Zone-h, quien se auto denomina ”el termómetro de Internet”, mantiene desde el año 2000 un espejo de los ataques a páginas Web en Internet (normalmente conocidos como “Deface”). Hace unas pocas semanas dieron a conocer algunas estadísticas[1], entre las que podemos ver la siguiente tabla:
Observando estadísticas como las arriba expuestas, uno podría pensar que los servidores Web que corren sobre Linux son más vulnerables que aquellos que corren sobre Windows, sin embargo debemos tener cuidado con esta apreciación.
Por ejemplo, analizando los años 2001 y 2002 apreciamos que los ataques a plataformas Windows fueron 5 veces mayores respecto a los servidores ejecutando Linux. Claro que al no contar con estadísticas mas completas de lo sucedido en esa época, la estadística no es concluyente. Recordemos que entre 2000 y 2003 el servicio IIS (Internet Infomation Services) padecía de múltiples vulnerabilidades que permitían el acceso de una manera relativamente sencilla, por esto es que los atacantes preferían estos objetivos.
Para los años 2001 y 2002 se puede apreciar que la diferencia fue de 3 y 2 veces más respectivamente en cantidad de ataques exitosos en equipos Windows respecto a equipos Linux. Al no tener un panorama más completo de lo que sucedía en esa época, la estadística es engañosa. Entre los años 2000 a 2003 el servidor Internet Information Server tenía múltiples vulnerabilidades que permitían el acceso de una manera relativamente sencilla, es por esto que los atacantes preferían estos sistemas como sus objetivos.
Si observamos los años 2004 y 2005 para equipos Linux, se observa que los ataques exitosos crecieron considerablemente, pero ¿por qué? Durante estos años se incrementaron los RFI (Remote File Include), los cuales explotan una funcionalidad del lenguaje de programación PHP, lo que permite que un atacante inyecte código en el servidor que, cuando es interpretado, permite tener acceso a funciones del sistema y por lo tanto tomar control del mismo. RFI es un ataque que se puede denominar como de explotación fácil, y la búsqueda de sitios Web vulnerables era relativamente sencilla con Google o Yahoo, dando como resultado una gran cantidad de ataques exitosos.
Otro punto importante para analizar es que la mayoría de los ataques a gran escala son dirigidos a grandes empresas de hospedaje de sitios (hosting), donde en un mismo servidor podemos encontrar 1, 10 o cientos de páginas Web, lo cual incrementa exponencialmente los ataques dirigidos a estos servidores. Si una página Web de otra empresa u organización es albergada en el mismo servidor en el que se encuentra la mía, la probabilidad de que mediante una vulnerabilidad del servidor mi página sea también atacada, es muy alta.
Un ejemplo de esto fue lo que lo sucedido a uno de las empresas de hospedaje más grandes de Estados Unidos. Como parte de los paquetes que ofrecían daban acceso a una biblioteca escrita en ASP, la cual permitía enviar correos electrónicos. Dicha biblioteca contenía un error de programación, el cual permitió a un Defacer[2] turco alterar alrededor 38,500 sitios Web en algunas horas.
Al hablar simplemente de ataques exitosos a sistemas operativos como Linux, Windows, Unix o cualquier otro, no se deben tomar los datos a la ligera, hay que ahondar más, no todos los ataques exitosos son por cuestiones de falta de seguridad en el sistema operativo, también hay casos que se producen por aplicaciones de terceros que son comprometidas.
Cuando se habla de la distribución de software malicioso en el mundo, al ver la gráfica[3] que ofrece Google, en la que se aprecia que tanto IIS como Apache tienen un 49% del software malicioso que se distribuye en el mundo corriendo en sus servidores, considero nuevamente que esto nos brinda una mirada limitada de lo que realmente sucede. Es cierto que ataques especializados de Iframe[4] son realizados a sitios que corren en IIS, y que a su vez ataques especializados con paquetes como Mpack[5] son realizados desde sitios corriendo en Linux y Apache; sin embargo el pensar que la seguridad de un sistema operativo se mide en base a estadísticas y gráficas de ataques exitosos sobre ellos, o incluso la cantidad de software malicioso que se distribuye mediante ellos es muy ambiguo.
Cuando alguien me pregunta ¿cuál es el sistema operativo más seguro?, yo respondo ¿cuál es el sistema operativo que dominas? Al responder ellos, le digo ese es. Todo sistema operativo bien configurado por un administrador que lo conoce nos brinda un nivel de seguridad aceptable.
Las estadísticas son una herramienta más entre muchas que nos deben ayudar en la toma de decisiones respecto a tecnologías de información, sin embargo no deben ser la única fuente de información para la toma de decisiones.
[1] Statistics report 2005-2007 (http://www.zone-h.org/content/view/14928/1/).
[2] Playing the three monkeys game: GoDaddy denies the hacking incident (http://www.zone-h.org/content/view/4497/31/).
[3] Web Server Software and Malware (http://googleonlinesecurity.blogspot.com/2007/06/web-server-software-and-malware.html).
[4] Hackers expand massive IFrame attack to prime sites (http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9073098).
[5] MPack, Packed Full of Badness (https://forums.symantec.com/syment/blog/article?message.uid=305505).
Deja tu comentario