martes, junio 01, 2010

Defacements: Tendencias

Ayer uno de los amigos que me salen cuando saco los donettes estuvo buscando tres pies al gato sobre los sitios que se hackean, haciendo referencia a que los ejemplos del artículo de Jacobo de ayer eran todos ASP... Asi que nada, como la gente de Zone-h tiene unas buenas estadísticas, le traigo aquí un post con dibujicos y gráfiquitas para que le sea más fácil tener los datos.

Vaya por delante que este no es un post que quiera sacar ninguna conclusión ni ninguna verdad real sobre que tecnología es mejor en función de los datos de defacement. Que quede claro que esta información va referida a sitios defaceados, lo que implica que no contemplan si están en la misma IP o, estando en la misma IP, si están en el mismo servidor. Aunque Zone-h diferencia entre ataques en masa y ataques únicos, en estas cuentas no se especifica la diferencia. Además, si quieres sacar alguna conclusión deberías tener la cuota de mercado por versiones de los servidores, cosa que Netcraft tampoco da, ya que allí las cuotas son por nombre de dominio y no se muestra públicamente la versión concreta del servidor. Así, conocer la cuota de IIS 7 o IIS 6 o Apache 1.33 es una especulación en esos datos.

Para estas gráficas se ha tenido en cuenta los datos de Zone-h de 2008, 2009 y el primer cuatrimestre de 2010. Los datos de 2010 deberían estimarse, a groso modo, multiplicando por 3, pero así ya te da la información para que tú la extraigas.

Así que nada, sin más dilación, los datos que publicó Zone-h en su web, pero con grafiquitos.

Número de ataques


Los datos de Febrero y Marzo de 2009 están interpolados porque no se recogieron

Como se puede ver, los ataques de defacement están en pleno crecimiento.

¿Por qué lo hacen?

Pues aunque los motivos pueden ser variados, el defacement que más gana es, a día de hoy, por pura diversión, porque mola...


Figura 2: Razones del ataque

Metodos utilizados

Los métodos utilizados para hacer un ataque de defacement son muy variados, pero, sin duda, ganan las cagadas de configuración, los RFI, los SQL Injection y los fallos genéricos en la aplicación web.


Figura 3: Métodos de ataque 1


Figura 4: Métodos de ataque 2

¿Qué servidor web se ataca más?

Pues por cuota, por vicio, o por PHP, los más atacados son los Apache. IIS 7 no parece muy buen amigo de los defacers...


Figura 5: Ataques por Servidor Web

¿Qué sistema operativo se ataqua más?

Linux es el sistema operativo más atacado por lo defacers. Windows Server 2008 tampoco es muy buen amigo.


Figura 6: Ataques por sistemas operativos

¿Windows o Linux?


Figura 7: Windows Linux, todas las versiones

Saludos Malignos!

14 comentarios:

Alejandro Ramos dijo...

Pese a que en general no se verán afectados los resultados. No entiendo porque esta separado todos los Windows y no pones por ejemplo las distribuciones de Linux o su versión de Kernel.

Lo mismo ocurre con el Apache y las versiones de IIS, para uno están todas juntas y para el otro divididas.

Aunque el resultado seguirá siendo similar... por lo menos que no parezca (y se note) que te mueven oscuros y malignos intereses :DD

Chema Alonso dijo...

@dab, ya sabes, es que no tienen ellos esos datos... si fuera yo el que los tomara...

}:P

Antonio dijo...

No es tema de versiones, todo el mundo sabe que el número de servidores linux es mucho mayor que los servidores windows, simplemente por temas de dinero y licencias. Por eso mismo la gráfica acompaña un poco a microsoft. Pero ya te digo que todos los sitios gubernamentales "hackeados" su principal foco vulnerable es su servidor windows 2000. Y losé de primera mano, porque estube mucho años en este mundo, llegando al ranking número de 5 de zone-h.

Un saludo

Tonio dijo...

[offtopic]
Será verdad: http://www.ft.com/cms/s/2/d2f3f04e-6ccf-11df-91c8-00144feab49a.html

Google elimina Windows de sus escritorios, pero permite el uso de Mac OS y por supuesto de GNU/Linux.

Pero no quedamos en que Mac OS tiene más problemas de seguridad que Windows??????

[/offtopic]

CentOS dijo...

Pues están los de ZoneH para mostrar trends de defacements... que se revisen algo mas su portal, que de vez en cuando también les sacan los colores..

Saludos!

Wi®

Anónimo dijo...

@Antonio, mientras hacias meritos para el quinto puesto... cuantas clases te saltastes?

Antonio dijo...

@ anonimo

El foco de mi comentario no era ese, sino para destacar que la mayoría de los servidores son linux y por eso la gráfica destaca, ya que el puesto 5 es del team, y la verdad nunca fui fan del deface ni me gusta. Pero te aseguro que conocco perfectamente todo tipo de scenario.

el follonero dijo...

se rumorea por la bugtraq que está en venta un 0day del iis7...

ARL dijo...

Hola, me gusta mucho el blog, pero soy tiquismiquis con las gráficas y hoy me he sentido incómodo.

Las figuras 5,6,7 comparan ataques por sistema operativo en número absoluto de ataques.

Estas gráficas me parecen no decir *casi nada*. El motivo obvio es la cuota. Teniendo Linux/Apache y Windows/IIS cuotas muy diferentes, si se olvidan, las gráficas no son más que colorines, y no puede intuirse en las mismas si uno es más seguro que otro, o si (como yo opino) el SO empleado es indiferente.

Una medida que sí revelaría algo de información es el índice de ataques conseguidos por el total de ataques intentados (funcionasen o no) pero como esta cifra no está disponible podríamos usar otra.
Aunque de menor calidad podríamos medir el nº de ataques conseguidos con respecto al total de sistemas de cada tipo en activo.

Haciendo la cuenta la vieja, y dando por bueno un reparto grosso modo de cuota del 25% para Windows/IIS y un 75% Linux/Apache, podríamos ver algo más.

En las figuras citadas se ve como los ataques satisfactorios a Windows/IIS en todas sus versiones suman alrededor de la mitad de todos los ataques a Linux. Este número de ataques, teniendo en cuenta el 25%W/75%L, hace de los servidores Windows significativamente mucho más propensos a ataques de defacement.

Sin embargo, antes de cantar victoria, si se ven los métodos más usados en los ataques, parece que el sisetma empleado pierde su importancia, ya que la gran mayoría son errores de administración/desarrollo. Tras esto, las estadísticas por SO solo nos darían pie a estimar en que plataforma se mueven los peores administradores/desarrolladores, lo cual molaría para un post cachondo, pero poco más, en definitiva, poca cosa.

El problema es que a la vista de los números y entendiendo que este es tu blog personal y que naturalmente cojea del pie maligno :D, ese post del que hablo no sería escrito aquí jeje.

No me ofendo por la insinuación de que Linux puede ser peor que Windows o más inseguro o algo así. Lo que me ha hecho escribir este tocho es ver estadísticas en números absolutos a pelo.

Chema Alonso dijo...

@ARL, es cierto, todas las estadísticas son muy dificil de evaluar en este area, por eso he hecho la introducción al principio diciéndolo. Sólo quería contestar a un comentarista de ayer...

Que hackear PHPs "suele" ser infinitamente más facil que ASPX es algo que nosotros sabemos por experiencia en pentesting, no porque tengamos todos los datos...

Saludos!

Wilfred dijo...

Antonio,DOM team?

Anónimo dijo...

cómo buen linuxero quisiera decirte, que las comparaciones que haces entre linux y windows no son muy acertadas, por dos motivos.
Primero: No sirven datos generales, una buena comparación debería usar datos relativos al número de servidores que existen usando un SO. Es decir, si dices que han atacado 30 pcs con linux y 5 con windows, deberías tener en cuenta, que hay 5000 servidores con linux y 1000 con windows, con lo que quedan un 0.06% de servers linux atacados, y un 0.5% en windows.
Por otra parte debería tenerse en cuenta qué fallos son atribuibles al SO, y cuáles a la programación de la página, lo cual, lo se, no es para nada fácil.

Buen artículo en cualquier caso!

Fernando dijo...

Maligno, no estoy de acuerdo en que hackear un ASPX sea más difícil que hackear un PHP... un mal código siempre es más fácil de hackear que uno bueno, punto.

Lo que puede pasar es que hay muchos más proyectos libres corriendo en PHP que en ASPX, por lo que es más fácil conocer los bugs y encontrar "administradores" que no son tales y no parchean.

Algo no es seguro por si mismo ni para siempre, y supongo que en esto estarás de acuerdo conmigo.

Saludos

Chema Alonso dijo...

@Fernando, cuando una herramienta como Visaul Studio te mete, nada más a programar un montón de medidas de seguridad, aunque seas peor programador, si ya no tienes que preocuparte por algo, no cometerás ese fallo. Cuando programas en PHP los compiladores no ofrecen muchas ayudas. Puedes o no estar de acuerdo, pero la realidad es que después de enecientas auditorías ASPX es más jodido que PHP.

Es sólo experiencia personal..

Saludos!

Entrada destacada

Cibercriminales con Inteligencia Artificial: Una charla para estudiantes en la Zaragoza

Hoy domingo toca ir a participar en un evento, con una charla y una pequeña demo. Ahora mismo sí, así que el tiempo apremia, os dejo una cha...

Entradas populares