Los riesgos de seguridad en Windows, Unix y Mac OS
X
SANS Institute acaba de publicar al versión 6.0 de su guía sobre las 20 vulnerabilidades
de seguridad más críticas.
Hace ahora cuatro años, SANS Institute juntamente con el FBI publicó un documento donde se describían las diez vulnerabilidades de
seguridad más críticas. En él se resumían los principales problemas de seguridad, aquellos que eran utilizados de forma más habitual
en los ataques a sistemas informáticos.
El objetivo que perseguía la publicación de esa guía era conseguir que los administradores de sistemas hicieran los pasos necesarios
para solventar esas diez vulnerabilidades más críticas. Con esto, además de mejorar el nivel global de seguridad de la red, se
conseguiría evitar un elevado porcentaje de los incidentes, muchos de los cuales sacaban provecho de alguna de esas vulnerabilidades.
Pocos meses después, SANS actualizó la guía para incluir las 10
principales vulnerabilidades de los sistemas Windows y las 10
vulnerabilidades más habituales de los sistemas Unix. Así nació el
documento “Las 20 vulnerabilidades más críticas”. Desde entonces, periódicamente se ha ido actualizando el documento, ampliando la
información sobre los pasos a realizar para evitar las
vulnerabilidades.
La edición de este año marca un cambio en la filosofía del documento.
Ahora ya no se limita a las vulnerabilidades de Windows y Unix. Tampoco se describen las vulnerabilidades que podríamos denominar
clásicas. La edición de este año informa sobre los problemas de seguridad que requieren una actuación inmediata por parte de los
administradores de sistemas. A diferencia de otras versiones, no se describen vulnerabilidades que hoy pueden considerarse obsoletas,
sino aquellas que realmente afectan a los sistemas informáticos, incluso si ya se había revisado su seguridad con una versión anterior
del documento.
Para todas las vulnerabilidades, se incluye una documentación de la misma, explicando el alcance que puede tener en caso que un
atacante logre utilizarla para atacar los sistemas afectados. También se describen las acciones a realizar para corregir la
vulnerabilidad, que habitualmente pasa por la instalación de actualizaciones o parches de seguridad.
Las 20 vulnerabilidades
El documento de SANS Institute describe un total de 20 vulnerabilidades críticas. Se entiende como tal, un problema de seguridad que
afecta a un número significativo de usuarios y/o sistemas. Además, para ser considerara crítica, la vulnerabilidad ha sido utilizada
en los últimos meses de forma generalizada en algún tipo de ataque.
Las vulnerabilidades se dividen en cuatro grandes apartados:
vulnerabilidades específicas de los ordenadores que utilizan el sistema operativo Windows, vulnerabilidades que pueden afectar a
cualquier ordenador, vulnerabilidades específicas de sistemas Unix (incluyendo aquí los equipos con Mac OS X) y, por último, los
problemas específicos de los productos de infraestructura de redes, como routers, cortafuegos, etc.
Vulnerabilidades de Windows
En los equipos que ejecutan Windows se describen un total de cinco apartados: servicios de Windows con problemas de seguridad,
vulnerabilidades específicas de Internet Explorer, vulnerabilidades en bibliotecas DLL, vulnerabilidades de Microsoft Office y Outlook
Express y debilidades ocasionadas por una configuración errónea del sistema operativo o de alguno de sus componentes.
Vulnerabilidades genéricas
Este apartado describe un total de 10 vulnerabilidades y cubre aspectos que pueden afectar, en teoría, a cualquier equipo con
independencia del sistema operativo utilizado. Muchas de estas vulnerabilidades son producto de algunas tendencias del sector
informático en los últimos años, tales como la consolidación de las copias de seguridad en servidores dedicados y la centralización de
las defensas contra virus informáticos.
Otros problemas descritos en este apartado son aquellos provocados por la utilización de aplicaciones desarrolladas en PHP que heredan
los problemas de seguridad identificados en la implementación del lenguaje; vulnerabilidades en los gestores de bases de datos o en
servidores de servicios de Internet tales como el DNS.
El tercer grupo de vulnerabilidades analizado en esta sección incluye los problemas de algunas aplicaciones que se han convertido en
habituales de los usuarios de Internet: reproductores multimedia, mensajería instantánea, navegadores web derivados de Mozilla.
Finalmente se tratan vulnerabilidades de otras aplicaciones que pueden ejecutarse en diversos sistemas operativos.
Vulnerabilidades de Unix y Mac OS X
El tercer apartado describe las vulnerabilidades específicas de los
sistemas Unix/Linux provocadas habitualmente por una configuración errónea o la utilización de versiones antiguas.
En este apartado se describen también las vulnerabilidades de Mac OS X, al considerar que el núcleo de este sistema operativo comparte
problemática con el resto de sistemas Unix.
Vulnerabilidades de equipos de infraestructura de redes
Por último se documentan los principales problemas de seguridad de productos de electrónica de red, como routers y switches. También
se incluyen las vulnerabilidades que afectan a sistemas de protección periférica, como cortafuegos y servidores de acceso remoto.
Identificación de las vulnerabilidades
El último apartado del documento indica una serie de productos y
tecnologías existentes que pueden ayudar en la identificación de estas vulnerabilidades y la protección ante los posibles ataques.