28 de Noviembre, SANS publico la Versión 8.0 del reporte anual sobre los 20 riesgos más importantes a la seguridad en Internet, denominada "Top 20 2007 Security Risks (Annual Update)".
Entre los distintos comentarios que se publicaron del reporte podemos mencionar el articulo escrito por Angela Ruiz en el boletín "VSantivirus" del día de hoy:
Una de las mayores vulnerabilidades de seguridad en computadoras y redes, es el propio usuario. De acuerdo con el reporte anual del SANS Institute sobre los 20 riesgos más importantes a la seguridad en Internet, "los usuarios que son fácilmente engañados" y las aplicaciones creadas a medida, están en los primeros puestos como los principales objetivos para los atacantes.
En el informe se citan varias historias basadas en eventos auténticos, que ilustran las implicancias del "mundo real" en los retos actuales de la seguridad.
En un caso, cientos de altos funcionarios federales y directivos de empresas, visitaron un sitio político infectado, y todas sus computadoras se convirtieron en máquinas zombis.
En un caso, cientos de altos funcionarios federales y directivos de empresas, visitaron un sitio político infectado, y todas sus computadoras se convirtieron en máquinas zombis.
Keylogers instalados en sus equipos, capturaron nombres de usuario y contraseñas de sus cuentas bancarias y otra información financiera, y enviaron todo ello a cibercriminales de varios países. Mucho dinero y datos críticos fueron perdidos.
En otro caso, un adolescente simplemente visitó una página de Internet con una versión no actualizada de un reproductor multimedia. Un video se abrió apenas el joven entró al sitio, mientras un keylogger (capturador de la salida del teclado), se instalaba en su equipo sin su conocimiento. Es el mismo equipo que su padre utiliza para manejar sus cuenta bancarias en línea.
La cuenta fue literalmente vaciada por los atacantes. A pesar de que el banco más tarde compensara en parte las pérdidas, los investigadores descubrieron que el dinero fue a parar a un grupo de terroristas suicidas en medio oriente.
En un tercer caso, una aplicación hecha a medida tenía un error de programación que permitía a los delincuentes acceder a los registros privados de los pacientes de un hospital. El hospital fue extorsionado a pagar una suma de dinero para evitar que los registros se hicieran públicos en Internet.
En el informe se citan varias historias basadas en eventos auténticos, que ilustran las implicancias del "mundo real" en los retos actuales de la seguridad.
En un caso, cientos de altos funcionarios federales y directivos de empresas, visitaron un sitio político infectado, y todas sus computadoras se convirtieron en máquinas zombis.
En un caso, cientos de altos funcionarios federales y directivos de empresas, visitaron un sitio político infectado, y todas sus computadoras se convirtieron en máquinas zombis.
Keylogers instalados en sus equipos, capturaron nombres de usuario y contraseñas de sus cuentas bancarias y otra información financiera, y enviaron todo ello a cibercriminales de varios países. Mucho dinero y datos críticos fueron perdidos.
En otro caso, un adolescente simplemente visitó una página de Internet con una versión no actualizada de un reproductor multimedia. Un video se abrió apenas el joven entró al sitio, mientras un keylogger (capturador de la salida del teclado), se instalaba en su equipo sin su conocimiento. Es el mismo equipo que su padre utiliza para manejar sus cuenta bancarias en línea.
La cuenta fue literalmente vaciada por los atacantes. A pesar de que el banco más tarde compensara en parte las pérdidas, los investigadores descubrieron que el dinero fue a parar a un grupo de terroristas suicidas en medio oriente.
En un tercer caso, una aplicación hecha a medida tenía un error de programación que permitía a los delincuentes acceder a los registros privados de los pacientes de un hospital. El hospital fue extorsionado a pagar una suma de dinero para evitar que los registros se hicieran públicos en Internet.
Estas y otras historias ilustran el informe del SANS que intenta mostrar el panorama actual de la seguridad informática. El mismo es la creación de un trabajo colectivo de cuarenta y tres expertos en seguridad, pertenecientes a gobiernos, industrias e instituciones académicas de varios países.
En el panorama que presenta el informe del SANS, se destacan los continuos asaltos de programas automatizados en busca de vulnerabilidades. De hecho, el Internet Storm Center, el sistema de alertas tempranas del SANS, informó que "una computadora recién conectada a Internet, puede ser atacada de inmediato, y no llegará a sobrevivir más de cinco minutos si no fue debidamente configurada o protegida antes de conectarse."
Alan Paller, director de investigaciones del SANS, dice que muchas aplicaciones web personalizadas, son programadas sin tener en cuenta los requisitos de seguridad necesarios.
"Hasta que los colegios que enseñan programación y las empresas que contratan a los programadores, garanticen que los desarrolladores dominan la codificación segura", dijo, "seguirán existiendo importantes vulnerabilidades en casi la mitad de todas las aplicaciones web."
El informe sugiere algunas formas de defensas acerca de las aplicaciones que pueden permitir que un sitio pueda comprometer la información de las computadoras o infectarlas.
La mejor defensa es la utilización de cortafuegos y antivirus, educar a los usuarios para sensibilizarlos en cuestiones de seguridad, y entrenar al personal de las empresas para detectar síntomas como un aumento imprevisto en el tráfico de la red.
Otros riesgos señalados en el informe, incluyen dispositivos no autorizados (memorias USB por ejemplo), y el uso indebido de programas de intercambio de archivos. El informe indica que en general, las mejores prácticas deben incluir la configuración de los sistemas para prevenir la instalación no autorizada de software, el uso de proxys, el cifrado de los datos sensibles, y la prueba exhaustiva en un ambiente controlado, de cualquier software antes de ser instalado en la red de la compañía.
En el panorama que presenta el informe del SANS, se destacan los continuos asaltos de programas automatizados en busca de vulnerabilidades. De hecho, el Internet Storm Center, el sistema de alertas tempranas del SANS, informó que "una computadora recién conectada a Internet, puede ser atacada de inmediato, y no llegará a sobrevivir más de cinco minutos si no fue debidamente configurada o protegida antes de conectarse."
Alan Paller, director de investigaciones del SANS, dice que muchas aplicaciones web personalizadas, son programadas sin tener en cuenta los requisitos de seguridad necesarios.
"Hasta que los colegios que enseñan programación y las empresas que contratan a los programadores, garanticen que los desarrolladores dominan la codificación segura", dijo, "seguirán existiendo importantes vulnerabilidades en casi la mitad de todas las aplicaciones web."
El informe sugiere algunas formas de defensas acerca de las aplicaciones que pueden permitir que un sitio pueda comprometer la información de las computadoras o infectarlas.
La mejor defensa es la utilización de cortafuegos y antivirus, educar a los usuarios para sensibilizarlos en cuestiones de seguridad, y entrenar al personal de las empresas para detectar síntomas como un aumento imprevisto en el tráfico de la red.
Otros riesgos señalados en el informe, incluyen dispositivos no autorizados (memorias USB por ejemplo), y el uso indebido de programas de intercambio de archivos. El informe indica que en general, las mejores prácticas deben incluir la configuración de los sistemas para prevenir la instalación no autorizada de software, el uso de proxys, el cifrado de los datos sensibles, y la prueba exhaustiva en un ambiente controlado, de cualquier software antes de ser instalado en la red de la compañía.
Top-20 2007 Security Risks
- Client-side Vulnerabilities in:
C1. Web Browsers
C2. Office Software
C3. Email Clients
C4. Media Players - Server-side Vulnerabilities in:
S1. Web Applications
S2. Windows Services
S3. Unix and Mac OS Services
S4. Backup Software
S5. Anti-virus Software
S6. Management Servers
S7. Database Software - Security Policy and Personnel:
H1. Excessive User Rights and Unauthorized Devices
H2. Phishing/Spear Phishing
H3. Unencrypted Laptops and Removable Media - Application Abuse:
A1. Instant Messaging
A2. Peer-to-Peer Programs - Network Devices:
N1. VoIP Servers and Phones - Zero Day Attacks:
Z1. Zero Day Attacks
No hay comentarios:
Publicar un comentario