|
VSantivirus No. 581 - Año 6 - Viernes 8 de febrero de 2002
El efecto dominó
http://www.vsantivirus.com/08-02-02a.htm
Por Antonio Vallejo (**)
Artículo publicado originalmente en Canal Software
http://www.canalsw.com/articulos/articulo.asp?id=415&ic=4&pg=0
Bill Gates no está considerado como un gurú del software, pero cualquiera de sus decisiones puede cambiar la estrategia del mercado de la informática para siempre.
Recientemente remitía un correo a todos los miembros de su empresa, Microsoft. Aunque la importancia del mismo no estuviera señalada como prioritaria, el mero hecho de que el presidente de la compañía se dirigiera directamente a sus empleados (cosa que a lo largo de la historia de Microsoft puede haber sucedido cuatro o cinco veces) ya llevaba implícita la urgencia.
Y es que el viento ha cambiado de dirección en Redmond. Sopla con fuerza y hay un temporal que capear.
Los antecedentes
Somos conscientes de que la sociedad de las Nuevas Tecnologías se rige por la velocidad a la que se desplazan los bites de información, en el flujo continuo –-o discontinuo-- del vasto mar mediático que no es otro que Internet. Pero no siempre ha sido así.
En el principio, las necesidades de los usuarios (exclusivamente de las empresas) requerían de potentes máquinas capaces de ejecutar aplicaciones incoherentes entre sí, poco amigables y con interfaces poco atractivas. La funcionalidad estaba reñida con el rendimiento. Y lo que se pretendía era conseguir que el flujo mecánico de trabajo estuviera centralizado, almacenado y accesible en soporte no papel, para una mejor distribución y acceso desde cualquier punto de la empresa.
Las redes no existían hace veinte años. Al menos no como las conocemos ahora. Los equipos se conectaban directamente entre sí. Punto a punto.
El acceso desde el exterior era imposible, porque tampoco las empresas encontraban provecho en el uso de grandes redes, con poco ancho de banda, y con sistemas de comunicaciones tan precarios, que un teletipo, un telefax y la posterior transcripción por parte de una telecopista, resultaban tanto más baratos como efectivos y rápidos.
Fue a finales de los ochenta cuando una pequeña empresa de desarrollo de software comenzó a despuntar en la nueva industria. Surgiría un nuevo concepto de sistema operativo para lo que comenzaba a denominarse PC (Personal Computer, Ordenador Personal).
Las ventanas comenzaban a poblar las enormes estaciones de trabajo ubicadas en los escritorios de cualquier oficina que se lo pudiera permitir. La versión Windows 3.11 para Estaciones de Trabajo ofrecía una nueva perspectiva a la (entonces) computación, y un nuevo enfoque a lo que iba a ser la informática.
Pero no sería hasta principios de los noventa cuando se produciría el despegue global de los sistemas de información en los entornos empresariales y residenciales. La llegada de Windows 95 y de Windows NT revisaría el concepto de interactuación del usuario con su computadora (ahora ya sí ordenador), y marcaría el inicio del despegue de Internet.
De esta primera fase, cabe destacar que el principal hecho de relevancia fue aproximar la informática (una tecnología hasta entonces únicamente reservada para los estudiantes del MIT, y otras selectas universidades de los países desarrollados) a la universalidad de los habitantes del planeta Tierra. La Interfaz Gráfica de Usuario contaría con una nueva definición, que permitiera al usuario interactuar directamente con la máquina sin que hubiera de ser necesario que conociera algo de programación. El principio de Acción (humana)- Reacción (tecnológica) comenzaba a tener sentido.
Y al tiempo que proliferaban nuevas aplicaciones y programas destinados a los usuarios empresariales y a los usuarios residenciales, paralelamente comenzaban a aparecer individuos y grupos de programadores insurgentes. Disconformes con este nuevo sistema. Reacios ante el devenir de la aldea global preconizada por Marshall Mac Luhan.
Su principal objetivo no va a ser otro que la confiabilidad del usuario, y las deficiencias naturales que puedan encontrarse en el código de programación que emplearía el sistema operativo de base, en la amplia mayoría de los ordenadores personales y estaciones de trabajo repartidos por todo el mundo. Nace el concepto de virus informático. Y también una nueva industria capaz de hacer frente –-eficazmente-- a estas amenazas potenciales y reales.
La hora de afrontar el problema
Los virus informáticos y las intrusiones son eventos considerados normales, por los administradores de sistemas. Oleadas que suelen llegar de cuando en cuando, pero que son controlados y detenidos casi en el mismo instante en el que pretenden acceder a la totalidad del sistema. Aunque hay excepciones.
Normales por cuanto –-como afirmaba Francisco Román en la conferencia de prensa de Microsoft celebrada en Madrid el pasado 5 de febrero de
2002-- "la historia de la informática" --al igual que la Historia-- "se mueve en periodos cíclicos, pero a mayor velocidad". Y cada cierto tiempo se suceden alarmas de incidencias víricas en todo el mundo. Esto es una norma. Cada mes aproximadamente suele producirse algún evento con riesgo para la seguridad. Pero siempre está calculado. Y existe, además, un calendario vírico en el que consta las fechas de activación, ejecución, o propagación de todos los virus disponibles en la lista "In
the wild" -–lista que incluye todos los virus que están libres dentro de la maraña Internet--.
Pero los hechos recientemente acaecidos por los ataques de los virus CODE RED y NIMDA han provocado una normal reacción, consistente en remediar un problema que afecta al código de los propios programas.
El virus ha evolucionado. Ya no es sólo un archivo que depende de la reacción del usuario para ejecutarse y propagar su mal. La nueva generación, es más inteligente, ladina, sagaz y taimada. No busca depender de la inocencia del receptor, porque sabe que eso reduce sus posibilidades de propagación –-cosa para la cual ha sido programado, además del daño colateral provocado--. La dependencia ha pasado a ser fútil. Un virus proactivo es útil. Pero un virus autoejecutable es devastador. Y la única forma que tiene de realizar su cometido es atacando allí donde el usuario es más vulnerable: las propias vulnerabilidades de los programas instalados en el equipo.
Ya hablamos del asunto de CODE RED y otros virus en Cómo infectar un millón de ordenadores en sólo 8 minutos. Un virus, que se detectó el 18 de julio de 2001, y que fue concebido para provocar un ataque a la página web de la Casa Blanca desde múltiples frentes. Finalmente mutó. Y su transgenia lo convertiría en imparable.
NIMDA (ADMIN, al revés, una de las claves de administrador más usadas en los sistemas gestionados) utilizaba la misma vulnerabilidad en los servidores IIS de Microsoft usados por Code Red y otros posteriores, para tomar el control de sus víctimas. Una vez en el servidor infectado, podía propagarse a otros servidores que tuvieran la misma vulnerabilidad, usando el comando tftp para enviar su código (en un archivo ADMIN.DLL).
Así, nos encontramos con una poderosa mezcla explosiva que hace aún más vulnerables los equipos de los usuarios. De un lado el ataque de los virus informáticos dejados en estado salvaje en Internet. De otro, la falta de concienciación de los administradores de sistemas por actualizar sus terminales (y los de la empresa) con los parches, fixes o como quieran llamarlos, preparados para corregir las vulnerabilidades que ahora aprovechan los virus.
El nacimiento de una nueva filosofía lista para cambiar el concepto de la industria del software
Bill Gates sorprendía a sus propios empleados con un correo electrónico hace algunos meses. La relevancia del comunicado no podía quedar muda. Pero sólo el tiempo necesario para que Microsoft preparara su estrategia a nivel mundial. Y nunca sólo. Porque la tarea que le tocaba emprender sobrepasaba con creces las posibilidades del gigante. Y es que cuando el tema de la seguridad se vuelve tan tangible que puede ser violada y traspasada, la fuerza de muchos pequeños es más poderosa que la de un solo titán.
LA INFORMATICA FIABLE -TRUSTWORTHY COMPUTING-
"... es un sistema de información accesible, segura como la electricidad, los servicios de distribución de agua, el teléfono, etc...".
"... los clientes deben beneficiarse automáticamente de estos fixes. Nuestro software debe ser tan seguro en esencia que nuestros clientes nunca deban preocuparse por él...".
"... así que ahora, cuando afrontemos una elección entre añadir una nueva característica (a cualquiera de los productos) o solucionar un problema de seguridad, escogeremos la seguridad...".
Bill Gates
Pero antes de proseguir, me gustaría dejar claro que el contenido de este mensaje no tiene que ver sólo con el mundo de los virus o de los hackers (crackers o como se les quiera llamar). El concepto de seguridad es mucho más amplio que eso. Es extensible a la seguridad implícita en los sistemas de información, a los procesos internos que generan las propias aplicaciones o programas.
Y tampoco se refiere a que el software actual carezca de estas medidas. Sino que -–como se verá más adelante-- el desarrollo de cualquier programa nunca está exento de desarrollos y modificaciones ulteriores, y de lo que se trata no es de solucionar el problema (cosa que hasta la fecha se ha estado realizando sin demora) sino de ofrecer directamente al usuario la solución in situ, para que no haya de buscarla por sí mismo, eliminando de esta forma el error humano del receptor.
Microsoft ha hecho partícipe a la sociedad especializada de esta nueva filosofía con la impronta de Gates. De la mano de Francisco Román, director de la filial española de Microsoft, --quien señalaba la dificultad de poner fin de inmediato al problema, por la dificultad intrínseca de haber heredado sistemas imperfectos del pasado--, se comenzaban a perfilar los primeros pasos de esta iniciativa que ya cuenta con importantes interlocutores en todas las áreas de la sociedad industrial tecnológica española.
Román destacaba que se ha venido produciendo desde no hace mucho "un efecto de colisión entre elementos tan diferentes como el amplio uso de Internet, el creciente aumento de las amenazas, por el drástico uso del e-business, la necesidad de una regulación creciente (...) pero también por los retos de la gestión" que ha de ser llevada en último término por los administradores de los sistemas.
Se ha abierto la Caja de Pandora
Los desarrolladores y fabricantes de productos de software saben y conocen que una de las tareas más complejas del proceso, no es tanto el desarrollo inicial de la aplicación, sino su mantenimiento en el tiempo. Unos con más frecuencia, otros con menos, pero todos cuentan con un departamento de soporte encargado de
testear, analizar, cotejar y verificar los posibles agujeros de seguridad, problemas en la carga de archivos de referencia, de bibliotecas cruzadas...
Una vez resueltos estos errores de concepto (detectables primordialmente bajo el programa en el campo de pruebas que es la vida real), cada uno de los fabricantes elaboran los fixes y parches capaces de corregir el problema. Sin embargo --y hasta ahora--, éstos se dejaban en las páginas (web) de soporte a la espera de que los administradores y usuarios accedieran a ellas, ejecutaran el enlace, e instalaran el archivo fix correspondiente.
Y es precisamente ésta, la ventaja de la que se aprovechan los creadores de los nuevos virus. De la dejadez de los usuarios, o bien de su ignorancia, ante la necesidad de actualizarse y corregir un error que podía (y de hecho ha) causado pérdidas millonarias a las empresas en todo el mundo.
El problema, por tanto, ha de afrontarse desde los dos puntos de vista: desde la concienciación de que el ataque de un virus siempre va a ser una constante; y desde la perspectiva de que una actualización de cualquier programa no es algo baladí, sino necesario para el mantenimiento de la integridad de la seguridad.
Según los datos recopilados por Microsoft, el principal problema de la Industria IT se centra en las vulnerabilidades en sistemas. Un dato que está apoyado en un Informe del FBI–SANS (Octubre 2.001) en el que se señalaron la existencia de las
20 vulnerabilidades más críticas
, entre las que existen 7 generales, además de 6 propias de Windows y 7 exclusivas de UNIX)
La respuesta --meditada, comedida y estudiada al amparo de empresas que han apoyado a Microsoft en este proyecto-- ha sido la creación de una serie de herramientas proactivas, que van a ponerse al alcance de los usuarios, para mantendrán informado al usuario (los administradores de sistemas) de los parches disponibles. Proactivas por cuanto va a ser la propia empresa desarrolladora del software quien informe (al usuario y al sistema) de que existe un problema corregido disponible para ser actualizado.
Los principales elementos que se han tenido en cuenta por parte de Microsoft (así como las causas que han determinado el tenerlos en cuenta) son los siguientes (*):
Entorno de Seguridad, al percibirse como el principal obstáculo para el pleno desarrollo de los servicios on-line. Y teniendo en cuenta...
1. Objetivo de la Seguridad
Confidencialidad. La información únicamente es accedida por los usuarios autorizados
Integridad. Solo los usuarios autorizados pueden modificar la información
Disponibilidad. Los elementos del sistema deben estar accesibles y disponibles a los usuarios autorizados
Autenticación. Permite asegurar la identidad del origen y destino de la información
Imposibilidad de Rechazo, Cualquier entidad que envía o recibe información no puede alegar ante terceros que no la envió o recibió
2. Amenazas a la Seguridad
Interrupción: teniendo en cuenta que ... Se destruye un elemento del sistema o se hace inaccesible o inútil; ésta es una amenaza a la disponibilidad, se puede producir la destrucción de un disco duro, un corte de una línea de comunicaciones, la inutilización de un sistema de gestión de archivos, y hasta un ataque DoS
Interceptación: por cuanto ...una parte no autorizada consigue acceder a la información, se produce una amenaza a la Confidencialidad, bien una parte no autorizada puede ser una persona, un programa o un computador, puede existir una interceptación de las conexiones telefónicas para capturar datos de una red, e incluso producirse la copia ilícita de archivos o programas
Modificación: producida porque... una parte no autorizada no sólo consigue acceder, sino que falsifica un elemento de la información, existe amenaza a la Integridad, bien porque hay un cambio de valores en un archivo de datos, o una alteración de un programa para que se comporte de forma distinta, o incluso una modificación del contenido de los mensajes transmitidos en una red
Invención: ya que... una parte no autorizada inserta objetos falsos en un sistema, provocando una amenaza a la Integridad, por la inserción de mensajes falsos en una red, y también una adición de registros a un archivo.
(*) Fuente Microsoft Corporation [
http://www.microsoft.com/
]
La puesta en marcha de la nueva filosofía
Microsoft ha apostado fuerte por ofrecer una política de seguridad desde abajo hacia arriba. Mediante un sistema que se encargue de llamar a la puerta de los administradores para decirles:
"¡Hey! He analizado tu sistema como solicitaste y bajo tu supervisión. He detectado que tienes estos (...) problemas y te ofrezco la posibilidad de solucionarlos con estas actualizaciones disponibles en la web de soporte. ¿quieres descargarlas y que se instalen en tu equipo? (...) Luego tú serás el encargado de establecer la forma y el modo en que esta actualización o corrección ha de ser implementada en el resto de equipos de tu sistema"
Una política de Política de Seguridad que contendrá políticas de privacidad, de acceso a datos, de responsabilidades, de autenticación, de disponibilidad, de mantenimiento, de reporte de vulnerabilidades, de información... (atendiendo a las Normas ISO, Common criteria...), precisamente porque los sistemas que son vulnerables lo son porque fueron concebidos originalmente para un uso bien intencionado, porque cuentan con protocolos que chocan frente a frente con la seguridad... La lista es larga e indeterminada.
La idea es sencilla: aumentar drásticamente el tiempo de reacción de los administradores de sistemas para reducir el riesgo de la amenaza. Y todo con la máxima de que un administrador siempre informado es un administrador formado (esto es mío, no de Microsoft).
Microsoft no pretende que la formulación de esta filosofía caiga en saco roto. Ni que suene a máxima contundente. Tampoco ha enfocado el problema como una nueva línea de negocio. Sino más bien como servicio gratuito cuyo objetivo es el de "reducir el tiempo en el que la vulnerabilidad puede ser aprovechada por los elementos nocivos", tal y como aseguraba Héctor Sánchez Montenegro, coordinador de STPP, en la misma conferencia de prensa.
Y como tal servicio, cuenta con una alianza estratégica con empresas de relevancia en el sector tecnológico, con un proyecto, y sobre todo con la formulación de soluciones efectivas y contundentes. Buscando la confidencialidad, la integridad, la autenticación y la disponibilidad para los elementos fundamentalmente afectados por esta problemática: los datos de proceso, los datos de almacenamiento y los datos de transmisión. Todo ello con la puesta en marcha de medidas de seguridad, de tecnologías, de procedimientos y de formación, como parte de este nuevo servicio.
Servicio que se resume en dos partes, y que ha sido definido como STPP (Strategic Technology Protection Program), al objeto de que los sistemas de los clientes estén seguros (Get Secure) y que se mantengan seguros (Stay Secure). Un programa que se compone de los siguientes elementos (*):
1. Get Secure, con…
Soporte gratuito para incidencias de virus o instalación de hotfixes (teléfono de atención: 902 197 198)
Oferta de servicios para la asesoría en securización de sistemas MS, ofrecida por Microsoft y sus Partners.
MS Security Tool Kit. Ya disponible en la WEB
Recursos de seguridad orientados a servidores, para administradores
Actualizaciones de seguridad para servidores
Herramientas de seguridad
Security configuration lockdown for web servers
Additional protective software for web servers
Enterprise system patch assessment tool
Enterprise Security tools (Diciembre)
2.
y por Stay Secure, servicio de mantenimiento continuado, que atiende a...
Windows 2000 Security Rollup hotfixes Bi-mensual – inicio Diciembre 2001
Todos los hotfixes en una sola instalación
Reducción drástica en el número de reinicios
Federated Corporate Windows Update Program – Febrero 2002 (beta). Mayo (RTM): Permite a las organizaciones alojar el contenido seleccionado de Windows Update y programar su instalación
(*) Fuente Microsoft Corporation [
http://www.microsoft.com/
]
Microsoft acaba de ofrecernos un giro radical en el modo de afrontar la problemática del software. Un nuevo prisma con el que ver no tanto el problema como su solución. Y lo ha hecho del modo más sutil que ha Bill Gates se le podía ocurrir, haciendo suya la cita de "si Mahoma no va a la montaña, la montaña irá a Mahoma".
Esperemos, tan sólo, que Mahoma esté en casa.
Relacionados:
Lista de programas con la cantidad de vulnerabilidades conocidas.
MandrakeSoft Linux Mandrake 7.2
RedHat Linux 7.0
MandrakeSoft Linux Mandrake 7.1
Debian Linux 2.2
Sun Solaris 8.0
Sun Solaris 7.0
Microsoft Windows 2000
MandrakeSoft Linux Mandrake 7.0
SCO Open Server 5.0.6
RedHat Linux 6.2 i386
MandrakeSoft Linux Mandrake 6.1
MandrakeSoft Linux Mandrake 6.0
Wires Immunix OS 7.0-Beta
Sun Solaris 2.6
RedHat Linux 6.2 sparc
RedHat Linux 6.2 alpha
Debian Linux 2.2 sparc
Debian Linux 2.2 arm
Debian Linux 2.2 alpha
Debian Linux 2.2 68k |
33
28
27
26
24
24
24
22
21
20
20
20
19
19
18
18
18
18
18
18 |
(**) Antonio Vallejo Chanal es el responsable de las Áreas de Seguridad y Mi PC de Canal Software, España
[ www.canalsw.com ]
Referencias:
VSantivirus No. 408 - 20/ago/01
Como infectar un millón de computadoras en solo 8 minutos
http://www.vsantivirus.com/warhol.htm
VSantivirus No. 452 - 3/oct/01
Las 20 vulnerabilidades más explotadas por virus y atacantes
http://www.vsantivirus.com/20vul.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|