LA NATURALEZA DE LOS VIRUS INFORMÁTICOS

Mayo
2001

¿Qué son los virus informáticos?

La problemática de los virus es uno de los aspectos más populares y conocidos en el ámbito de seguridad informática. Términos como “Barrotes”, “Viernes 13” o “Jerusalén” son rápidamente identificados, no como títulos de películas, sino como virus que marcaron un hito en el momento de su aparición.

Haciendo un poco de historia nos permitirá comprobar que ya en los años 80 el tema de los virus era un tema preocupante:

1986. Brain Virus. Únicamente infectaba disquetes de 360K. Escrito en Lahore, Paquistán, en enero de 1986. Los autores dejaron registrado el nombre, la dirección y el teléfono en el sector de arranque de los discos infectados [Basit + Amjad Farooq Alvi].

1987. Ralph Burger publica “Computer Viruses: A High Tech Disease”. Contienen el código del virus Viena.

1989. Aparecen Stoned y Jerusalem.

1991. Es descubierto el virus Michelangelo. Extendido ampliamente en 1993.

1992. Aparece Mutation Engine de Dark Avenger (MtE) y con él la aparición de los virus mutantes polimórficos.

1995. Se descubre el concepto de WordMacro en virus.

Más recientemente, la Western Union también sufrió un ataque en Septiembre pasado donde los hackers consiguieron acceso a información de 15,700 cuentas de usuario, incluyendo información sobre tarjetas de crédito.

Estamos pues ante una problemática antigua y que desde siempre ha tenido a los profesionales del sector preocupados. Debe tenerse en cuenta que las consecuencias pueden ir mucho mas allá de la pérdida de un determinado servidor: pérdida de información confidencial, daños a terceros, pérdida de imagen, etc.

¿Qué ha cambiado desde aquellos tiempos remotos?

El nivel tecnológico ha cambiado enormemente. Virus de boot, virus de macro, multipartitos, código malicioso (Java o ActiveX), caballos de Troya, gusanos, bombas lógicas, ataques de denegación de servicio (DOS o DDOS). Todo ello hace de los virus un peligro más importante, difícil de detectar y eliminar.

De todos modos, es evidente que el aspecto diferencial actual es la facilidad de propagación. La necesidad de compartir información ha tenido siempre latente la posibilidad de infección, con el riesgo de perder información de una forma brusca e incontrolada.

En el pasado, este riesgo estaba prácticamente restringido al uso de disquetes y, con un mínimo de precaución, era fácil detectar cualquier intento de infección.

Actualmente la utilización de Internet y correo electrónico son un medio de propagación imposible de detener. La “red” constituye un elemento catalizador mediante el cual un nuevo virus, creado en cualquier punto, se convierte en pocas horas en un riesgo real para cualquier empresa.

¿Qué podemos hacer frente a esta amenaza?

Aunque existe siempre el razonamiento de que un nuevo virus siempre nos va a afectar y tenemos presente los ejemplos recientes de ataques que han sufrido empresas de alto nivel tecnológico, nunca es un buen criterio ocultarnos a este riesgo y adoptar la estrategia del avestruz.

Tampoco es efectivo aseverar que nuestra instalación está protegida por el hecho de tener instalado un software antivirus en todos nuestros servidores y puestos de trabajo. Este sistema antivirus es necesario, pero no suficiente para garantizar un mínimo de protección, hay una serie de aspectos adicionales a tener en cuenta:

Disponer de software antivirus realmente efectivo.

Un software antivirus será tan efectivo como la capacidad que tenga en detectar y eliminar los virus existentes. Siempre tendremos la duda de cual es el mejor sistema antivirus del mercado, y es evidente que cualquier proveedor nos afirmará que, aunque todos son buenos, el suyo sin lugar a dudas es el mejor.

Afortunadamente existen organismos independientes que se encargan de forma periódica de evaluar las capacidades de detección de los productos existentes en el mercado. Estos organismos publican esta información y nos serán de gran ayuda al realizar nuestra elección. A modo de ejemplo indicamos:

Virus Bulletin: http://www.virusbtn.com

ICSA: http://www.icsalabs.com/index.shtml

Garantizar que cualquier fichero que entre o salga de nuestros sistemas es monitorizado en tiempo real y de forma transparente para el usuario nos permite garantizar la integridad de nuestros sistemas, detectando cualquier intento de infección en el momento que se va a producir.

La actual rapidez de propagación de virus hace imprescindible disponer de los ficheros de firmas actualizados en todo momento. Nuestro sistema antivirus no será efectivo si debemos contactar periódicamente con nuestro proveedor y configurar de forma manual todos nuestros sistemas. De este modo tendremos un sistema antivirus escasamente satisfactorio al tiempo que tenemos garantizado un enorme esfuerzo de administración para intentar tener esta solución actualizada.

En la práctica es imprescindible, y existen proveedores, como Computer Associates, que proporcionan este servicio de forma gratuita, de modo que cuando la firma de un nuevo virus está disponible, se pongan en marcha los mecanismos necesarios para que esta actualización se configure en nuestros sistemas de forma totalmente automática y desasistida. Con ello conseguiremos realmente un nivel de protección constantemente actualizado y sin ningún esfuerzo de administración.

Administración centralizada.

Un hecho diferencial en el momento de escoger una solución antivirus deberá ser la facilidad que nos ofrezca para administrar todo un entorno heterogéneo y distribuido. La posibilidad de activar o desactivar los servicios antivirus, la posibilidad de configuración centralizada y poder garantizar que todos los equipos están funcionando según nuestras directivas, son las garantías de que efectivamente la solución antivirus está bajo nuestro control.

Disponer de alertas centralizadas en tiempo real y la posibilidad de contar con distintos sistemas de notificación (correo electrónico, busca, etc) nos permitirán conocer de inmediato cualquier incidencia que se produzca y actuar consecuentemente.

Monitorización del sistema de correo.

Actualmente el sistema de correo constituye el medio de propagación de virus más rápido y difícil de controlar. Ejemplos no muy lejanos son los conocidos Melissa y I Love You que en pocas horas se propagaron a escala mundial.

La monitorización del sistema de correo y la verificación en tiempo real de los mensajes enviados o recibidos nos permite utilizar este sistema de comunicación con las suficientes garantías de control sobre la información transferida.

Otros riesgos y complementos a la solución antivirus.

Una solución antivirus con todos los requisitos indicados anteriormente no es la garantía total sobre la integridad de nuestros sistemas. Los riesgos y posibles ataques a los que potencialmente nos encontramos expuestos hacen que, para garantizar un nivel de protección razonable, debamos abordar otros sistemas de protección complementarios.

En el ámbito de riesgos comentaremos dos aspectos a tener en cuenta:

El código malicioso. Se refiere este término al código Java o ActiveX que puede estar oculto en las páginas Internet que consultan nuestros usuarios y que, una vez en nuestros equipos puede comportarse igual que un virus.

Actualmente, dependiendo del nivel de seguridad que tenga configurado, el usuario final recibe un aviso del navegador de Internet donde se le indica que se va a descargar un código (Java o activeX) en su equipo. Y es este usuario es quien decide si acepta o no.

La utilización de herramientas de inspección de contenidos nos permiten analizar y detectar el código malicioso antes de que llegue a la estación del usuario. La clave está en establecer políticas a nivel empresa que determinen qué código móvil (Java o ActiveX) es aceptable y descargar esta responsabilidad del usuario final.

Los ataques o intentos de intrusión que podemos padecer a pesar de disponer de un sistema de cortafuegos (firewall). Consultando en Internet podemos encontrar fácilmente páginas que informan de brechas o puertas traseras a nivel sistema operativo, bases de datos o aplicaciones. Garantizar la integridad de nuestros sistemas frente a estos riesgos nos obliga a una consulta continua con nuestros proveedores de software para que nos proporcionen permanentemente las ultimisimas versiones.

La solución para cubrir este aspecto es la implementación de una herramienta de detección de intrusiones que realice un análisis del tráfico de red y detecte cualquier tipo de intrusión. Estas herramientas suelen disponer de una librería de ataques identificados que, con la actualización periódica, nos permita un nivel de protección permanentemente actualizado frente a estos riesgos mucho más factible.

Es evidente que cualquier empresa competitiva debe estar en Internet y debe disponer de un sistema de correo, a pesar de todos los riesgos que ello suponga. Es una necesidad de supervivencia. Por tanto, la solución pasa por adoptar el nivel de protección razonable para cada empresa.

Hemos comentado que el riesgo no es único por lo tanto la solución tampoco es única. En este sentido hemos visto distintos aspectos a considerar: cortafuegos, antivirus, inspección de contenidos, detección de intrusiones. Son varias las áreas que debemos tener en cuenta, por lo tanto una última recomendación: es importante que las distintas soluciones que adoptemos sean interoperables y dispongan de un buen nivel de integración.

D. Josep Micolau
Consultor de Seguridad
Computer Associates
http://www.ca.com

D. Josep Micolau es consultor senior del área de gestión empresarial de Computer Associates y está especializado en soluciones de seguridad informática. Su experiencia y conocimientos en esta disciplina abarcan desde las problemáticas de los entornos desktop y de red; la seguridad y auditoría en entornos NT, UNIX y la seguridad en las soluciones de eBusiness.