|
AMENAZAS VÍRICAS
El 2001 ha sido considerado por la mayoría de
los expertos como el año de los virus. De todos los innovadores códigos
maliciosos, ¿cuál destacaría y por qué?
Victoria Restrepo de Panda
Software destaca el virus SirCam. El hecho de utilizar técnicas de ingeniería
social para su difusión le hicieron ser uno de los más frecuentes desde su
aparición, llegando a causar según datos de Computer Economics unas pérdidas de
1.15 billones de dólares americanos.
Natasha Staley (Sophos) y Blas
Simarro (McAfee) coinciden en otorgarle una cierta relevancia al virus Nimda por su capacidad de
propagación a través de diversos medios además de explotar las vulnerabilidades en los servidores IIS de Microsoft.
Ambos mencionan también la novedad que supuso el gusano CodeRed, un virus que
no necesita archivos mediante los que difundirse.
Los portavoces de Sybari destacan
también el virus Nimda pero no sólo por sus novedades técnicas sino por los
numerosos daños económicos que conllevó su difusión, éste aspecto es el
indicativo real del poder devastador de un virus.
Aunque Ian Hameroff (Computer
Associates) también destaca a Nimda, no lo hace por que se presentase una
innovación, más bien por su ilustración del nuevo estadio de la evolución
del malware y debería haber hecho cumplir la necesidad de prácticas
continuadas de mitigación de riesgos de virus, como son las de actualizar
soluciones anti-virus y aplicar parches. Lo verdaderamente destacable de Nimda
fue su capacidad para explotar vulnerabilidades conocidas de mucho tiempo.
Pese a que virus como MTX o Hybris son
bastante conocidos y las soluciones anti-virus los detectan desde hace tiempo,
¿a qué se debe su permanencia en los rankings de virus más difundidos?
Aunque todos apuntan a que la
ingeniería social es uno de los factores que hacen perdurar los virus in the
wild, es importante señalar como indica N. Staley que el primer paso para
erradicar un virus no sólo es mantener una solución anti-virus lo más
actualizada posible sino además, mantener una política de seguridad, aunque
estemos hablando de un usuario particular, opinión a la que se suma Ian
Hameroff.
Los virus más novedosos explotaban
vulnerabilidades presentes en los programas, en especial los de Microsoft, este
es uno de los motivos por los que muchos usuarios ven en el sistema Linux la
alternativa a Windows, pero ¿deberemos esperar este nuevo año más virus que
ataquen este sistema de código abierto?¿y de otros sistemas operativos?
Todos coinciden en opinar en que a medida que un
sistema operativo se haga más popular entre los usuarios más atraerá la
atención de no sólo los creadores de los virus, también de los hackers. Evidentemente para que la difusión de
sus códigos maliciosos tengan una mayor repercusión, los programadores de
códigos maliciosos se basan en los sistemas y programas más ampliamente
difundidos como Microsoft Office, Outlook o Internet Explorer.
El uso de dispositivos móviles entre los
usuarios informáticos es cada vez más frecuente. Los fabricantes, quizá
adelantándose, ya han comenzado a desarrollar soluciones de seguridad
específicas para estos tipos de dispositivos. ¿Serán el nuevo centro de
atención de los autores de virus?
Nuestros colaboradores ven como
remota la
posibilidad de que un virus ataque por ejemplo teléfonos móviles aunque en el
caso de equipos handheld, para los que aparecieron varios virus que no llegaron
a difundirse, a medida que se difunda más su uso pueden resultar un nuevo
objetivo de los creadores de virus.
Ian Hameroff opina que los PDAs y
otros dispositivos móviles o inalámbricos no son objetivos tan deseables como
Windows para los autores de virus. Aún no están todos conectados a redes, ni
tienen características tan ricas como los sistemas operativos de sobremesa.
Cuando los dispositivos móviles estén completamente conectados y tengan
atributos más potentes, quizás se conviertan en la plataforma de turno para
los autores de virus. Desarrollar herramientas y soluciones para estos
dispositivos ahora, evitará antes que los autores de virus saquen ventajas.
Sybari añade además que en el
caso de se implemente una solución anti-virus que proteja las comunicaciones
inalámbricas, sería el servidor el que debería protegerse ya que es el medio
por donde confluye todo el tráfico de información, ya que aunque exista un
protocolo estándar de comunicación, la creciente variedad de las
terminales-clientes con sistemas operativos diversos establecidos según el
criterio de cada fabricante y de cada tipo de dispositivo móvil hace poco
fiable y desaconsejable una protección específica para instalar en cada
cliente.
Mucho se ha hablado del polémico Linterna
Mágica, ¿qué comentarios le sugiere este tema?
Algunas de las compañías
colaboradoras no han ofrecido una respuesta clara ante este tema tan polémico. De
esta forma, el portavoz de McAfee ha preferido no responder a la misma, Victoria
Restrepo de Panda afirma no haber tenido comunicación alguna con el FBI
respecto al tema y N. Staley nos ofrece nuevos interrogantes: ¿se debería
colaborar con la propuesta del FBI a favor de la seguridad? o bien ¿se debería
proteger al usuario de todos y cada uno de los códigos maliciosos existentes
independientemente de su fin y procedencia?. En cualquier caso, apunta a que la
difusión de este troyano podría dar lugar a problemas ya que, en manos de un
programador, el troyano podría ser adaptado para llevar a cabo acciones aún
peores que las estaba programado originalmente.
Por el contrario, los
representantes de Sybari y Computer Associates si han dejado clara su postura ante Linterna Mágica
expresando su total compromiso de protección hacia sus clientes
independientemente de quien desarrolle la amenaza y cual sea su fin.
Previsiones víricas para el 2002...
Panda Software prevé que el 2002
será un año de ingeniería social, vulnerabilidades (especialmente de tipo
buffer overflow o desbordamiento de buffer) y de la infección de archivos que
hasta ahora se consideraban seguros. Un año, que al igual que el 2001, según
apunta N. Staley y I.Hammeroff verá nuevos códigos maliciosos que utilicen y mezclen nuevas
tecnologías de infección. Los nuevos virus ya no serán polimórficos sino
metamórficos según apunta el fabricante de DrWeb, DialogueScience.
SOLUCIONES ANTI-VIRUS
Además de la tradicional solución anti-virus,
los usuarios han tenido que utilizar herramientas adicionales para erradicar un
gran número de los virus que han aparecido este año. ¿Deberemos olvidarnos
del anti-virus de toda la vida para utilizar de ahora en adelante estas
herramientas o los fabricantes adaptarán sus soluciones a los nuevos tiempos?
Aunque como comenta Blas Simarro,
siempre será necesario utilizar una solución anti-virus actualizada que
facilite al usuario la eliminación de virus, Victoria Restrepo señala que las
nuevas tecnologías implementadas por los creadores de virus, no sólo infectan
archivos sino que modifican la estructura de los sistemas operativos
introduciendo claves en el registro, creando archivos, etc. Una vez que un virus
ha realizado estas acciones, ningún sistema anti-virus puede deshacerlas,
ya que como tal podemos decir que el registro no está infectado, simplemente se
le ha añadido una nueva entrada que asegura la ejecución del código vírico.
Para deshacer los daños provocados por los virus utilizamos herramientas que
una vez se detecta la existencia del virus se ejecutan reestableciendo el
funcionamiento normal del sistema.
Sybari insiste en la necesidad de
desarrollar soluciones anti-virus específicas para correo electrónico,
principal puerta de acceso de los últimos virus aparecidos. Estas soluciones
deberán estar preparadas para instalarse en las entradas y salidas a Internet,
superando las prestaciones de los actuales sistemas de seguridad predominantes
en el mercado que se montan en las unidades de trabajo (C:) como una solución
adecuada para el usuario doméstico, pero muy alejada de las auténticas
necesidades de seguridad de las redes de trabajo de las empresas.
Para el portavoz de Computer
Associates, el anti-virus tradicional seguirá jugando un papel importal pero
para las amenazas cada más sofisticadas se unirán a los motores de escaneo
otras técnicas y herramientas a fin de crear una defensa completa como las
técnicas heurísticas, o la identificación y bloqueo de los comportamientos
sospechosos.
¿Cree que en general la respuesta de los
fabricantes ante las nuevas amenazas ha sido la adecuada?
En general los profesionales opinan que la respuesta
de las fabricas ante nuevos virus ha sido totalmente adecuada y dentro de plazos
de tiempos razonables. El portavoz de McAfee añade además que es importante
que los fabricantes en el campo de la seguridad sean capaces de adecuarse y, en
la medida de lo posible, adelantarse a los nuevos ataques.
En opinión de Sybari, los
fabricantes deben centrar su atención en soluciones especializadas que permitan
tener el mejor acceso a la información para su análisis y la detección de
virus, en cada uno de los niveles en que la protección se hace necesaria y que
sean a la vez capaces de integrar motores de escaneo de diferentes fabricantes
para aumentar el nivel de eficacia y asegurar la fiabilidad.
¿Qué otras herramientas de seguridad se
harán imprescindibles de ahora en adelante para proteger adecuadamente los
sistemas?
Victoria Restrepo de Panda Software
insiste en la necesidad de parchear las vulnerabilidades que se detectan en los
programas. Mientras que Blas Simarro cree necesario proteger nuestros equipos,
además de con una solución anti-virus, con herramientas cortafuegos, sniffer, etc..
Y es que como afirma I. Hameroff
"no existe la varita mágica para la lucha contra el malware". Para Computer
Associates la mejor estrategia es una defensa triangular. La primera cara la
conforman las herramientas de detección de código malicioso habitualmente
implantadas en la empresa (antivirus, inspección de contenidos, etc.). La
segunda son las herramientas de monitorización de la red (detección de
intrusiones, cortafuegos) que pueden detectar las actividades sospechosas (la
sonda utilizada por Nimda, comunicaciones relacionadas con BO2K o Trinoo). Y la
última es el cumplimiento de políticas y procesos de valoración de riesgos
que permitan automatizar el descubrimiento de vulnerabilidades y cambios
necesarios a la aplicaciones. En el centro, actuando como un pegamento para
nuestra defensa triangular, está la educación y la integración. Educar a los
usuarios e integrar las soluciones para crear un elemento disuasorio activo que
detenga el malware en su avance.
ECONOMÍA
Los trágicos acontecimientos ocurridos el 11
de septiembre de 2001 en EEUU despertaron el interés de los usuarios
informáticos por la seguridad informática. Desde entonces, ¿han aumentado las
ventas de soluciones de seguridad de su compañía?
Salvo nuestra colaboradora de
Panda y I. Hameroff de Computer Associates que opinan que ciertamente desde esa trágica fecha han apreciado un
aumento de la preocupación de los usuarios por la seguridad, el resto de
portavoces piensan que el interés por este sector viene aumentando desde hace
tiempo, más aún desde la proliferación del uso del correo electrónico según
apuntan los representantes de Sybari, lo que ha obligado a los fabricantes a esforzarse en ofrecer al
consumidor la mejor protección posible.
En un año que tanto se ha hablado de la
famosa crisis de las tecnológicas, ¿cómo ve el futuro de las compañías de
seguridad informática?
La respuesta es unánime: la
mayor concienciación del usuario de la importancia de la seguridad informática
en estos días favorecerá este sector. Según la consultora IDG, es un buen momento para las compañías de
seguridad informática del que se piensa que experimentará un importante
crecimiento y se espera que genere ingresos superiores a los 14.000 millones de
dólares para el año 2005.
Para Computer Associates la
seguridad de la información siempre será un aspecto importante de la
informática tanto ahora como en el futuro. Aunque el entorno económico cambie,
igual que aún existen fabricantes de cerraduras en todo el mundo, seguirán
existiendo compañías de seguridad informática.
AUTORES DE VIRUS
Los autores de virus, a diferencia de los
hackers, suelen actuar de manera individual ¿a qué puede deberse? ¿qué
motivos les mueven?
Como apuntan desde Sybari, cada
programador de virus quiere jugar su partida personal de ajedrez con el mercado,
y por ello, mueve pieza individualmente creando un nuevo virus y desafiando al
sistema cada vez que puede. En general, los encuestados
coinciden en apuntar que generalmente los autores de virus programan códigos
maliciosos a modo de "reto". Infectar sistemas
que nunca antes se habían atacado, demostrar su valía como programadores,
etc..., sin reparar en los posibles perjuicios. Aunque de modo optimista N.
Staley de Sophos añade que afortunadamente estos adolescentes crecen y dejan de
actuar así (aunque siempre hay nuevas generaciones).
Quien se muestra en desacuerdo
con la actuación en solitario de los autores de virus es I. Hameroff afirmando
que existe mucha cooperación e interacción entre los autores de virus. Esto es
evidente en el número de variantes que aparecen y se basan en ataques de virus
que se han propagado con éxito y cuyo código fuente comparten diversos
individuos de la comunidad malware. Un ejemplo de cooperación entre los autores
de virus lo vimos con el gusano Goner del año pasado, una amenaza creada por
cuatro autores de virus israelitas.
El número de arrestos de autores de virus es
desalentador si se tiene en cuenta el número de virus que aparece a diario
¿realmente es tan complicado dar con los culpables de un código malicioso?
Ian Hameroff nos recuerda el caso
del autor del virus Kournikova: sólo tuvo que prestar 150 horas de servicios a
la comunidad debido en parte al número limitado de víctimas dispuestas a
denunciar que sus redes fueron atacadas. Sin todas esas evidencias y la
inexistencia o dificultad de leyes concretas contra el cibercrimen, el autor del
virus salió adelante con mayor facilidad de la que merecía. A esto hay que
añadir como apuntan otros encuestados la detención de culpables se hace
complicada debido a que los ataques se realizan, en la mayoría de los casos, desde lugares distintos a donde fueron
planeados.
En cualquier caso, en opinión de Blas
Simarro de McAfee los esfuerzos deben dirigirse a avanzar en protección y
detección de ataques en un sentido más amplio (firewalls, sniffer,...) con el
fin de proteger de manera eficaz al usuario.
Aunque todavía no existen en un gran número
de países leyes concretas que penalicen el cibercrimen, en su opinión, no de
experto, sino de un usuario más que puede verse afectado por un virus ¿cómo
piensa que se debería castigar la creación y difusión de códigos malignos?
Mientras que los portavoces de Sophos y McAfee opinan que deben
considerarse crímenes como tal y ser castigados de acuerdo a la gravedad de los
daños, Victoria Restrepo cree que esta decisión debe de recaer en los
legisladores. La portavoz de Sophos añade además que debería existir una
mayor uniformidad en todos los países con respecto a las leyes que rigen el
crimen informático.
El portavoz de Sybari opina como
usuario que estos delitos deberían cuantificarse, cualificarse y establecer los
mismos criterios de penalización que se seguirían para cada caso en concreto
de ataque; así, programadores de virus especialmente dañinos y mundialmente
propagados, serían penalizados con el equivalente al daño de todas las
sentencias de esas compañías.
La respuesta del experto de
Computer Associates a esta cuestión es contundente: "A través de leyes
que creen un estándar global y una definición para ataques informáticos y una
mejor disposición de las víctimas a comunicar los ataques a las autoridades".
Índice Profesionales
|
