COMENTARIO – Hace un año, esta semana, el gusano Code Red provocó un pánico nacional que llevó a Microsoft y al FBI a realizar una conferencia de prensa conjunta. ¿Qué ha cambiado en el último año? Según Ryan Russell, analista senior de amenazas en Enfoque de seguridad, los gusanos de Internet se han vuelto mucho más robustos a partir de Code Red. Y esto no es auspicioso para usted, porque el software antivirus no se ha mantenido al día con todos los cambios.
Hasta ahora, en 2002, hemos tenido suerte. Hemos visto menos gusanos y virus este año que en el pasado, cuando gusanos famosos como Sircam, Code Red, Code Blue y Nimda causaron estragos en la red. El año pasado informamos sobre 60 virus diferentes. Este año, escribí sólo 20. Dado que estamos a mediados de 2002, parece que vamos a ver un 30% menos de virus en 2002.
HABLANDO EL En la conferencia NetSec 2002 del mes pasado en San Francisco, Russell dijo que muchos de los gusanos actuales se basan en vulnerabilidades de software antiguo. Por lo tanto, si ya ha corregido estos defectos, no debe reinfectarse ni ayudar a que el gusano se propague. Por ejemplo, el gusano más reciente, Frethem.k, aprovecha los defectos del encabezado MIME en Internet Explorer e IFRAME, que fueron corregidos por Microsoft el año pasado en MS01-020 parche de seguridad.
Code Red, por otro lado, explotó los ISS de Microsoft exceder el búfer del servidor de índices, que se había descubierto un mes antes de que se liberara el gusano.
Russell espera que se acorte el período entre el momento en que se anuncia una nueva vulnerabilidad y un nuevo gusano parece aprovecharla. Pronto, el día en que aparezca un gusano será la primera vez que el público en general se enterará de la vulnerabilidad que explota; esto se llama «gusano de 0 días».
LA ALTA TENDENCIA: Vemos más gusanos de Internet que dependen de gusanos anteriores. Nimda, por ejemplo, ha infectado servidores ya infectados con Code Red II. Y el gusano Leaves buscaba cajas ya comprometidas por el caballo de Troya SubSeven. Los gusanos también se están volviendo más territoriales. Code Red II terminó Code Red I reiniciando el sistema infectado, y el gusano Code Blue terminó las instancias de Code Red II.
Los autores de gusanos también están aprendiendo a reparar el software. Con los servidores SMTP de Windows predeterminados, los gusanos de escritorio, como Sircam, pueden eludir la nueva configuración de seguridad de Outlook. También omite la libreta de direcciones de Outlook (que ahora está protegida) y, en su lugar, elimina las direcciones de correo electrónico de los archivos, como los que se encuentran en la caché temporal de Internet Explorer.
Pero podría ser mucho peor. Los gusanos de Internet que vemos hoy en día no llevan cargas útiles destructivas que puedan destruir archivos o el disco duro de su computadora.
MIRANDO HACIA EL FUTURO, debe tener cuidado con el spam escrito en idiomas extranjeros, ya que pueden contener gusanos. Debido a que estos mensajes no contendrán los temas inteligentes y los archivos adjuntos que está acostumbrado a ver en los correos electrónicos infectados, es posible que desee ignorar estos gusanos y permitir que se ejecuten cuando lleguen a su bandeja de entrada. Claramente, el inglés ya no es el idioma predeterminado para los gusanos de Internet. Sircam y Hybris / SnowWhite usaban ambos idiomas.
Además, en el futuro, los creadores de virus pueden tener más control sobre el código que escriben después de dejar un gusano desatado en la red. Actualmente, si un autor de virus desea actualizar un gusano de Internet, debe cambiarlo sin conexión y reiniciar el gusano mejorado. Pero Russell espera que más gusanos comiencen a incluir puertas traseras para que el autor pueda realizar cambios en el camino, ya sea para evitar el software antivirus o para cambiar su funcionalidad.
También especuló que los gusanos algún día podrían establecer su propio canal de comunicaciones, como una red de intercambio de archivos. Si un gusano pudiera aprender de sus propias experiencias, podría comunicar el código actualizado a través de un canal IRC privado a sus hermanos de Internet. Esto lo ayudaría no solo a evitar el software antivirus, sino también a aumentar sus capacidades destructivas.
Russell concluye que el software antivirus actual pronto será ineficaz contra estos gusanos en evolución. El enfoque de coincidencia de patrones que todavía utilizan muchos proveedores de antivirus está desactualizado, basado en virus desde principios de la década de 1980. Varios productos que monitorean el comportamiento de códigos maliciosos, como StormWatch a Okenei, son capaces de atrapar los gusanos más nuevos. Pero este enfoque, común en los productos empresariales, aún no ha llegado a las aplicaciones antivirus diseñadas para el usuario final.
¿Veremos otro gusano a gran escala, como Code Red o Nimda este año? ¿O será 2002 más silencioso que 2001? Háblame a continuación.