Cuando aun nos encontramos en plena
epidemia, con la aparición en las últimas horas de una cuarta variante, podemos
afirmar que el gusano Sasser ha sido un mal menor. Todas las máquinas
infectadas permitían a un intruso obtener el control total sobre ellas, desde
la posibilidad de sustraer datos sensibles como documentos privados o las
claves de la banca electrónica del usuario, hasta borrar todo el sistema local
y unidades de red.
A nadie escapa los quebraderos de cabeza que
Sasser está ocasionando tanto en sistemas domésticos como, especialmente, en
redes corporativas. Si bien, afortunadamente, el gusano sólo estaba programado
para reproducirse, sin llevar a cabo ninguna acción adicional.
Si el creador del gusano hubiera introducido una
simple línea más de código con algunas instrucciones dañinas, algo que no
requiere ningún esfuerzo técnico especial, podríamos estar en estos momentos en
una catástrofe sin precedentes que probablemente traspasaría la barrera de lo
estrictamente informático, por la cantidad y sensibilidad de los procesos y
datos a los que habría podido afectar. Pensemos por un momento que simplemente
hubiera borrado todas las unidades a las que tenía acceso en cada uno de los
ordenadores infectados.
En ningún caso pretendo minimizar el daño
causado por el autor del gusano, de proporciones incalculables y que no tiene
justificación alguna. En estos momentos ya hay varias investigaciones en
paralelo para localizar el origen y llevar al autor ante la justicia. Si bien, es
necesario llevar a cabo un ejercicio de autocrítica más allá de culpar
exclusivamente al creador del mismo y ser conscientes del riesgo real que
entraña no instalar puntualmente los parches, no en vano está en juego la
seguridad de todos los datos y procesos dependientes de nuestros sistemas.
¿Podemos permitirnos arriesgarlos de nuevo?
La
historia se vuelve a repetir, una y otra vez.
Code Red y Nimda en el 2001, o SQL/Slammer en el
2003, han sido claros exponentes de gusanos de propagación masiva que
aprovechaban vulnerabilidades en los productos de Microsoft para propagarse de forma
automática. Mucho más peligrosos que los típicos gusanos que se propagan por el
correo electrónico, que requieren que el usuario los abra y ejecute para poder
activarse.
Sin ir más lejos, en agosto de 2003 asistimos a
la epidemia global causada por el gusano Blaster, que aprovechaba una
vulnerabilidad en un servicio estándar de Windows, prácticamente un calco a lo
que está ocurriendo con Sasser.
El patrón se repite. Gusanos de red que
aprovechan vulnerabilidades, cuyos parches para corregirlas y prevenir la
infección estaban disponibles con antelación. En todos los casos, desde
Hispasec advertimos por este mismo medio del riesgo potencial que entrañaba no
instalar dichos partes, incluso pronosticando la aparición de gusanos.
Llegados a este se puede discutir el grado de
responsabilidad de Microsoft en el origen de las vulnerabilidades, su política
de distribución de parches, esperar a que incorpore y active por defecto un
firewall personal, barajar la posibilidad de migrar a otro sistema operativo
con menos índices de virus y gusanos, o la necesidad de que los antivirus
cambien su modelo reactivo que a todas luces es más que insuficiente contra
este tipo de gusanos, capaces de infectar miles de sistemas en cuestión de
minutos.
Otra opción, que no excluye todo lo anterior y a
muchos más factores, es empezar por hacer autocrítica constructiva, y que los
afectados asuman su buena parte de responsabilidad de cara a prevenir futuros incidentes.
Actualizar
los sistemas, tan simple como efectivo
Dejando al margen comparaciones sobre el número
de vulnerabilidades críticas que periódicamente afectan a Microsoft, los
usuarios de Windows deben ser conscientes de que se trata de un producto que debe
ser actualizado regular y puntualmente, como todos los sistemas operativos, en
mayor o menor medida.
Es necesario realizar una campaña de
concienciación/educación sobre la necesidad de mantener actualizados los
sistemas, de las herramientas y servicios automáticos que existen para
facilitar esta tarea, y de los riesgos que entraña no seguir esta práctica.
Ya no sólo para evitar infecciones de gusanos
como Sasser, o de efectos peores. Sino que los usuarios deben ser conscientes de
que, cada vez que no instalan un parche crítico, están dejando una puerta abierta
para que un intruso pueda controlar totalmente su sistema, sustraer su
información más sensible, borrar sus discos duros, o espiar todo lo que hacen
con su ordenador. Y esto ocurre con mucha más frecuencia de la que se cree, con
el agravante de que suele pasar desapercibido, al contrario de lo que ocurre
con los gusanos.
En el ámbito corporativo todo lo anterior es
aplicable. En Hispasec observamos, durante las auditorías de seguridad a
sistemas corporativos, como suele existir una atención especial en la protección
perimetral y de los servidores con servicios en Internet, dejando en un segundo
plano, a veces olvidado, al resto de servidores internos, y especialmente a los
PCs que actúan como estaciones de trabajo.
Es un grave error, de hecho toda la información
sensible pasa por las estaciones de trabajo, que en la mayoría de las ocasiones
podría estar bajo el control de un atacante gracias a las vulnerabilidades que
poseen.
Otro talón de Aquiles típico en las políticas de
seguridad son el control de los dispositivos móviles de uso personal, como
portátiles, o usuarios de acceso remoto. En la mayoría de los casos se tratan de
sistemas que se encuentran más expuestos a los riesgos de seguridad, ya que no
siempre están bajo el paraguas de las protecciones corporativas. Sin embargo
estos sistemas pueden llegar a tener una estrecha relación con la red interna,
siendo en muchos casos el origen de las infecciones.
02/05/2004 Microsoft alerta sobre el gusano Sasser y su nueva variante Sasser.B
http://www.hispasec.com/unaaldia/2015
01/05/2004 Gusano Sasser infecta automáticamente sistemas Windows 2000 y XP vulnerables
http://www.hispasec.com/unaaldia/2016
28/08/2003 El gusano Blaster en entornos corporativos
http://www.hispasec.com/unaaldia/1768
11/08/2003 W32/Blaster, un gusano con una alta incidencia
http://www.hispasec.com/unaaldia/1751
21/08/2003 SQL/Slammer deja KO los sistemas informáticos de una central nuclear
http://www.hispasec.com/unaaldia/1761
05/08/2003 SQL Slammer al descubierto
http://www.hispasec.com/unaaldia/1745
27/01/2003 Lecciones del gusano MS-SQL
http://www.hispasec.com/unaaldia/1555
26/01/2003 Alerta: Gusano para MS-SQL
http://www.hispasec.com/unaaldia/1554
20/09/2001 W32/Nimda: llegó, vio e infectó
http://www.hispasec.com/unaaldia/1061
19/09/2001 W32/Nimda, más vale prevenir que curar
http://www.hispasec.com/unaaldia/1060
18/09/2001 Alerta: Gusano de gran propagación (W32/Nimda)
http://www.hispasec.com/unaaldia/1059
06/08/2001 Análisis del gusano "Code Red II"
http://www.hispasec.com/unaaldia/1016
19/07/2001 Un nuevo gusano, .ida Red Code, ataca a los servidores IIS
http://www.hispasec.com/unaaldia/998
Bernardo Quintero
bernardo@hispasec.com
bernardo@hispasec.com