Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Las lecciones aprendidas con el virus "Needlepoint"
 
VSantivirus No. 863 - Año 7 - Domingo 17 de noviembre de 2002

Las lecciones aprendidas con el virus "Needlepoint"
http://www.vsantivirus.com/lecciones-needlepoint.htm

Basado en el artículo "Security tightened after 'Needlepoint' virus".

Por Jose Luis Lopez
videosoft@videosoft.net.uy


Esta historia apareció en una publicación británica, y habla de un supuesto virus denominado "Needlepoint". El nombre del virus en realidad es un invento. Pero lo que el artículo relata, es algo que debería hacernos pensar a todos.

El autor del artículo, J.W. McCord, dice haber sido el director de una división de una compañía consultora de más de 300 millones de dólares, con casi 50 oficinas a lo largo de todo Estados Unidos.

La descripción del virus "Needlepoint" no la encontrará en ningún lado. Needlepoint significa algo así como "bordado a mano" o "tejido punto de aguja", y es el nombre ficticio de un virus que ni siquiera una barrera de seguridad de 3 millones de dólares pudo detener.

McCord participó en un ambicioso plan de seguridad para su compañía, con un presupuesto de 10 millones de dólares y más de 120 especialistas a su cargo.

Pero pocos meses después, apareció el virus.

Primero, mandó un correo electrónico a todos los contactos de la libreta de direcciones en forma local, y luego a toda la corporación.

Cuando los técnicos lo detuvieron y le siguieron el rastro en busca de su origen, la búsqueda dio como resultado la oficina del propio McCord. Por supuesto, su oficina era la que estaba equipada con el mejor cortafuegos, los mejores procedimientos de seguridad y el mejor software antivirus, porque era lógico que así fuera.

Pero lo que no pensó McCord, fue en el virus "Needlepoint".

La historia del virus comienza con la propia ayudante administrativa de McCord. Ella misma escribió y participó en el diseño de los documentos de seguridad, y estaba enterada como ninguna otra persona, de las normas de la empresa.

Pero la conexión a Internet del trabajo era más rápida que la de su hogar. Ella se infectó en la computadora de su casa cuando descargó un modelo punto de aguja para bordar a mano, y trajo el virus a la red de la compañía. Por supuesto, ella tenía antivirus en su computadora personal. Solo que no lo había actualizado.

La moraleja resultó muy costosa. Según McCord, "a menudo gastamos tanto de nuestro tiempo y dinero en presupuesto para prevenir los ataques del exterior, y nos olvidamos que nuestro sistema puede ser mucho más vulnerable a la persona que tenemos al lado, o a nosotros mismos".

No fue un ataque malicioso. Fue un error de confianza, que costó a la empresa 500,000 dólares. "Imagínese lo que podría haber costado si el ataque hubiera sido malicioso", comenta McCord en su artículo.

Tal vez en otro país, este error le hubiera costado el trabajo a ambos, o al menos el desprestigio.

Pero en este caso, el error de medio millón de dólares, sirvió para elaborar un plan más seguro, y mucho más ambicioso.

Algunas de esas pautas, pueden servirnos a todos los que estamos involucrados en la seguridad. No importa que sea una empresa pequeña o una grande. E incluso puede sernos útil si solo queremos mantener segura nuestra única computadora doméstica. Las diferencias en dinero pueden ser abismales. Pero la sensación que podemos llegar a sentir al perder todo nuestro trabajo, puede ser igual de dolorosa.

Estas son algunas de las normas que McCord aplicó luego de esta experiencia.

1. Identifique los riesgos del negocio y el potencial daño financiero si ocurrieran cualquiera de las siguientes cosas:
  • La interrupción del negocio: No podríamos facturar a clientes ni pagar el personal.
  • La publicidad negativa: Podría salir a la luz pública que fuimos hackeados
  • El robo de propiedad: Nuestro propio software a medida podría ser robado.
  • El robo de información privada: Esto podría incluir los archivos del personal o los registros de la nómina.
  • La responsabilidad legal: Alguien podría instalar software ilegal.

2. Identifique y ponga al principio de una lista de seguridad, amenazas como las siguientes:

  • Denegación de servicio
  • Virus
  • Gusanos
  • Troyanos
  • Código malicioso
  • Desbordamientos de búfers
  • Acceso no autorizado
  • Mal uso de recursos

3. Use tres tipos de protección:

  • Detectar: Reconozca que la amenaza existe y deje que la gente apropiada lo conozca.
  • Prevenir: Identifique cuáles servidores, desktops, y personal son los que poseen más riesgos ante un ataque exitoso.
  • Responder: Determine si la amenaza se soluciona automáticamente o si alguien más debe ser notificado.

Las soluciones técnicas

Esta es la lista de McCord, no todas fueron aplicadas a causa de los costos, pero todas eran enfoques muy correctos.

1. Comenzamos con la protección de la red y las puertas de enlace (gateways). Se instalaron paquetes de software para la protección del acceso a la red.

2. También se instalaron protecciones en equipos de trabajo individuales (cortafuegos, etc.)

3. Se instaló un servidor para llevar el registro de sucesos, con un software para elaborar todo tipo de informes y estadísticas, que permite controlar anticipadamente cualquier aumento de actividad extraña.

4. Los directores asistieron a una clase de entrenamiento dada por especialistas en seguridad, explicando lo que se había instalado y porqué.

5. No se hizo una evaluación de vulnerabilidades. Esto requiere un gasto alto en los costos del procedimiento, que debe ser hecho por especialistas consultores durante varias semanas.

6. No se aplicó la posibilidad de que alguien controlara remotamente los sistemas de la compañía en forma periódica buscando problemas de seguridad. Esto se decidió así al considerarse innecesario por el éxito obtenido con los demás procedimientos aplicados.

Las soluciones no técnicas

Estas fueron las soluciones no técnicas según McCord, derivadas de discusiones con especialistas durante varios meses.

Estos sugirieron que estas normas fueran distribuidas por escrito entre todo el personal, como primer paso para prevenir la responsabilidad si un problema ocurre.

McCord la llamó "Lista de verificación del Needlepoint", y la distribuyó a todo su personal.

1. No tenga nada en su computadora que no quiera que sus superiores vean.

2. No cargue nada que no esté 100 por ciento relacionado con su trabajo.

3. Cerciórese de tener la última actualización del antivirus en su máquina.

4. No cargue ni introduzca software que traiga de su hogar.

5. Permítales saber a los empleados que usted o alguien que usted asignó verificará la computadora para ver ocasionalmente lo que se ha cargado en ella.

6. Los directores deben mencionar los problemas de seguridad por lo menos en reuniones mensuales con el personal.

7. Asegúrese de que se realicen al menos respaldos de computadoras críticas, y que esos respaldos sean leídos correctamente por otras computadoras.

8. Nadie más que el empleado debe estar en una computadora.

9. Márquese una norma de cambios de contraseñas cada 90 días. La administración tiene la opción de hacer cambios de contraseñas si fuera necesario. Los nuevos password no deben ser parecidos a los anteriores, y tampoco deben volver a usarse los mismos en otra ocasión.

10. Nunca se debe abrir correo electrónico de gente que usted no conoce.

11. Nunca juegue ni cargue juegos en computadoras de la oficina.

12. Si alguien es despedido, cambie inmediatamente las contraseñas de su computadora.

Avíseles a sus empleados las consecuencias de no cumplir estas reglas. Primero una advertencia verbal. Pero si un empleado viola estas normas por segunda vez será amonestado por escrito, y si lo hace por tercera vez, puede ser causa de despido.

McCord aprendió importantes lecciones de seguridad con el virus "Needlepoint", a pesar de ser un especialista. Creo que es algo que todos debemos tener en cuenta.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS