Incidentes de Seguridad año 2004
Incidentes de Seguridad Enero 2004-Diciembre 2004
Este documento se encuentra disponible también en formato PDF

Estadísticas

next up previous contents
Siguiente: Evolución de los incidentes Subir: Informe de incidentes de Anterior: Introducción   Índice General

Estadísticas

Se presentan aquí un conjunto de datos aproximados, e información de los principales problemas de seguridad que hemos detectado a lo largo del año. En estas estadísticas solamente aparecen aquellos problemas de seguridad de los que hemos tenido noticia directa. En algunas ocasiones, no nos llega información del problema en cuestión, realizándose una gestión interna del mismo por parte de la institución.

Por otro lado, en muchas ocasiones, los responsables de las instituciones afiliadas a RedIRIS, aunque nos consta de que toman cartas en el asunto y adoptan las medidas adecuadas según el caso, no nos informan de la causa real del incidente. Esto hace, que no podamos actualizar la información relacionada con el mismo, influyendo en la exactitud y veracidad de estas estadísticas. Desde aquí instamos a todos los encargados de seguridad de las instituciones afiliadas a que, una vez analizado el problema, nos envíen un correo (manteniendo siempre el código de incidente para facilitar su gestión), con una breve descripción de los encontrado en la máquina y de la causa real del incidente (gusano, compromiso de root, virus, etc...). Ésto nos permitirá, no sólo proporcionar unas estadísticas más en consonancia con la realidad, sino tener una visión mucho más amplia de lo que está pasando en nuestra comunidad.

Dicho esto, durante el año 2004 podemos destacar los siguientes datos:

  • El número de Incidentes atendidos por IRIS-CERT durante el año 2004 ha sido de 2682, teniendo en cuenta que:

    • De esos 2682, 830 corresponden a incidentes relacionados con Infracción de copyright 1, lo que supone un incremento del 177.5% con respecto al año anterior, confirmándose la tendencia de incremento de este tipo de incidentes en los utltimos años. En la mayoría de los casos, este tipo de ataques se debe a máquinas previamente comprometidas que están siendo usadas para estos fines ilítcitos (instalándose un servidor ftp ilegal desde el cual distribuir fundamentalmente películas, pero también música, videojuegos, software, etc.). Desde IRIS-CERT os pedimos que si detectáis que se trata de una máquina previamente atacada, os pongáis en contacto con nosotros tras su análisis para indicarnos qué ficheros encontráis en la misma y así poder detectar posibles patrones de ataque y comportamiento.

    • 44 de estos 2682 incidentes han sido dirigidos al buzón de consultas o helpdesk de IRIS-CERT.

    • También hemos recibido correos en los que aparecía la dirección de IRIS-CERT como Copia (Cc:), bien desde dentro de nuestra comunidad o desde grupos de seguridad internacionales. En total, 72 incidentes. Ya sabéis que nuestra política ante este tipo de incidentes, como hemos comentado múltiples veces en los Grupos de Trabajo, es que nos limitamos a tomar nota de las máquinas involucradas para hacer un seguimiento de la actividad de esa IP o red, no involucrándonos en su resolución a no ser que se nos lo pida expresamente. Tenemos que decir, que en la mayoría de los incidentes en los que la dirección de IRIS-CERT aparece como copia, se hacía referencia a actividad hostil originada desde máquinas de otros proveedores de Internet Españoles, y por tanto fuera de la comunidad IRIS.

    • Está claro que la nueva herramienta de gestión que utilizamos nos permite realizar un análisis más fino de los incidentes tratados. Por ejemplo, nos permite determinar el número de incidentes que consideramos Informativos, esto es, que se refieren a IPs que no están dentro de nuestro ámbito de actuación (errores) o que no requieren ningún tipo de interacción por nuestra parte. De este tipo de incidentes hemos atendido 22 a lo largo del 2004.

    Para realizar una comparativa con el año anterior, y quitando el número de incidentes referidos a los tipos anteriores, podríamos decir que el número de incidentes digamos "reales" atendidos durante este año (sin contar copyright, consultas, copia e informativos) sería de 1714, lo que supondría un incremento del 32.45% con respecto al año pasado (se atendieron en 2003 un total de 1294 incidentes).

    De estos 1714 incidentes, casi el 96% se originaron dentro de la comunidad RedIRIS, el 3% en máquinas de otros ISPs del dominio .es (puesto que IRIS-CERT proporciona soporte de coordinación de incidentes para el dominio .es), y el 1% internacionalmente.



Subsecciones
next up previous contents
Siguiente: Evolución de los incidentes Subir: Informe de incidentes de Anterior: Introducción   Índice General
Chelo Malagón 2005-01-13