Incidentes de Seguridad año 2003
Incidentes de Seguridad Enero 2003-Diciembre 2003
Este documento se encuentra disponible también en formato PDF

Estadísticas


next up previous contents
Siguiente: Evolución de los incidentes Subir: Informe de incidentes de Anterior: Introducción   Índice General

Estadísticas

Todas estas cifras son orientativas puesto que los sistemas de gestión que actualmente utilizamos hacen que no podamos presentar unas estadísticas completas, sino un conjunto de datos aproximados de los principales problemas de seguridad que hemos detectado a o largo del año. Esperemos que esto cambie cuando comencemos a usar el RT/RTIR como herramienta de gestión de incidentes y realicemos paralelamente unas estadísticas más en consonancia con las necesidades reales de nuestra audiencia.

En estas estadísticas solamente aparecen aquellos problemas de seguridad de los que hemos tenido noticia directa. Algunos de los datos más significativos son:

  • El número de incidentes atendidos por IRIS-CERT durante el año 2003 ha sido de 1294, lo que implica, por primera vez en los últimos 4 años, un decremento del 13.44% con respecto al año anterior, en el que se atendieron 1495 incidentes. Esta cifra no nos debe llevar a engaños, y ni mucho menos significa ni que los problemas de seguridad hayan disminuido, ni que nuestras redes sean más seguras (aunque bien es cierto que existe cada vez una mayor concienciación por parte de las instituciones frente a los problemas de seguridad). Podemos explicar este decremento si tenemos en cuenta los siguientes puntos:
    • En estas estadísticas solamente aparecen aquellos problemas de seguridad de los que tenemos directamente noticia. En algunas ocasiones, no nos llega información del problema en cuestión, realizándose una gestión interna del mismo por parte de la institución.
    • En esta cifra no están contabilizados ni los incidentes de SPAM, ni los relacionados con virus de correo electrónico, ni los casos relacionados con infracción de copyright. En este último caso, nos limitamos a redirigir el mensaje de denuncia a la institución involucrada para que ésta aplique sus políticas internas. Como veremos más adelante, el número de denuncias de este último tipo se han sextuplicado en el año 2003.
    • Ha habido una serie de gusanos tan virulentos y tan activos en la red académica (por ejemplo el Blaster que comenzó a propagarse en Agosto cuando la mayoría del personal responsable de seguridad de las instituciones estaba de vacaciones) que las instituciones, en algunos casos, en lugar de pasar las incidencias a IRIS-CERT para ocuparnos de su gestión, las han gestionado directamente de forma interna.

  • De los 1294 incidentes totales atendidos durante el 2003, 1211 incidentes han involucrado de una forma u otra a instituciones afiliadas (un total del 93.58% del total). Esto es, sólo 83 de los incidentes atendidos por el equipo de seguridad de RedIRIS no han tenido nada que ver con la red académica y de investigación española, afectando a máquinas del dominio .es del que por el momento también somos responsables, dando soporte de coordinación de incidentes.

  • El 62% de estos 1211 incidentes que han involucrado a instituciones afiliadas han sido denuncias (la mayoría de los casos desde fuera de España) de equipos atacantes o comprometidos dentro de nuestra comunidad (un total de 802 incidentes). En el 28% de los casos la denuncias hacían referencia a máquinas de la red académica atacadas en lugar de atacantes, mientras que el 3% (unos 41 incidentes) involucran a máquinas de nuestro ámbito de actuación tanto como origen como destino.

  • En cuanto a incidentes de ámbito internacional (tanto origen como destino) hemos atendido 1200 (un 92.73%). Como hemos comentado anteriormente, sobre todo han sido situaciones en las que se ha recibido una denuncia desde el exterior relativa a un equipo atacante en la red académica.

  • También hemos recibido correos en los que aparecía la dirección de IRIS-CERT como Copia (Cc:), bien desde dentro de nuestra comunidad o desde grupos de seguridad internacionales. Nuestra política ante este tipo de incidentes, como hemos comentado múltiples veces en los Grupos de Trabajo, es que el equipo no se encarga de su gestión directa, limitándonos a tomar nota de las máquinas involucradas para hacer un seguimiento de la actividad de esa IP o red, no involucrándonos en su resolución a no ser que se nos lo pida expresamente. Por tanto, la proporción de incidentes de este tipo no queda reflejada en estas estadísticas.

  • En cuanto a los incidentes de SPAM, desde hace más de un año son atendidos por el responsable de correo electrónico en la comunidad RedIRIS, Jesús Sanz de las Heras, no involucrándose el equipo de seguridad en su resolución.1

  • Aunque en nuestra taxonomía de alto nivel se encuentran contemplados los incidentes relacionados con virus, la realidad es que el equipo de seguridad no se encarga de atender este tipo de incidentes, siendo de nuevo el responsable del correo electrónico en nuestra comunidad, Jesús Sanz de las Heras, el encargado de gestionarlos2. Sobre este tema, sólo mencionar que a existido una excelente coordinación de las epidemias víricas del verano gracias al proyecto RESACA (Red de Sensores AntiVirus de la Comunidad Académica), detectándose un alto impacto en el tráfico SMTP en los servidores institucionales por ejemplo en las epidemias provocadas por virus como el Sobig y Mimail.

  • Durante el 2003, se ha producido un espectacular incremento de las denuncias relacionadas con infracción de copyright (para las cuales ya sabéis que la política de IRIS-CERT es la de actuar como puro intermediario, redirigiendo la denuncia original a la institución afectada para que ésta aplique sus políticas internas, no contabilizando pues estos incidentes con fines estadísticos). De 50 denuncias recibidas en 2002, durante el 2003 se han recibido 299, lo que supone un incremento del 498%. Al menos 30 instituciones se han visto afectadas por este tipo de denuncias, debiendose, en la mayoría de los casos, a máquinas previamente comprometidas que están siendo usadas para estos fines ilítcitos (instalandose un servidor ftp ilegal desde el cual distribuir fundamentalmente películas, pero también música, videojuegos, software, etc.). Desde IRIS-CERT os pedimos que si detectáis que se trata de una máquina previamente atacada, os pongáis en contacto con nosotros tras su análisis para indicarnos qué ficheros encontráis en la misma y asíi poder detectar posibles patrones de ataque y comportamiento.



Subsecciones
next up previous contents
Siguiente: Evolución de los incidentes Subir: Informe de incidentes de Anterior: Introducción   Índice General
Chelo Malagón 2004-01-26