fuente http://www.psicofxp.com
El gusano Conficker y los problemas de seguridad
A finales del mes de noviembre del pasado año, se conoció una vulnerabilidad crítica que afectaba a varios sistemas operativos de plataformas Microsoft. La misma ya fue solucionada y toda la información detallada sobre el caso se encuentra en el boletín MS-08-067 presentado por la empresa.
Debido a las características propias de esta vulnerabilidad, fue sólo cuestión de tiempo para que algún código malicioso aprovechara la debilidad para infectar a la mayor cantidad de usuarios posible. Así surgió el gusano Conficker, también conocido como Downadup (dependiendo de la empresa antivirus) que, en pocos días, logró infectar una alta cantidad de equipos informáticos en todo el mundo e ingresar en el Ranking de amenazas de ESET del mes de diciembre, obteniendo, incluso, los primeros puestos en distintos países de Latinoamérica.
Como consecuencia del alto porcentaje de infección y la complejidad del malware, muchas organizaciones se vieron obligadas a trabajar horas extras para tratar de eliminar esta amenaza.
Sin embargo, la complicada situación generada por Conficker no hizo más que dejar en evidencia una cuestión de seguridad que va más allá de toda discusión relacionada a la protección antivirus. Tanto a nivel empresarial como a nivel hogareño, no existe consciencia entre los usuarios en cuanto a la importancia de las actualizaciones de seguridad para cualquier entorno informático y, mucho menos, los peligros derivados de una mala o inexistente política de gestión de actualizaciones.
En muchas ocasiones, este aspecto suele dejarse de lado pensando que se trata de una cuestión trivial. Sin embargo, cada vez son más los potenciales riesgos que se corren por no atender a esta fundamental parte de la seguridad, que debe ser complementada con otros aspectos que ayuden a prevenir y, en su defecto, minimizar los posibles problemas.
Lo mismo ocurre en aplicaciones de todo tipo. De este modo, por ejemplo, al implementar una solución antivirus, se debe fortalecerla llevando a cabo las actualizaciones periódicas de todas las aplicaciones instaladas.
Es decir, si bien un programa antivirus controla y evita la propagación e infección de un alto porcentaje de códigos maliciosos, no impide que, aunque se advierta una potencial amenaza, un usuario descargue y ejecute, de modo intencional o no, un malware; ni que una vulnerabilidad no parcheada sea explotada por usuarios malintencionadas.
En el caso particular de Conficker, las acciones son tan devastadoras que pueden dejar fuera de uso cualquier red corporativa sobre la cual se haya propagado, ocasionando consumo de recursos, pérdida de información y, por supuesto, dinero. Por lo tanto, es necesario implementar medidas de seguridad preventivas para evitar ser víctimas de esta u otras amenazas similares, sobre todo teniendo en cuenta que durante diciembre han surgido nuevas variantes que ampliaron el abanico de ataque y acciones maliciosas llevadas a cabo por el malware (incluyendo la red y dispositivos removibles).
Por otro lado, un dato de suma importancia que refleja la magnitud de las infecciones provocadas por este gusano es el aumento de las actividades en el puerto 445, utilizado por el malware para propagarse. Según la ICS SANS, que realiza un seguimiento en torno acciones sospechosas en Internet, se detecta un gran aumento en la utilización de dicho puerto (línea roja):
Imagen 1 – Actividad del puerto 445
Medidas preventivas
Como se comentó anteriormente, las medidas de seguridad tendientes a prevenir problemas ocasionados por amenazas de este estilo no son para nada complejas. Es fundamental, entonces:
- a nivel hogareño, la actualización del sistema operativo y cada una de las aplicaciones instaladas en el mismo. En entornos corporativos, es una acción obligada ejecutar procedimientos que permitan auditar los aspectos relacionados con las actualizaciones a fin de detectar posibles debilidades y potenciales vectores de infección.
- puntualmente en el caso del gusano Conficker, actualizar el sistema con el parche que soluciona la vulnerabilidad explotada por el malware, detallada en el boletín MS08-067 anteriormente mencionado.
- instalar un programa como ESET NOD32 que detecte proactivamente cada variante de la amenaza.
- implementar, además, un firewall, como el que integra ESET Smart Security, tanto a nivel hogareño como a nivel corporativo, ya que permitirá bloquear cualquier puerto que intente establecer el malware y evitar la propagación del mismo en caso de redes LAN.
Es importante tener consciencia de que no existe una herramienta de seguridad “utópica” que sea sinónimo de una solución total. La seguridad de un ambiente de información no depende únicamente de la implementación de herramientas de seguridad, sino que necesita de procedimientos dinámicos que permitan establecer estrategias de prevención eficaces y del factor humano para ejecutar y gestionar esos procedimientos de manera eficiente. En definitiva, el grado de prevención y seguridad con el que cualquier ambiente informático cuenta, será el resultado de la interacción de cada uno de estos aspectos.
Más información
ESET Latinoamérica
Plataforma Educativa de ESET Latinoamérica
Blog de Laboratorio de ESET Latinoamérica
Copyright © ESET, LLC. Este artículo se encuentra bajo licencia
Creative Commons de Atribución, No Comercial y Compartir Obras
Derivadas Igual. (by-nc-sa).
Editado por rommol – Ayer 15:07 hs..
