Seguridad Derecho informático Derecho nuevas tecnologías

Derecho informático Derecho nuevas tecnologías
Seguridad Derecho informático Derecho nuevas tecnologías
 Noticias
  • Las 20 vulnerabilidades más críticas en Internet [13-10-03]  

    Hispasec. SANS Institute actualiza su lista Top 20 de las vulnerabilidades más críticas explotadas en Internet.

    Hace tres años, SANS Institute, el FBI (policía federal de los Estados Unidos) y el NIPC (Centro de Protección de la Infraestructura Nacional de los Estados Unidos), confeccionaron la primera versión de esta lista con las 10 vulnerabilidades de seguridad más críticas. Como en las últimas entregas, en esta cuarta revisión podemos encontrar dos listas, con 10 entradas cada una, separando las vulnerabilidades por plataforma según afectan a Windows o Unix.

    Aunque estas vulnerabilidades son aprovechadas en un alto porcentaje de los ataques que actualmente se suceden en Internet, especialmente por gusanos, herramientas automáticas, y script kiddies, la realidad es que estos sistemas operativos se encuentran afectados por muchos más problemas de seguridad. De forma que, si bien es muy recomendable repasar esta lista para asegurar que nuestros sistemas no se encuentran afectados, no debemos bajar la guardia respecto al resto de vulnerabilidades y las de nueva aparición, que pueden ser
    igualmente críticas.

    Entre los problemas de seguridad más comunes, en especial en entornos corporativos, se encuentran las dificultades para hacer el seguimiento de todas las actualizaciones, nuevas vulnerabilidades, y amenazas que pueden afectar a un parque heterogéneo de sistemas. Servicios como "una-al-día" pueden ayudar en parte a esta tarea, aunque la realidad es que la media de amenazas que aparecen cada jornada supera con creces la vulnerabilidad por día.

    Un indicador más claro y real del número de amenazas que surgen puede observarse en las estadísticas de SANA, el Servicio de Análisis, Notificación y Alertas de Hispasec, dirigido a profesionales y corporaciones. Ahora, desde la portada de la web de Hispasec (http://www.hispasec.com), en la columna derecha, es posible acceder a una gráfica y obtener datos cuantitativos en tiempo real sobre el número de avisos (vulnerabilidades, actualizaciones, etc.) que emite el servicio.

    Volviendo al TOP 20 de SANS, las listas de vulnerabilidades quedan de esta forma:

    Windows

    W1 Internet Information Services (IIS)
    W2 Microsoft SQL Server (MSSQL)
    W3 Windows Authentication
    W4 Internet Explorer (IE)
    W5 Windows Remote Access Services
    W6 Microsoft Data Access Components (MDAC)
    W7 Windows Scripting Host (WSH)
    W8 Microsoft Outlook Outlook Express
    W9 Windows Peer to Peer File Sharing (P2P)
    W10 Simple Network Management Protocol (SNMP)

    Unix

    U1 BIND Domain Name System
    U2 Remote Procedure Calls (RPC)
    U3 Apache Web Server
    U4 General UNIX Authentication Accounts with No Passwords or Weak Passwords
    U5 Clear Text Services
    U6 Sendmail
    U7 Simple Network Management Protocol (SNMP)
    U8 Secure Shell (SSH)
    U9 Misconfiguration of Enterprise Services NIS/NFS
    U10 Open Secure Sockets Layer (SSL)

    En la página http://isc.sans.org/top20.html pueden encontrarse la descripción de cada una de las entradas, sistemas afectados, métodos para determinar si un sistema es vulnerable, y las medidas de corrección y prevención que se deben adoptar.


    Más información:

    The SANS Top 20 Internet Security Vulnerabilities
    http://www.sans.org/top20/



    Bernardo Quintero
    bernardo@hispasec.com


  • Noticias actuales...
    Archivo de noticias...
    •  
    Gratis Servicio de noticias
    Suscribir Borrado
    Tus Sugerencias son bienvenidas
    Pincha Aquí
    ¡¡Lista de correo!!
    Introduzca su correo: