La sociedad de la información infectada de Virus

"Todos los meses de diciembre las compañías fabricantes de antivirus publican informes sobre la actividad de los virus en el año que va a finalizar. Son realmente interesantes, incluyen estadísticas espectaculares y pueden poner los pelos de punta a cualquier responsable de informática. Estadísticas aparte, podemos conseguir algo más que unas cuantas imágenes para PowerPoint, podemos comprender qué ha pasado y prever qué pasará". Este es el prólogo del artículo escrito por Fernando de la Cuadra, Editor Técnico Internacional de Panda Software, que Canal AR pone a disposición de todos sus lectores.

El año empezó con SQLSlammer, una infección realmente rápida. Solamente afectaba a MS SQL Server, pero hizo que fueran cayendo los servidores muy deprisa. Este código fue un hito, y para los fabricantes de antivirus, todo un reto. Al momento en que apareció este virus, Panda Software tenía la solución para detenerlo: el Panda Antivirus GateDefender.

Del invierno, al verano

Agosto trajo el virus Blaster, que también se propagó muy rápido. Como SQLSlammer también explotaba una vulnerabilidad en el sistema.

Otro código malicioso difícil de olvidar es Bugbear.B, virus que explota una vulnerabilidad en Internet Explorer 5.01/5.5, y ha mantenido su nivel de infección tras sus máximos niveles en mayo y junio de 2003.

Estos virus son los códigos maliciosos más importantes que han aparecido en 2003, a los que también hay que sumarle otro, el Klez.I, de antaña aparición. Este gusano ha estado en todas las listas de virus más importantes desde que fue descubierto en abril de 2001. Afortunadamente, las cifras muestran que su nivel de propagación está cayendo, lo que después de año y medio es una buena noticia.

Los gusanos que no hacen nada nuevo (es decir, utilizan los mismos trucos para propagarse y las mismas vulnerabilidades) fueron, otra vez, los causantes de muchas infecciones. La razón se debe a un importante factor que afecta a todos los ordenadores. Puede actualizarse el sistema, instalar tantas barreras de seguridad como se quieran, pero el elemento más peligroso nunca será eliminado: el dedo índice de los usuarios. Es el dedo que hace doble clic en elementos peligrosos, accede a enlaces, abre correos electrónicos, etc. Si las empresas no forman a los usuarios, las amenazas antiguas seguirán extendiéndose.

¡Usted tiene una tarea!

En todas las agendas debería haber una tarea obligatoria: formación, formación y más formación. Enseñar a los usuarios cómo se comportan los virus, qué es un gusano, cómo se extienden, qué es la ingeniería social y cómo identificar los correos falsos de Microsoft. De esta manera, le evitarán muchísimos dolores de cabeza a los administradores.

También hay un factor de responsabilidad muy importante: algunos administradores de red no mantienen sus equipos actualizados como deberían. Puede ser por falta de tiempo, recursos financieros, etc., hay muchas razones para no actualizar, pero los administradores deben cumplir con esta necesidad. Muchas páginas web hacen que esta tarea sea más fácil. Si una vez por semana visitaran estas páginas (¡simplemente una vez a la semana!), estoy seguro que la seguridad se incrementaría. Y esto debe hacerlo tanto el administrador de sistemas Windows, como los de muchos otros sistemas.

Hay mucho software afectado por problemas de seguridad y vulnerabilidades. Desde Oracle hasta Apache, muchas aplicaciones distintas necesitan actualizarse también. ¡No solo Windows tiene la culpa! (Ver El gusano Blaster renueva la polémica de seguridad en Microsoft). Todo depende de un puñado de hackers; si estos tienen una nueva idea para hacer que un sistema teóricamente seguro se caiga mañana, lo harán. Los agujeros y sus soluciones existen, los virus y los antivirus existen, así que los ordenadores de los usuarios responsables no deberían estar amenazados.

A las puertas del 2004

Esperamos que el próximo año sea relativamente tranquilo, pero seguro vendrá alguien para estropearlo. Todavía quedan muchos servidores que no están adecuadamente actualizados y con suficientes agujeros de seguridad por los que preocuparse. Y no solamente Windows, muchos servidores Linux pueden ser atacados en cualquier momento.

De SQLSlammer y Klez podemos sacar varias enseñanzas: podemos esperar un virus que infecte más rápido y con mayores efectos destructivos, como ataques de denegación de servicios, borrado de bases de datos, robo de información, etc.

En el futuro (y no solamente en 2004) los atacantes utilizarán técnicas para hacer que redes enteras caigan. Desde desbordamientos de buffer en dispositivos que establecen conexiones (como routers, firewalls o pasarelas en general) hasta inyección de códigos maliciosos hay un montón de oportunidades para atacar sistemas. El objetivo puede ser simplemente detener la actividad del negocio en lugar de robar las bases de datos, pero el daño será igualmente alto.

Para evitar este tipo de ataques, así como los clásicos virus (SQLSlammer, Blaster y otros) se necesitará una nueva y avanzada tecnología, capaz de parar no sólo las amenazas conocidas, como los troyanos, gusanos y virus, sino que también detectar amenazas potenciales y detenerlas. Estas técnicas serán iguales al análisis heurístico para detectar virus, pero con sistemas capaces de detectar comandos erróneos en protocolos, cabeceras UDP incorrectas y muchas otras.

Ahora, no solamente tenemos que luchar contra virus que se propagan en ficheros EXE. Nos enfrentamos a una nueva generación de programadores maliciosos intentando que todo un sistema se caiga. Y si están desarrollando (me resisto a decir “pensando”) nuevos métodos para atacar, hay que estar listos para tener en la red nuevos sistemas de protección. Y si alguien en su empresa piensa que la seguridad es cara, pruebe no tenerla.

Otra mirada, misma advertencia Symantec también advierte un 2004 cargadito de virus. Particularmente, hace hincapié en posibles ataques mezclados, que combinan las capacidades de diferentes tipos de virus para ejecutar sus ataques. Las amenazas mezcladas, que incluyen gusanos que pueden esconderse en los sistemas de computadoras autoenviándose en una red o adjuntos en un e-mail, conformaron el 60 por ciento de los códigos maliciosos en el primer semestre de 2003, según informó Symantec a la agencia EFE. Esta compañía de seguridad informática también recomienda a los usuarios estar atentos ante el virus BugBear, que captura información confidencial; MiMail.C, que se camufla en Pay Pal y el Sabig.F, que envía masivamente correo basura infectando máquinas por todo el globo terráqueo. La mayoría de los ataques apuntan a las vulnerabilidades de Microsoft. "El software de esta compañía provee la mayor oportunidad de infectar una gran cantidad de computadoras-indicó Tony Vincent, arquitecto de seguridad global de Symantec y añadió-. Existe un continuo enfoque por parte de los chicos malos en las vulnerabilidades basadas en el producto para servidores de Microsoft y el programa Internet Explorer". El gusano Blaster, que tenía como objetivo el software de Microsoft y afectó a cientos de miles de computadoras en el mundo, emergió apenas 26 días después de que el mayor fabricante de software del mundo alertara a los usuarios de una falla en el software y les instara a descargar un parche. Por último, para la compañía anti vírica de color amarillo, el 2004 estará signado, en principio, por los ataques en los servicios de mensajería instantánea y el servicio de intercambio de archivos de usuario a usuario.

Más información: www.panda-argentina.com.ar.