Curated by: Luigi Canali De Rossi
 


Seguridad En Internet: ¿Se Está Preparando Un Ataque Masivo De Virus?

¿Están los ataques de virus y gusanos de los últimos meses preludiando un gran ataque disruptivo a nuestras infraestructuras tecnológicas?

¿Estamos preparados para contrarrestar tal posibilidad?

color15_by_cruxbrasil.jpg
Photo credit: George Crux

¿Cuáles son las estrategias y abordajes que los expertos de seguridad sugerirían adoptar para reducir al mínimo la posibilidad de tal desastre tecnológico?

¿Son más protección y restricciones extras las únicas maneras de contrarrestar esas amenazas o hay metodologías completamente alternativas que no hemos considerado todavía?

Esto es lo que la ANSSAIF - Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria, una asociación italiana de expertos de seguridad en Italia, escribió en un artículo reciente titulado Cosa bolle in pentola" (¿Qué está hirviendo en la cacerola?)

 




"Muchos expertos de seguridad están fijándose en la evolución de virus, gusanos y Troyanos con minuciosidad y preocupación, atendiendo a los varios estilos y formas de ataque.

El tema de este artículo está centrado en esos llamados 'virus durmientes', y en las centenares de variantes originadas del mismo tipo de virus. La ambición es preguntar e intentar un mayor entendimiento de qué peligros pueden esperarnos si miramos más críticamente a los hechos y datos que ya tenemos disponibles

A pesar de que no tenemos una sólida certeza de esto, muchos expertos temen que un ´gran´ ataque se está preparando, ya sea para colocar el sistema financiero de occidente en una crisis o para empeorar las consecuencias de un ataque terrorista provocado por explosivos o substancias bioquímicas.

Hay pruebas ampliamente accesibles que esto es posible dentro de las capacidades de los desarrolladores maliciosos y escritores de virus.

Los ataques poderosos pueden también inutilizar operaciones de rescate de emergencia dañando profundamente las infraestructuras de comunicaciones y de datos y causando consecuentemente excesivo tráfico de red, deshabilitar la cobertura de celulares o provocar fallas en los servidores utilizados para el control de tráfico áereo.


Análisis de los hechos

Primero, sinteticemos las motivaciones de nuestras preocupaciones. En el pasado hemos sido testigos de feroces ataques de virus tales como Red Code, Nimda y Gaobot los cuales prácticamente golpearon a todas las compañías en el mundo.

Esos virus fueron seguidos por un descenso en la frecuencia ataques y su severidad (19 alertas en 2002, 16 en 2003), sin una mejora sustancial en las defensas, tal como el CSI/FBI, el Centro Del Crimen De Alta Tecnología Australiano y otros han afirmado.

Los ataques terroristas también disminuyeron en gravedad y frecuencia.

Aún así, ha habido un aumento 2004 y en los últimos 18 meses hemos sido testigos de un mayor número de alerta de virus, más que la suma de los dos años anteriores en términos gravedad.

Lo que es más preocupante es un incremento en la variante de ciertos gusanos.

Por ejemplo hay más de 300 variantes de virus Netsky y Bagle , tipos de gusanos residentes en memoria, y aproximadamente cien variantes de Mytob.

Esto es una indicación de que en efecto puede haber un intento continuo para experimentar con todos los posibles accesos destinados a evaluar puntos débiles en los hábitos del usuario y la reacción de respuesta a las amenazas como también probar las diferentes consecuencias de pequeños cambios sutiles a las prácticas utilizadas para enviar e infiltrar ese software malicioso en usuarios desprevenidos.

Alguna gusanos que engañan al receptor para que abra un mensaje, o lo dirige a un sitio en particular, mientras otros tipos sacan provecho de ´agujeros´ encontrados en los sistemas operativos de las computadoras.

Se han introducido gusanos más viejos (Sober, Gaobot, etc.) con nuevas variantes. Otro gusanos trabajan como plataformas para el trabajo de otros tales como Wurmark y Bobax.

Hay Troyanos que buscan archivos Excel, Winword o HTML y cuando los encuentran, los envían a destinos encriptados, mientras que otros Troyanos encriptan esos archivos y los dejan en el disco rígido desde donde los leen (esta metodología puede incluso ser utilizada para chantaje).

Algunos gusanos han sido introducidos simplemente para meterse en una computadora y borrar sus versiones previas, presagiando una nueva versión la cual podría de alguna forma entrar en conflicto con ellos.

Hay virus cuyo único objetivo objetivo es obtener información del propietario de la computadora: nombre, ha crecido, dirección, el uso de la computadora, contraseñas, suscripciones, gustos, etc... Algunos son para intereses comerciales específicos mientras que otros para ejecutar misiones de robo de identidad.

Es auto-evidente que los virus también pueden ser también utilizados para ejecutar ataques terroristas es grande es infraestructuras financieras o de comunicaciones.

Podemos dar muchos ejemplos más , pero los que hemos listado aquí por ahora son suficientes.

Aquí hay algunas preguntas más que pueden ampliar su curiosidad en este tema:

1. ¿Múltiples variantes del mismo gusano o Troyano han sido creados exclusivamente para mejorar un ataque, u ocultan la preparación de algo más grande y más serio?

2. ¿Que han recolectado los miles de troyanos los cuales han afectado a millones de computadoras (más de 12 millones solamente el último año)? ¿Vale la pena destacar que en los países más afectados por esos troyanos fueron Europa occidental y los Estados Unidos?

3. ¿Qué se va a hacer con la información recopilada por aquellos que están detrás del desarrollo de esas herramientas maliciosas? Muchos han sido usado para chantaje, venganza y robo. ¿Que otros usos maliciosos se pueden hacer con ella?

4. ¿Existe información dando vueltas por ahí que ha sido ´congelada´? Si fuera así, ¿por qué?

5. ¿Podemos descartar completamente la posibilidad que los desarrolladores de virus ya han tomado miles de contraseñas de los administradores de servidores y pueden tomar el control de ellos con el chasquido de un dedo?

Aquí hay algunos hechos interesantes más recientes.

Ha habido un incremento en el número de sistemas operativos donde los ´agujeros´ puede ser utilizados por nuevo virus. Algunos ejemplos son SAP y CISCO pero no aquellos de EPOC y SYMBIAN (teléfonos celulares).

Hasta hoy, los mainframes se han mantenido inmunes. ¿Por qué es eso? ¿No utilizan el protocolo TCP/IP o ellos ya han sido infectados y nosotros no nos dimos cuenta?

Finalmente, los virus en computadoras que llevan una firma particular y otros para los cuales su tipo y funcionalidad es actualmente desconocida: ¿son virus durmientes, y qué es lo que está esperando?

Aquí es donde podemos empezar a extraer algunas posibles conclusiones:

1. Hay un aumento en la experimentación de nuevos gusanos y Troyanos.

2. Se pueden encontrar virus durmientes.

3. La información recogida por los diferentes troyanos todavía no ha sido utilizada totalmente.

4. Hay evidencia de un incremento en el número y tipos de sistemas que pueden ser violados.

5. Las contramedidas tomadas por las compañías reflejan en general los requerimientos mínimos, en muchos casos no han sido actualizadas de acuerdo con la creciente tendencia criminal.

¿Podemos entonces considerar la posibilidad que alguien, en algún lugar, esté preparando un ataque destinados no solamente hacia las computadoras hogareñas sino tambíen al mismo tiempo a redes de computadoras, clientes y servidores, corta fuegos y routers comerciales?

¿Por que alguien pudiera estar planificando semejante cosa?

Quizás porque una compañía es la intermediaria financiera, o tal vez una compañía en particular colabora con algún determinado país.

Realmente no tenemos una respuesta específica. Pero tenemos que hacer algo.

Nadie va a olvidar nunca el día cuando Red Code golpeó todas las compañías mundialmente..

Quizás ahora estemos un poquito más preparados, pero solamente para un ataque ´tradicional´.

Si ya hay programas virales agazapados en nuestras redes, la situación es totalmente diferente.

Si hay un ataque concentrado simultáneo en todas las computadoras de una compañía, el problema es aún mayor.



Soluciones Posibles

¿Qué hacer?

Antes que nada, la prevención es la estrategia clave.

Ya sea que esto tenga que ser en el muy corto plazo (contramedidas técnicas y procedimientos para continuar), mediano plazo (aumentar la cantidad y calidad en los controles, cambios organizacionales) y a largo plazo (establecer una cultura de seguridad en términos de calidad de servicio y prevención de accidentes), la prevención es la única forma inteligente de proceder.

En el corto plazo, tiene que haber cambios en dos áreas diferentes: la infraestructura y los empleados.

Dos equipos tiene que ser asignados a las áreas para analizar, planificar y crear controles. El endurecimiento preferiblemente debería ser asignado a un tercer equipo más específico, donde se necesite privacidad y un conocimiento profundo la compañía.

Este equipo específico debería ser capaz de localizar virus específicos irreconocibles a partir los conocidos (podrían estar ocultos en software ad hoc para capturar información). Ellos deberían ser capaces también de señalar una cantidad anormal de tráfico en la LAN.

Asimismo no debería limitarse solamente a controlar sistemas de seguridad dentro de un perímetro específico o durante las horas de oficina. Los administradores de servidores deben ser forzados a cambiar las contraseñas todos los meses, asegurándose de no utilizar la misma contraseña dos veces.

Una manera más fácil sería darle a los administradores la posibilidad y utilizar una "contraseña de una sola vez" para evitar cualquier tipo de confusión.

Si se detecta actividad anormal, la acción no debería ser pospuesta para el día siguiente y los controles minuciosos deberían ser parte de los procedimientos diarios estándares.

Hay que evitar tener bases de datos con datos reservados o reforzar los que están conectados directamente a la Internet, y actividad anormal de la computadora fuera de los horarios de oficina tiene que ser indicada.

En términos de establecer una cultura de la seguridad, se deben crear programas específicos por desarrolladores atentos al tema de la seguridad y, en general, esparcir una cultura de seguridad a través de la compañía debería ser considerado una valiosa inversión.

Los controles recientemente adoptados deberían ser introducidos con los nuevos proyectos y sistemas, mientras que se le va enseñando a los usuarios, internos y externos, sobre cómo proteger los datos, servicios de calidad e instalar una continuidad de negocios.

Se debería realizar anualmente un análisis del riesgo TIC y al mismo tiempo integrar experiencias y conocimiento extraído del equipo de manejo de riesgo operacional, los equipos de seguridad física y TIC, el equipo de continuidad de negocios y utilizar a recursos humanos para ´aglutinar´ todo esto y poner toda esta información disponible.

Finalmente, sería una buena idea hipotetizar como sería trabajar sin sistemas de información, y experimentada con todos los planes de emergencia posibles y disponibles en caso de que una completa caída de las TI suceda."

¿Pero son la protección y la restricción las únicas formas para resolver este tema?

Si utilizamos algún tipo de "pensamiento lateral" para analizar este punto, ¿que otros caminos vemos disponibles?

¿Que hemos aprendido de otros universos sociales acerca de encarar peligros y amenazas mediante el agregado de más y más capas de protección y control?

¿Qué tal si el acceso a la Internet tuviera soportado por un infraestructura que permitieran la correcta identificación de todas las personas en una forma que no requiriera más intrusión a la privacidad mientras que deja a cada uno decidir cuántos datos de identidad revelar?

¿Muy improbable? ¿Poco factible tecnológicamente?

Me gustaría escuchar su comentario y opiniones sobre esto, aquí mismo.


Traducido por Robin Good y Chiara Moriconi
del artículo original publicado por
CLUSIT ASSOCIAZIONE ITALIANA PER LA SICUREZZA INFORMATICA
31 agosto 2005 - Newsletter CLUSIT
[PDF disponible en:www.clusit.it/newsletter_31_08_05.pdf]

Fuente del contenido original: ANSSAIF - Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria.
www.anssaif

 

Originalmente escrito por
y publicado por primera vez en MasterNewMedia.

 

Robin Good and Chiara Moriconi - Clusit Newsletter [via Giovanni Canali De Rossi] -
Referencia: ANSSAIF [ Seguir leyendo ]
Si te gustó la nota puedes recibir actualizaciones suscribiéndote via RSS o via email.

O compartirla:
 
 
 
 
 


 

 

 

 

Creative Commons License
This work is licensed under a Creative Commons License.

 

4315


Curated by

Publisher MasterNewMedia.org - New media explorer - Communication designer
Web Analytics