PDA

Ver la versión completa : Medio millón de servidores de bases de datos sin cortafuegos



Esk
15-11-2007, 00:56
David Litchfield, reputado investigador de seguridad especializado en bases de datos, ha revelado un preocupante estudio en el que deja al descubierto las vulnerabilidades de 492.000 servidores de Oracle y Microsoft SQL desprotegidos.

Litchfield escaneo direcciones IP aleatorias en los puertos TCP 1433 y 1521, encontrado que 368.000 servidores SQL y 124.000 de Oracle eran accesibles desde Internet.

“Si bien los servidores de Oracle desprotegidos han disminuido ligeramente desde el último informe desde 2005, los SQL han aumentado de manera espectacular”, según Litchfield.

De los servidores SQL encontrados, más del 80% ejecutan SQL Server 2000 y de ellos, sólo un 46% están actualizados con el Service Pack 4. El 4% son vulnerables mediante un ataque del conocido gusano “Slammer”, más propio de equipos domésticos que de máquinas de este tipo.

Todavía peor: 13 servidores de Oracle corrían versiones descatalogadas sin soporte que ya no tienen actualizaciones de parches que corrijan las vulnerabilidades, por lo que un atacante podría hacerse fácilmente con el control absoluto del mismo.

“Medio millón de servidores sin cortafuegos representan un riesgo importante para el potencial ataque de piratas informáticos y delincuentes externos” advirtió Litchfield.

Fuente: The Inquirer.

gondar_f
17-11-2007, 21:17
“Medio millón de servidores sin cortafuegos representan un riesgo importante para el potencial ataque de piratas informáticos y delincuentes externos” advirtió Litchfield. :D ya te digo

Hay que decir que el firewall está bien, pero hay otras medidas de seguridad que dan garantías de seguridad... y este solo comprovo servidores sin firewall y con Gestor de Bases de Datos (GBD) escuchando determinados puertos... eso no quiere decir que sean inseguras todas... incluso algunos de esos servers (por no decir muchos) puede que tengan que estar así, por ejemplo algunas versiones antiguas de Mu Online tenias que tener el MS SQLServer accesible de internet si querias tener un server privado y acesible para otros jugadores desde inet, aunque es cierto que yo sepa solo fue alguna versión de la rama 0.97...

Y por otro si es sorpendente esa cifra, es poque no comprovo otros GBD muy populares como MySQL... joder que valla si no hay de estos...

Lo que si me resulto sorprendente es ver que el MS SQLServer cada día es más popular... pues no será por su calidad... aunque es cierto que muchos usan las MSDE (versión de SQL Server 2000 gratuita para desarrolladores)... que si bien no es una maravilla, si que es un buen GBD completo, potente, muy fácil de utilizar si programas con entornos de MS... y es gratuito...

Un Saludo