PDF de programación - Vulnerabilidades Presentes en Servidores Web: Estudio de la Realidad Chilena

Vulnerabilidades Presentes en Servidores Web: Estudio de la

Realidad Chilena

(Informe Técnico CLCERT-2002-03)

Marcos Kiwi

∗

Roberto Opazo †

Resumen

Este trabajo reporta el resultado de tomar una muestra estratificada de IPs que funcionan como servidores web,
ejecutar una herramienta (Nessus) de análisis perimetral de vulnerabilidades sobre ellos, y analizar estadísticamente
los datos recolectados. Entre los factores analizados están: número de vulnerabilidades, riesgo, puertos afectados,
forma de solución, y sistemas operativos involucrados.

Se compararon resultados en 2 subpoblaciones: Educacional (direcciones IP asociadas a sitios educacionales) y
gobierno (direcciones IP asociadas a sitios de gobierno). En todos los indicadores calculados la muestra de gobierno
resultó más segura que la muestra educacional. Por ejemplo, en la muestra educacional el 70,0% de las direcciones
IP tiene al menos una vulnerabilidad seria (la categoría más alta), en cambio en la muestra de gobierno este indicador
baja al 50,0%.

En este trabajo no se consideran de ninguna forma las diferencias en importancia, interés, y/o visibilidad de los
sitios web, dado lo subjetivo de este aspecto — a pesar que el nivel de seguridad requerido por un sitio tiene relación
directa con estos factores.

1

Introducción

La seguridad de los sistemas computacionales del país es un tema de interés nacional. Esto se refleja, en parte, en el
hecho que los incidentes de seguridad que los han afectado han sido tema de interés público y amplia cobertura por
parte de los medios de comunicación.

Tanto el análisis de la situación local actual como la discusión de los incidentes ocurridos tiende a basarse en hechos
anecdóticos, datos obtenidos de estudios realizados en otros países (principalmente Estados Unidos) y/o estudios
internacionales donde el país es considerado junto a muchos otros. Claramente las anécdotas son insuficientes para
determinar objetiva y cuantitativamente cuál es el estado de los sistemas computacionales nacionales en lo que respecta
a seguridad. Los estudios realizados en otros países no son necesariamente extrapolables a la realidad chilena. Por lo
tanto, tampoco permiten precisar nuestra situación – al menos, hay un desfase en el tiempo en comparación con países
tecnológicamente más avanzados cuyos estudios se tiende a citar (un ejemplo de este tipo de fenómeno se reporta
en [2]). Finalmente, los estudios internacionales, por su naturaleza misma, tienden a ser demasiado genéricos y por
ende dan lugar a datos más agregados y/o imprecisos que los estudios locales (nuevamente, en [2] se describe una
situación como la mencionada).

El presente trabajo está motivado por el deseo de desmitificar la discusión de algunos aspectos de seguridad que in-
volucran a los sistemas chilenos, facilitar la formulación de políticas y prácticas acordes con nuestra realidad/desarrollo
sustentada en una discusión técnica, basada en datos reales, verificables, y que permitan un seguimiento en el tiempo
de la evolución de la situación. Esperamos así contribuir a generar una discusión técnica y objetiva de una situación
de común interés.

∗

Dept. Ing. Matemática & Ctr. de Modelamiento Matemático, UMR 2071 U. Chile–CNRS, [email protected]. Agradece el apoyo de

Fondap en Matemáticas Aplicadas, 2000–2005.

†Dept. Cs. de la Computación, U. Chile, [email protected].

1

Resumen de resultados obtenidos:

Los datos recolectados permiten concluir que en promedio hay mayor cantidad de vulnerabilidades, y que estas son
de mayor gravedad, en los IPs del sector gobierno en comparación con los del sector educación. Unas 1,4 veces
más, si se consideran sólo la vulnerabilidad más grave presente en cada dirección IP — específicamente, 50,0%
de los IP de gobierno exhiben vulnerabilidades serias versus 70,0% para el caso del sector educacional. Distintas
teorías pueden explicar esta diferencia; se podría pensar que el gobierno actúa coordinadamente aplicando políticas
de seguridad que han resultado exitosas; que los sitios de gobierno son objetivos más atractivos para los atacantes
y eso genera niveles de defensa superiores; que los sitios educacionales se atreven a experimentar con versiones
más nuevas y de distinto tipo tanto a nivel del sistema operativo como de aplicaciones; y otras. Este estudio no
pretende resolver esta disyuntiva, pero si mostrar que la preocupación por la seguridad de los sitios web puede producir
resultados significativamente superiores. Además, se observa que en todos los niveles de riesgo las vulnerabilidades
están presentes con mayor intensidad (en un factor que varía entre 1,6 y 2,2) en las IPs asociados al sector gobierno
versus las del sector educacional.

Los porcentajes mencionados en el párrafo anterior, así como el resto de los que se documentan en este trabajo,
tienen una precisión de 10,0% y un nivel de confianza de 95,0%. Luego, la diferencia entre el 50,0% y 70,0%
más arriba mencionada es estadísticamente significativa. Esta diferencia es evidencia (indirecta) de que los falsos
positivos, comunes en cualquier análisis perimetral de seguridad, no invalidan los resultados del presente trabajo.
Esto, puesto que no hay razones naturales para suponer que los falsos positivos ocurran con distinta frecuencia en
distintas subpoblaciones de IPs. Por ello, las diferencias estadísticamente significativas entre poblaciones debería ser
real, y por ende, el orden de magnitud de las proporciones mencionadas debiesen ser aproximadamente correctos.

La vulnerabilidad seria más frecuente (CVE-1999-0024) aparece 41 veces, contra 8 repeticiones de la vulnera-
bilidad que la sigue. Se trata de una vulnerabilidad que permite engañar al usuario que se conecta a un sitio web,
presentándole un sitio distinto al que realmente corresponde a la dirección en Internet (URL) que solicitó el usuario.
De esta forma es posible construir trampas tipo “caza password” y otras. La vulnerabilidad se explota atacando el
servicio de nombres que utiliza el usuario (DNS), no el sito web. Por lo tanto, el sitio no puede tomar medidas para
evitar el ataque, salvo educar a sus usuarios para que sean capaces de reconocer una página segura y acostumbrarse a
ingresar passwords únicamente en estas páginas.

Se percibe una notoria exposición a vulnerabilidades de las cuales una configuración típica de un cortafuego no
permite protegerse. En efecto, el 43,2% y 25,7% de las vulnerabilidades detectadas en el universo muestral afectan
los puertos 80 (servicio http) y 53 (servicio DNS) respectivamente.

Entre los aspectos alentadores de este estudio está el que una significativa proporción de las vulnerabilidades
detectadas (sobre el 75,0%) es de relativamente fácil solución. Esto pues en su mayoría conllevan re-configurar,
aplicar parches y/o filtros.

Tanto en el sector gobierno como educacional el sistema operativo configurado de forma más segura es Unix. Esta
diferencia en el nivel de seguridad encontrado en Unix versus Windows se ve acentuada en la muestra de gobierno
donde alcanza un factor de 3,4 (versus 1,3 en el caso educacional). También hay indicaciones que el uso de sistemas
operativos poco frecuentes (menor a un 2,0% de la población total) conlleva incrementos en el nivel de vulnerabilida-
des serias en un factor de aproximadamente 1,4.

Organización:

Lo que resta de este trabajo está organizado de la siguiente manera; en la Sección 2 se describe la metodología usada
para la confección de la muestra de máquinas analizadas, en la Sección 3 se discuten las consideraciones que se
tuvieron en cuenta en la recolección de los datos y la forma en que se tomaron, en la Sección 4 se presenta el análisis
estadístico de los datos, y en la Sección 5 se concluye con la discusión de algunas interrogantes que deja abiertas el
presente trabajo así como de posibles líneas de investigación futura de interés.

2 Metodología usada para la confección de la lista de IPs revisados

Para obtener una muestra representativa de servidores web chilenos activos, se tomo como punto de partida la lista
de sitios web confeccionada por TodoCL.cl (www.todocl.cl) en Octubre del 2001. Esta lista se genera recorriendo
todos los servidores de la forma www.dom.cl o dom.cl donde dom es un dominio inscrito en NIC Chile. De cada

2

Figura 1: Cantidad de IPs que alojan un número dado de sitios web

servidor activo así encontrado, se extraen los dominios apuntados por las páginas que se encuentren en el. Se continua
recursivamente este procedimiento mientras los servidores así encontrados sean del tipo *.cl o su IP corresponda a una
red chilena. El proceso se detiene cuando el número de servidores que no contestan es a lo más 50 (aproximadamente).
La lista facilitada por TodoCL.cl contenía 23.903 entradas. De estas 17.760 (74,3%) correspondían a servidores
operando en Chile. Esto último se determina de acuerdo a si el IP del servidor pertenece a un rango asignado a un
ISP chileno. Para efectos de este estudio, se descartaron aquellas entradas asociadas a servidores fuera de Chile. En
adelante, llamaremos a cada una de estas entradas sitio web o simplemente sitio. Para cada sitio, se determinó vía
una consulta al DNS el/los números IP a los que estaba asociado. Se observaron 7.650 sitios asociados a una IP de
NIC Chile. Se descartaron todos estos sitios (pues evidentemente corresponden a sitios inactivos) salvo el del NIC. Se
determinó que los 10.111 sitios restantes estaban asociados a 2.227 números IP. Luego, en promedio cada IP alberga
4,54 sitios. La cantidad de IPs que albergan un número dado s de sitios, denotado en adelante I(s), se muestra en la
Figura 1. El mismo gráfico, pero en una escala log-log se muestra en la Figura 2. Si bien uno pudiese estar tentado a
ajustar una recta a los datos de este último gráfico, conviene ser cautos. Especialmente por lo ”desordenado”de la cola
de