• 12/12/2025
ALERTA

Sistemas de autodefensa en empresas para evitar epidemias

La aparición del gusano Zotob puso en alerta a las compañí­as que utilizan el sistema Windows. Cómo afecta este código malicioso en las empresas y qué soluciones existen
iProfesional | Tecnología |
Por iProfesional
31/08/2005 - 10:39hs
Sistemas de autodefensa en empresas para evitar epidemias

Un nuevo gusano, Zotob, y sus seis versiones está circulando por Internet a nivel mundial desde hace casi una semana. Zotob ataca una vulnerabilidad del Plug and Play del sistema operativo Windows, en especial Windows 2000. Afectó a empresas, instituciones y medios de comunicación de los Estados Unidos, entre ellos las cadenas de televisión CNN y ABC y el diario The New York Times. Los problemas en la CNN y en el diario neoyorquino se resolvieron en 90 minutos y sus operaciones no se vieron afectadas, según fuentes oficiales.

El virus también apagó computadoras en el Congreso, que está en su receso de verano, y causó problemas en los servidores de la agencia de noticias Associated Press (AP) y de la industria de maquinarias agrí­colas Caterpillar, en el estado de Illinois.

Mecánica de infección
El gusano apareció luego de la difusión por parte de Microsoft de las vulnerabilidades en Windows 2000 y XP. Los creadores del código malicioso aprovecharon esta información que afecta a las máquinas que no tienen el parche correspondiente.

Gastón Tanoira, Gerente de Soluciones de Seguridad para Latinoamérica de Cisco, el principal fabricante de equipos y programas para redes, explicó que "Zotob escanea Internet buscando máquinas sin el parche de seguridad de Windows 2000. Una vez infectada, la máquina abre unas 300 conexiones en búsqueda de propagar la infección e inhabilita a la maquina a contactar ciertos sitios de web entre ellos los proveedores de antivirus para evitar ir en busca de ayuda".

La empresa TippingPoint, proveedora de sistemas de prevención de intrusos basados en red, señaló que el gusano abre una puerta trasera del sistema comprometido e inicia un servicio de servidor FTP. También interrumpe la capacidad de actualización de la definición de las aplicaciones de anti-virus en los sistemas infectados. La última mutación del gusano tiene la capacidad adicional de enviar correo no deseado "spam" y correos electrónicos infectados.

Según Tanoira, la máquina se conecta a un canal de IRC en una dirección predefinida y espera instrucciones del atacante los cuales pueden ser:

  • "Desconectar/reconectar del Canal IRC".
  • "Solicitar información del sistema".
  • "Bajar y ejecutar archivos".
  • "Remover el worm (gusano) del sistema".
  • "Manipular las configuraciones de seguridad del sistema".

Efectos
Tanoira señaló que los efectos inmediatos del gusano en las máquinas infectadas son:

  • Degradación de desempeño.
  • Reseteo constante del sistema.
  • Creación de un backdoor (puerta trasera): "Esto le da al atacante la habilidad de agregar o borrar carpetas compartidas en red, robar información, ejecutar aplicaciones o lanzar ataques de negación de servicio indiscriminadamente".

Mayor velocidad
El gerente de Cisco admitió que "actualmente el tiempo que transcurre entre el descubrimiento de una vulnerabilidad y la creación o lanzamiento del ataque que comprometa esa vulnerabilidad se ha reducido enormemente". Recordó que Microsoft anunció la vulnerabilidad MS05-039 el 9 de agosto y en menos de una semana Zotob fue lanzado a Internet.

"Las empresas no dan abasto para tener todos sus sistemas con los parches de seguridad al dí­a y al basar sus sistemas de seguridad en productos puntuales y reactivos, en lugar de contar con una plataforma de seguridad que se defienda a sí­ misma, se adapte a las amenazas conocidas y desconocidas y esté en la arquitectura misma de la red, quedan expuestas a nuevos ataques que están fuera de las firmas de sus software de antivirus o sistemas de detección de intrusos", advirtió.

Tecnologí­as disponibles
Para hacerle frente a Zotob, Tanoira indicó al Cisco Security Agent (CSA), que entrega protección contra amenazas a sistemas de cómputo como servidores o computadores de escritorio, también conocidos como puntos finales.

CSA analiza el comportamiento del dispositivo en lugar de analizar solo las amenazas conocidas, por lo que no requiere conocer la estructura del virus o worm para detener un ataque. Esta arquitectura puede identificar y prevenir las llamadas amenazas de "Dí­a Cero", según explicó el gerente.

En el caso de TippingPoint, la empresa aseguró que la protección contra esta vulnerabilidad estuvo disponible "horas después de generado el Boletí­n de Seguridad de Microsoft". Rohit Dhamankar, Gerente del grupo de investigación de Vacuna Digital de TippingPoint, aseguró que "el IPS de TippingPoint, con su inspección total de los paquetes de datos, es una de las pocas soluciones capaces de combatir el número siempre creciente de riesgos que enfrentan nuestros clientes."

Lecciones
Tanoira advirtió que "los sistemas de seguridad, para ser efectivos, deben estar en capacidad de identificar, prevenir y adaptarse a las amenazas de seguridad. La única defensa viable a los ataques modernos de seguridad, debido a su complejidad y rapidez de expansión, es mitigar estos riesgos en la propia red. No se puede depender de dispositivos puntuales que estén en la periferia sino que la red en sí­ misma debe defenderse".

Según el gerente de Cisco, "la seguridad de la red debe ser integrada a nivel del sistema. Todos los componentes de la red tienen que ser punto de defensa e interactuar entre sí­ mismos. Los routers tienen que hablar y trabajar con los switches, los firewalls, los sistemas de prevención de intrusos, servidores, PCs, los puntos de acceso inalámbricos, etc. Todo debe trabajar como un sistema unificado".

Además, la defensa debe adaptarse automáticamente las nuevas amenazas. "Este es un enfoque proactivo y no reactivo, donde la red se adapta a la evolución de los nuevos ataques. De esta manera la red puede identificar comportamientos sospechosos de los distintos dispositivos conectados a una red, independientemente que el ataque sea conocido o no", explicó.