Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Como infectar un millón de computadoras en solo 8 minutos
 
VSantivirus No. 408 - Año 5 - Lunes 20 de agosto de 2001

Como infectar un millón de computadoras en solo 8 minutos
Por José Luis López

Cuando oír hablar del CodeRed a esta altura, tal vez nos produzca hasta indiferencia (así es la naturaleza humana), existen razones para que mantengamos despierta nuestra capacidad de atención.

Hasta publicaciones como The Telegraph, a pesar de afirmar que "la amenaza a Internet [del CodeRed], en primer lugar nunca existió", y de complementar esta idea con una fuerte crítica al FBI por su exagerada alarma, advierten de que existe otra amenaza más real, que no debe ser pasada por alto.

En concreto, lo que han hecho las versiones actuales del CodeRed, es infectar miles de computadoras y rastrear desde allí otras que fueran vulnerables a su acción.

Al hacerlo, han estado distribuyendo a cualquiera que quisiera tomarlas, las direcciones IP de todas las computadoras vulnerables. Y además, es posible que muchas de ellas ya tengan un troyano instalado, porque eso es lo que permite el CodeRedII específicamente.

Warhol: el gusano de nuestros 15 minutos de fama

Andy Warhol, el padre del pop-art, dijo alguna vez: "En el futuro, todos tendremos 15 minutos de fama".

Basándose en esta frase, Nicholas C Weaver, catedrático de la universidad de Berkeley, en California, realizó un ensayo, donde explora las posibilidades conque un gusano podría diseñarse para que llegara a infectar el mayor número de computadoras en el menor tiempo posible.

Y lo llamó Warhol, por aquello de los 15 minutos.

Y a no dudarlo, que entre los escritores de virus, muchos añoran hacerse de esta efímera gloria, aunque después tal vez tengan que pagar las consecuencias.

Como infectar un millón de computadoras en solo 8 minutos

En su ensayo, Weaver afirma que el factor principal que limita lo rápido que un gusano pueda llegar a propagarse, está en su capacidad de encontrar e infectar a cada una de sus nuevas víctimas.

Weaver expone como es posible lograr este punto, e incluso a creado una simulación matemática que revela datos que al menos, deberían preocuparnos.

Según estos, un gusano perfeccionado, sería capaz de infectar un millón de computadoras vulnerables en tan solo 8 minutos.

Para el autor del ensayo, el problema más difícil de solucionar es la cantidad de computadoras que iniciarían la infección. Es lo que Weaver llama, la "masa crítica".

Es que, aunque un gusano puede extenderse rápidamente durante las primeras fases de su infección, el tiempo necesario para infectar las primeras mil computadoras, es muy superior al tiempo de la propagación global después de esa cifra.

Pero actualmente sería fácil para un escritor de virus, hacer un escaneo de Internet, y generar lo que Weaver llama "hitlist", o sea una lista de al menos mil computadoras vulnerables, y además con conexiones rápidas a la red.

Esta lista sería proporcionada al gusano original, y luego cada una de estas mil computadoras infectadas, podría buscar e infectar otras, dividiendo sus propias listas en forma coordinada.

Según los cálculos en el papel, esto permitiría infectar las primeras mil máquinas en menos de un minuto.

Una vez cumplida la fase de la "hitlist", los gusanos podrían cambiar su acción a otro mecanismo de optimización, diseñado para acelerar aún más la proporción de infecciones.

Aquí, cada gusano comparte una secuencia común, tomada "al azar" o una "permutación" de todas las posibles direcciones IP de sus blancos, y usando la estrategia del "divide y vencerás", cada máquina infectada podría reproducirse con un mínimo de esfuerzo, en forma coordinada, a otros miles de computadoras, en lugar de actuar en forma independiente.

Algo más que una teoría

El resultado de las simulaciones, dan estos sorprendentes resultados:
  • 1.000.000 de máquinas vulnerables.
  • 10.000 computadoras generando las "hitlist" y empezando la infección.
  • 1 minuto por computadora para procesar la "hitlist".
  • 100 escaneos por segundo y por host (multi-thread).
  • 1 segundo para infectar cada computadora.

Con estos datos, se obtiene una infección completa del millón de computadoras, en apenas 8 minutos, con un 99% de la infección concretado en apenas 6 minutos y medio.

Un gusano usando un escaneo más lento de apenas 10 computadoras por segundo (en lugar de 100), todavía podría infectar un millón de máquinas vulnerables en aproximadamente una hora.

CodeRed tiene el potencial para extenderse rápidamente, pero la infección no alcanzó las cifras que Weaver maneja, en un tiempo tan corto.

Según el ensayo de Weaver, construir un gusano tan hyper-virulento, no es algo imposible.

Virus como el SirCam, han alcanzado niveles de propagación bastante importantes, apelando a la simple naturaleza humana. Coordinar esta acción con modelos matemáticos más elaborados, no debería ser algo difícil.

El enemigo en casa

Existen tres blancos potenciales, actualmente disponibles para empezar tal infección.

El Internet Information Server (IIS) o el Exchange de Microsoft, las aplicaciones que usan la tecnología P2P (Peer-To-Peer), utilizada para compartir archivos entre computadoras "punto a punto" (computadora a computadora), y los programas de mensajería como el Messenger, AOL IM e ICQ por ejemplo.

Todas estas aplicaciones, brindan vulnerabilidades para la acción de un gusano. Un gusano que se coordinara para afectar todas estas opciones, podría infectar mucho más computadoras en un solo ataque.

El IIS de Microsoft, es uno de los blancos más vulnerables, según Weaver, como lo ha demostrado la acción del CodeRed.

La demostrada negligencia de los operadores de estos servidores (incluso del propio Microsoft como se hizo público al comprobarse la infección de varios de sus sitios), para ponerse al día con los parches respectivos, abre un gran campo de acción, aún al día de hoy, y a pesar de lo mucho que se ha hablado del CodeRed.

Programas como el Microsoft Exchange, son menos ricos en posibilidades para un gusano que el IIS, pero desde que las necesidades de correo electrónico son vitales para las grandes empresas, ello hace que la infección pueda llegar a trasladarse a las redes internas, traspasando los cortafuegos que podrían bloquear otro tipo de infección.

Agujeros en aplicaciones de mensajería como el AOL IM, MSN Messenger, etc., y programas para compartir archivos como Napster, Kazaa, Gnutella y otros, constituyen blancos excelentes para los gusanos. Y aunque la mayoría de las máquinas personales que ejecutan estos programas, aún poseen conexiones a la red relativamente lentas (módems, etc.), estas aplicaciones tienen una gran ventaja para extender el gusano: cada PC ya tiene información sobre otras computadoras que ejecutan el mismo programa.

No todo es teoría

Por lo pronto, la teoría de las "hitlist" prácticamente es un hecho.

Cómo decíamos al principio, la acción del CodeRed ha revelado a cualquiera que desee investigar, las direcciones IP de miles de computadoras aún infectadas.

Y aunque las alarmas hasta el momento hayan sido exageradas, la posibilidad de que situaciones como estas sirvan para que alguien piense en tomar sus 15 minutos de fama, está, por lo menos, al alcance de la mano.

El ensayo de Weaver está en la red. Que alguien piense que ello solo sirva para dar "ideas" a alguien, y que sería mejor no hacer público este tipo de información, suena al menos tonto, porque cualquier programador podría llegar a las mismas conclusiones, y no decírselo a nadie hasta liberar su gusano.

Según Weaver (adepto a la doctrina de la "full disclosure" o sea a la total divulgación de la información), saber que algo así es posible, debería al menos prepararnos para un hecho de esta naturaleza. No decirlo, no ayudaría a nadie.

Las únicas defensas consideradas actualmente, parten de la premisa de ser consciente de lo vulnerable que nuestras computadoras pueden llegar a ser.


Más información:

Warhol Worms: The Potential for Very Fast Internet Plagues
http://www.cs.berkeley.edu/~nweaver/warhol.html

A Warhol Worm: An Internet plague in 15 minutes!
http://www.cs.berkeley.edu/~nweaver/warhol.old.html


(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS