Controlado desde el
19/10/97 por NedStat
|
La nueva amenaza: los gusanos de rápida propagación
|
|
VSantivirus No. 943 - Año 7 - Miércoles 5 de febrero de 2003
La nueva amenaza: los gusanos de rápida propagación
http://www.vsantivirus.com/05-02-03.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
El gusano Slammer infectó menos computadoras que el recordado CodeRed, pero actuó dos veces más rápido al expandirse.
Tal vez éste sea el punto crítico que deberíamos tener en cuenta al prepararnos para las nuevas amenazas que seguramente aparecerán en Internet.
En artículos anteriores sobre el Slammer, hacíamos hincapié en su técnica de propagación. Y en el hecho de la actitud por lo menos displicente de quienes deberían haber cerrado en su momento los agujeros que ayudaron a la rápida divulgación del gusano, y no lo hicieron.
He leído algunas tímidas disculpas en donde además se le echa la culpa de casi todo el incidente a Microsoft. Claro que no ayuda mucho que el propio gigante haya sufrido la infección de sus propios servidores SQL. Pero el principal argumento es que muchos administradores no habrían actualizado sus sistemas, porque más de una vez alguno de los parches necesarios ha provocado a su vez nuevos problemas. Cosa que es cierta, pero de ningún modo debe ser una excusa. Estamos hablando de profesionales, no de usuarios domésticos estrenando computadora.
Y el enemigo es real, no una casualidad. Por lo tanto debemos aportar soluciones reales. Quedarnos con los brazos cruzados por temor a que la instalación de un parche nos haga llegar más tarde a nuestras casas, jamás puede ser una excusa ética.
Y pensar que algo así no va a volver a pasar, y no prepararnos para ello, es directamente tonto, por no decir irresponsable.
Lunes 20 de agosto de 2001 - Como infectar un millón de computadoras en solo 8 minutos.
En esa fecha, publicamos en VSAntivirus un artículo sobre el "Warhol", un concepto de gusano que hacía hincapié en su rápida propagación.
El nombre proviene de una frase del famoso padre del pop-art, Andy Warhol: "En el futuro, todos tendremos 15 minutos de fama".
Y el gusano Slammer tuvo sus quince minutos... Pero no será el último.
El artículo de agosto de 2001, habla de Nicholas C Weaver, un catedrático de la universidad de Berkeley, California, y de uno de sus ensayos, donde explora las posibilidades de diseñar un gusano con la capacidad de infectar el mayor número de computadoras en el menor tiempo posible.
Slammer tal vez sea el primer gusano de la serie "Warhol" que hizo que esto dejara de ser una teoría.
Según el ensayo de Weaver, un gusano como Warhol podría infectar una computadora por segundo, o a un millón de computadoras vulnerables en tan solo 8 minutos.
El primer "intento" fue CodeRed, un gusano que llegó a atacar más de 80,000 servidores en las primeras horas de su activación.
El único antecedente a esto, era el Morris, que el 2 de noviembre de 1988, causaba el caos en lo que hoy es Internet, la red ARPANET. En solo tres horas todas las computadoras de costa a costa de los Estados Unidos estaban afectadas (ver "En 1988 fue el Morris. ¿En el 2001 es el CodeRed?",
http://www.vsantivirus.com/morris-codered.htm).
Después llegaron el Nimda y el primer gusano de servidores SQL (el Spammer no fue el primero en eso por cierto), el SQLSpida o Snake, que llegó a infectar 600 mil computadoras en pocas horas.
Pero los únicos "culpables" no son los administradores de sitios que no aplican los parches necesarios. Tampoco los fabricantes de antivirus han hecho mucho para enfrentar a este nuevo tipo de amenaza.
Salvo pocas excepciones (como Panda), el Slammer no puede ser detectado por casi ningún antivirus en su fase de propagación, porque para empezar, no se copia en ningún archivo, ni intenta modificar absolutamente nada en el equipo infectado (ver "Las preguntas que usted se hace sobre el W32/SQLSlammer",
http://www.vsantivirus.com/sqlslammer-faq.htm).
Las empresas antivirus y todos aquellos que teorizan con sus pruebas de concepto, deben enfrentarse al hecho concreto de que el Slammer infectó más del 90 por ciento de las computadoras vulnerables tan solo dentro de los primeros 10 minutos de iniciar su propagación.
Un reciente informe publicado por un organismo de estudio financiado por el gobierno norteamericano (CAIDA, Cooperative Association for Internet Data Analysis), habla del inicio de una nueva era de virus extendiéndose rápidamente por Internet.
Según estos datos, el Slammer llegó a duplicar el área de su propagación cada 8.5 segundos, y alcanzó en apenas 3 minutos la cifra de 55 millones de escaneos por segundo, buscando nuevas computadoras vulnerables para infectarlas.
Según el informe de CAIDA, si el gusano hubiera llevado una carga maliciosa, los efectos podrían haber llegado a proporciones catastróficas impensables.
CodeRed, infectó más de 359,000 computadoras en julio de 2001. Este gusano se propagaba, escaneando servidores IIS 5.0 (Internet Information Server), en busca de un importante agujero de seguridad, conocido antes de que el gusano hiciera su aparición. CodeRed llegó a duplicar su área de propagación cada 37 minutos, contra los 8.5 segundos empleados por el Slammer.
En cambio, Slammer llegó a infectar menos computadoras que CodeRed, debido solo a fallas en su propio código, como las que le impidieron llegar a escanear todo Internet en busca de más computadoras para infectar. Sencillamente, su rutina de generación de números IP no llegó a cubrir todos los rangos posibles, y por ello no todos sufrieron en carne propia el ataque, aunque si las consecuencias.
Además, su forma de generar paquetes era tan agresiva, que llegó a tirar redes enteras antes de lograr infectarlas, protegiendo, paradójicamente, a esos mismos sistemas de su propia acción.
Los expertos aseguran que debemos prepararnos lo antes posible para las nuevas generaciones de gusanos de alta velocidad. Las técnicas actuales, tanto de los fabricantes de antivirus como las de los actualizaciones de parches, deben ser revisadas, para que las posibles víctimas tengan el tiempo necesario para responder, o al menos protegerse.
Por lo pronto, Microsoft acaba de anunciar algo al respecto, en relación a su servicio de alertas.
Solo esperemos que todos podamos tomar conciencia de que la amenaza de estos virus con sus "quince minutos de fama", ya es algo real.
Referencias:
Warhol: el gusano de nuestros 15 minutos de fama
http://www.vsantivirus.com/warhol.htm
CodeRed. Un gusano en la memoria de los servidores
http://www.vsantivirus.com/codered.htm
En 1988 fue el Morris. ¿En el 2001 es el CodeRed?
http://www.vsantivirus.com/morris-codered.htm
A fondo: NIMDA, el gusano que pone en peligro a Internet
http://www.vsantivirus.com/nimda-a.htm
JS/SQLspida. Nuevo gusano afecta el rendimiento de SQLVirus:
http://www.vsantivirus.com/sqlspida.htm
Ataque al puerto 1433 delata nuevo gusano de SQL
http://www.vsantivirus.com/22-05-02.htm
Un gusano que infecta 10 millones de sitios en horas
http://www.vsantivirus.com/25-05-02.htm
W32/SQLSlammer. El culpable del mayor ataque a Internet
http://www.vsantivirus.com/sqlslammer.htm
Los virus más reportados en VSAntivirus (enero 2003)
http://www.vsantivirus.com/virus-report-ene-03.htm
Las preguntas que usted se hace sobre el W32/SQLSlammer
http://www.vsantivirus.com/sqlslammer-faq.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|