulnerabilidad, se examina y se explota con gran rapidez. Esto significa que las organizaciones tienen menos de una semana para parchear los sistemas vulnerables.

Aumento de redes bot:
Resulta preocupante el crecimiento de bots (una forma reducida de “robot”) para disminuir aún más el tiempo medio entre la aparición de una vulnerabilidad y su explotación. Los bots son programas que se instalan a escondidas en los sistemas atacados, y permiten que un usuario no autorizado controle a distancia el equipo para realizar diferentes tareas. Los atacantes coordinan frecuentemente grandes grupos de sistemas controlados por bots (redes bots) para encontrar sistemas vulnerables y utilizarlos para aumentar la velocidad y alcance de los ataques. Symantec también ha destacado el importante aumento de redes “bot” controladas a distancia. En el primer semestre del año 2004, la cantidad de redes bot monitorizadas aumentaron desde menos de 2.000 a más de 30.000 al día. Las redes bot representan unos graves problemas para las redes empresariales, ya que pueden actualizarse a distancia para realizar con rapidez nuevos ataques. Esta capacidad dificulta la aplicación de parches a tiempo para evitar la propagación de estos peligros por las redes corporativas.

Aumento de vulnerabilidades graves y fáciles de explotar:
Symantec ha recopilado más de 1.237 nuevas vulnerabilidades entre el 1 de enero y el 30 de junio de 2004, lo que significa una media de 48 nuevas vulnerabilidades a la semana. Un 70% de estas vulnerabilidades se han considerado como fáciles de explotar, y un 96% están en la categoría de amenazas moderadamente graves o muy graves. Esto significa que las organizaciones no sólo tienen que hacer frente a casi 7 nuevas vulnerabilidades al día, sino que casi todas ellas afectan parcial o completamente a los sistemas atacados.

Tendencias de los ataques
En general, el volumen de ataques diarios disminuyó debido a la menor cantidad de ataques de gusanos basados en Internet durante el primer semestre de 2004.
El gusano Slammer fue el más prolífico durante los últimos seis meses, ya que el 15% de las direcciones IP que realizan ataques llevan a cabo estas acciones gracias a las órdenes de este gusano.
Los EE.U.U. fueron, con un 37%, la principal fuente de ataques, lo que supuso una reducción desde el 58% registrado en el semestre anterior. Otros países mostraron un aumento, lo que indica que la actividad de los ataques se está internacionalizando.
Un 87% de los clientes que han utilizado el Managed Security Service durante más de seis meses ha podido evitar con éxito ataques de gravedad.

Tendencias de las vulnerabilidades
El tiempo medio entre la aparición de una vulnerabilidad y el lanzamiento de un ataque asociado a esta vulnerabilidad es de 5,8 días.
La Base de Datos de Symantec sobre Vulnerabilidades registró 1.237 nuevas vulnerabilidades entre el 1 de enero y el 30 de junio de 2004. Un 96% de las vulnerabilidades aparecidas durante este período se clasificaron como amenazas moderadamente graves o muy graves. Un 70% de las vulnerabilidades aparecidas en este período se consideraron fáciles de explotar. Entre las vulnerabilidades que cuentan con código para su explotación, un 64% de ellas pueden considerarse como muy graves.
Durante la primera mitad del año 2004, 479 vulnerabilidades, o un 38,7 % del volumen total, se asociaron con tecnologías de aplicaciones Web.

Tendencias del código malicioso
Durante los últimos seis meses, Symantec ha registrado más de 4.496 nuevos virus y gusanos diseñados para el sistema operativo Windows (especialmente para el Win32), lo que significa 4,5 veces más de los registrados durante el mismo período de 2003.
La cantidad de las variantes diferentes de bots está aumentando en gran medida, incrementándose un 600 % durante el último semestre
Los servicios de intercambio de archivos a través de servicios peer-to-peer (P2P), los chats por Internet (IRCs), y la distribución de archivos en la red continúan siendo importantes vehículos para la propagación de gusanos y otros tipos de códigos malintencionados.
La publicidad no solicitada (adware) se está convirtiendo en un problema cada vez mayor para los usuarios:
seis de los principales 50 códigos malintencionados recogidos por Symantec fueron adware.
En este semestre se ha desarrollado el primer gusano malintencionado para dispositivos móviles: el Cabir.

Tendencias en el futuro
En el futuro próximo se espera un aumento de los ataques en aplicaciones Web y las que funcionan en dispositivos cliente.
Symantec espera que las redes bot utilicen unos métodos de sincronización de controles y ataques cada vez más sofisticados para dificultar su detección y localización. También se estima el aumento de ataques mediante intentos de conexión denominados “port knocking” (llamadas a puertos). Este es un método que pueden utilizar los atacantes para crear conexiones directas a los sistemas que son objetivos potenciales.
Symantec espera que, en el futuro próximo, se utilicen las recientemente descubiertas vulnerabilidades del tipo “prueba de conceptos” en Linux® y BSD para la explotación de vulnerabilidades. También se espera la aparición de nuevos ataques dirigidos a dispositivos móviles.

PUNTOS DESTACADOS DEL INFORME DE AMENAZA DE SEGURIDAD EN INTERNTET  

Puntos clave en las Tendencias de Ataque.

El volumen general del ataque diario se redujo, probablemente debido a una disminución en la actividad de ataques de gusanos en Internet, durante el primer semestre de 2.004. 
El Gusano Slammer fue el ataque más común durante los seis meses pasados, con 15% de las direcciones IP atacantes emitiendo un ataque relacionado a este gusano. 
El segundo ataque más común fue Gaobot y sus variantes que se intensificaron en más del 600% durante los últimos seis meses. 
El número de computadores infectados con bot, se elevó sustancialmente durante los últimos seis meses, pasando de menos de 2.000 a más de 30.000. 
Durante los últimos seis meses, el comercio electrónico “e-commerce” fue la industria más perseguida, la industria de empresas pequeñas ocupó el segundo lugar. 
Estados Unidos fue el país con la fuente más alta de ataques, con un 37% que bajó del 58% en los seis meses anteriores. Otros países aumentaron consecuentemente, indicando que la actividad de ataques se está volviendo más internacional. 
El 87% de los clientes que han implantado Servicios de Seguridad Administrada hace más de seis meses, han exitosamente evitado experimentar un ataque severo.
Puntos clave en las Tendencias de Vulnerabilidad.

El tiempo promedio entre la divulgación pública de una vulnerabilidad y la expedición de una explotación relacionada es de 5.8 días. 
La Base de Datos de Vulnerabilidad de Symantec, documentó 1.237 nuevas vulnerabilidades entre Enero 1º y Junio 30 de 2004. 
Un promedio de 48 nuevas vulnerabilidades por semana fueron reveladas entre Enero 1º y Junio 30 de 2004. 
96% de las vulnerabilidades documentadas que fueron divulgadas durante este período, fueron consideradas como altamente severas. 
70% de las vulnerabilidades divulgadas durante este período, fueron consideradas fáciles de explotar. 
De las vulnerabilidades para las cuales el código de explotación está disponible, el 64% son consideradas como altamente severas. 
Durante el primer semestre de 2004, 479 vulnerabilidades, o sea el 38.79% del volumen total, fueron relacionadas con las aplicaciones de tecnologías Web.
Puntos Clave en las Tendencias de Códigos Maliciosos.

Durante los últimos seis meses, Symantec documentó más de 4.496 nuevos virus y gusanos basados en el sistema Windows® (particularmente Win32) más de 4 ½ veces del mismo período para el año 2003. 
El número de distintas variantes de “bots” está aumentando dramáticamente, elevándose en un 600% durante los últimos seis meses. 
Los servicios “Peer-to-peer” (P2P), Internet relay Chat (IRC) y el compartir archivos a través de la red, continúan siendo el modo más popular de propagación de portadores de gusanos y de otras clases de códigos malignos. 
“Adware” se está volviendo más problemático para los usuarios: seis de los cincuenta códigos maliciosos, eran adware. 
El primer gusano maligno para dispositivos móviles, Cabir fue desarrollado.

Tendencias Futuras y Amenazas Emergentes.

Se espera que haya un aumento de los ataques hacia los clientes y las aplicaciones Web, en el futuro cercano. 
Los ataques dirigidos sobre firewalls, enrutadores y sobre otros dispositivos de seguridad para protección de los sistemas del usuario, también son una preocupación creciente. 
Symantec espera que las redes bot empleen métodos cada vez más sofisticados para controlar y atacar la sincronización, los cuales son difíciles de detectar y de localizar. 
Symantec espera ver instancias de “port knocking”, un método que pueden utilizar los atacantes para crear conexiones directas hacia los posibles sistemas que desean atacar. 
Symantec espera que las vulnerabilidades Linux® y BSD, recientemente descubiertas, y que han sido utilizadas como explosiones de prueba de concepto, serán utilizadas como gusanos basados en explosión, en el futuro cercano. 
Symantec espera ver más atentados para explotar dispositivos móviles.