A pesar de la seguridad que pueden ofrecer los sistemas operativos Unix y Linux, sigue aumentando significativamente el n�mero de equipos con estos sistemas operativos que son atacados con �xito de forma remota, consiguiendo el atacante acceder como administrador al equipo.
Esta situaci�n se ha visto agravada esta a�o con la reaparici�n de los programas gusano para equipos Unix, que consiguen acceso autom�ticamente a los equipos vulnerables, dejando algunas veces puertas abiertas para posteriores accesos.
Con el aumento de popularidad de los sistemas Unix para plataformas Intel, y sobre todo de Linux en sus distintas distribuciones, el n�mero de incidentes de seguridad en los que son atacados este tipo de sistemas ha aumentado considerablemente en los ultimos tiempos.[1]
En la mayor�a de las ocasiones los atacantes no realizan un ataque diriguido hacia un servidor concreto, sino que van buscando equipos vulnerables ante determinado conjunto, limitado, de vulnerabilidades hasta que encuentran un equipo vulnerable, que es atacado.
Una vez que el atacante ha obtenido acceso al sistema suele instalar y modificar varios ficheros del equipo para ocultar su presencia. Muchas veces la forma m�s segura de solucionar el problema es reinstalar el sistema operativo y datos desde una copia de seguridad anterior a la fecha en la que se produjo el ataque.
Este a�o han aparecido diversos programas y scripts de ataque que combinados formaban un gusano, es decir un programa que buscaba y atacaba autom�ticamente otros equipos replic�ndose sin requerir ninguna interacci�n con el usuario.
As� a finales del a�o pasado y principio de este a�o aparecerieron diversos Gusanos, Rameno Li0n, para equipos Linux y sadmin/IIS que infectaba a equipos Solaris y atacaba simultaneamente servidores IIS de Microsoft.
Estos gusanos empleaban vulnerabilidades conocidas y solucionadas bastante antes de la aparici�n del gusano, pero al no haber sido actualizado el equipo v�ctima se produc�a un ataque exitoso. Una de las ventajas de los gusanos es que es posible analizar cuales son las acciones que ejecutan en el sistema, por lo que si no ha habido accesos posteriores al equipo y se conoce exactamente qu� gusano ha sido el causante del ataque es posible solucionar el problema con m�s rapidez que en el caso de un ataque "manual".
Dado que estos gusanos son un caso espec�fico de los incidentes de seguridad, se tratar�n indistintamente al resto de accesos no autorizados a los equipos.
Hay que indicar que los procedimientos mencionados a continuaci�n est�n pensados para situaciones en las que se requiere que los equipos atacados vuelvan a funcionar r�pidamente y en los que no ha habido un perjuicio serio.
En caso de que sea m�s conveniente una investigaci�n judicial del ataque lo m�s conveniente ser�a acudir a los servicios jur�dicos de la organizaci�n y contactar con las autoridades, ya que la manipulaci�n del sistema pueda invalidar las posibles pruebas existentes en el equipo.
| [1] | estad�sticas del CERT/CC muestran la evoluci�n de incidentes de cualquier tipo gestionados por el CERT/CC, adem�s en en los informes anuales de este organismo aparecen a�o tras a�o las vulnerabilidades m�s empleadas por los atacantes para acceder a los equipos, en la mayoria de las veces servicios ejecutandose sobre plataformas Unix |
| Siguiente | ||
| Un incidente de seguridad t�pico |