Aparece código de ataque de Windows, predice gusano

La advertencia temprana de la semana pasada sobre los crecientes signos de un posible superver en ciernes puede haber frenado un nuevo ataque a Internet. Pero sigue aumentando la evidencia, según un funcionario de seguridad de VeriSign, de un nuevo e importante ataque de denegación de servicio a partir de miles de sistemas informáticos ya infectados.

Charles Kaplan, gerente de seguridad de la información de MSS para VeriSign, dijo ayer a El Diario del Mundo que un nuevo gusano con órdenes de marcha para algunas actividades importantes de Internet debería ser evidente en los próximos días.

“Pensé que ya habría sucedido”, dijo Kaplan. «Es un juego de espera para ver si alguien inyecta el código que ahora está disponible».

Dijo que la cantidad de tráfico de Internet anómalo continuó siendo muy alta durante el fin de semana. VeriSign ha estado rastreando esta actividad en los sistemas informáticos de sus clientes en los Estados Unidos desde poco antes del pasado fin de semana.

El reconocimiento temprano de la actividad perturbadora dio tiempo a los departamentos de TI para aplicar los parches que Microsoft anunció la semana pasada para proteger contra las vulnerabilidades de desbordamiento del búfer ASN.1 y LSASS en las máquinas con Windows.

«La atención al nuevo gusano potencial está mucho más enfocada ahora», dijo Kaplan, citando esto como la razón principal por la que la prevención debería ser más efectiva que en los ataques anteriores de DOS.

El impacto se aprenderá

El aumento de la actividad sospechosa durante la semana tiene a los expertos en seguridad de Internet preparándose para lo que, según han advertido algunos analistas, podría ser el próximo gran ataque de gusanos en el mundo. Los monitores de virus pasaron el fin de semana observando un aumento en el nivel de actividad que, según los expertos, podría ser el comienzo de un ataque Blaster o Slammer.

Kaplan dijo que el hecho de que no haya sucedido nada aún no significa que la amenaza haya terminado. Todavía está convencido de que algo grande va a suceder. El ataque probablemente no se moverá tan rápido como los gusanos Blaster o Slammer, dijo, pero lo que le faltará al nuevo gusano en velocidad lo compensará en durabilidad.

El acceso continuo a redes peer-to-peer permite a los maestros de ataque transferir archivos mucho más grandes hacia y desde las computadoras comprometidas. Los nuevos códigos de ataque pueden permanecer inactivos hasta que las instrucciones actualizadas hayan alcanzado el nivel de distribución deseado.

«No puedo creer que nadie aproveche esto en los próximos días», dijo Kaplan a El Diario del Mundo. Comparó la tentación con la de un niño suelto en una tienda de golosinas. «Alguien se va a comer este dulce», dijo.


Progreso preocupante

Kaplan dijo que los ingenieros que monitorean las computadoras de los clientes de VeriSign documentaron un aumento en el volumen a partir del 16 de abril. Esta actividad involucró numerosos sondeos que verificaban computadoras en las que ya se había abierto una puerta trasera desde una vulnerabilidad anterior. Los ingenieros lograron descubrir partes del código DOS.

El jueves pasado, los ingenieros descubrieron que el código DOS se publicó públicamente en muchos sitios web de piratas informáticos conocidos.

Mikko Hyppnen, director de investigación antivirus en F-seguro en Helsinki, Finlandia, le dijo a El Diario del Mundo a principios de semana que había motivos de alarma. En ese momento, dijo que esperaba que surgiera un gusano RPC similar a Blaster en las próximas dos o tres semanas.

Las comprobaciones puntuales de los datos de tráfico del puerto 443 en las computadoras de los clientes durante toda la semana continuaron mostrando un aumento alarmante en el volumen, según Kaplan.

VeriSign supervisa el tráfico de red en puertos de servicios populares (como el puerto 25, que normalmente se utiliza para el correo electrónico; el puerto 80, que normalmente se utiliza para el tráfico web; y el puerto 443, que se utiliza para transacciones SSL) y registra los datos agregados cada hora. Kaplan dijo que VeriSign usa esta tendencia histórica para desarrollar modelos de cómo se ve el tráfico de Internet durante tiempos normales y hostiles.

“Estamos enfocando muchos recursos de ingeniería en estudiar el período de transición entre estos dos estados. Cuanto mejor sea el modelo que podamos construir en torno a esto, más alertas tempranas podremos proporcionar”, dijo.

Lo peor por venir

Kaplan dijo que estaba seguro de que esta semana se lanzaría un nuevo tipo de gusano popular. Todo indica que el gusano explotará específicamente la vulnerabilidad SSL.

Pero si el gusano se limita a un exploit SSL, no alcanzará la masa crítica alcanzada por Slammer y Blaster, según Kaplan. Estos dos gusanos causaron tantos problemas porque afectaron tanto a los servidores como a las computadoras de escritorio. La vulnerabilidad SSL, en su mayor parte, solo afectará a los servidores, por lo que la cantidad de sistemas vulnerables se reduce considerablemente.


Pero no dejes que eso te dé una falsa sensación de seguridad. Kaplan dijo que los sistemas comprometidos por un gusano SSL podrían convertirse en «propiedad» de grupos clandestinos que con frecuencia construyen grandes «botnets» de esos sistemas y luego los usan en ataques coordinados.

———————————————————————————————————————–
Esperamos que te haya gustado el contenido de nuestro Blog El Diario del Mundo, sí fue así, por favor compártelo nos ayudarías mucho para seguir publicando más contenido.

Entradas relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada.