Un plan para atrapar al gusano Conficker

Se espera que el 1 de abril, un gusano informático llamado Conficker, que ya ha infectado a millones de máquinas en todo el mundo, haga algo malo, aunque nadie sabe exactamente qué. Algunos expertos temen que se pueda ordenar a un ejército de máquinas infectadas que lancen un ataque coordinado o que envíen una andanada de spam. Pero un herramienta lanzada hoy podría ayudar a disminuir el impacto al permitir que las grandes empresas e instituciones eliminen rápidamente las máquinas infectadas al escanear redes enteras en busca de signos de infección.





El análisis del gusano Conficker ha revelado previamente que las computadoras infectadas llamarán a casa el 1 de abril para recibir un nuevo conjunto de instrucciones. Ya es posible detectar el gusano escaneando las máquinas individualmente, pero este es un proceso relativamente lento. También es posible detectar el error observando las comunicaciones salientes enviadas a través de una red, pero la última versión de Conficker está diseñada para permanecer en silencio hasta el 1 de abril.

Dan Kaminsky , director de pruebas de penetración de la empresa de seguridad con sede en Seattle IOActive , ayudó a crear la nueva herramienta de escaneo y dice que puede identificar una máquina infectada reconociendo la forma en que se presenta a la red más amplia. Esto hace que sea rápido y fácil de buscar el gusano de forma remota y no requiere ningún acceso especial a las máquinas. Es como conducir por un vecindario en busca de casas con grandes letreros en las puertas, dice Kaminsky.

La herramienta se creó después de que Tillmann Werner y Felix Leder, miembros de una organización de investigación independiente llamada Proyecto Honeynet , le pidió a Kaminsky que revisara su investigación sobre Conficker. La pareja había descubierto que el gusano cambia la forma en que aparece una máquina en una red. Kaminsky aprovechó esto, sugiriendo que los investigadores creen una herramienta que use esta información para encontrar máquinas infectadas. Los investigadores crearon una herramienta de este tipo y trabajaron durante el fin de semana para prepararla para una amplia distribución a los proveedores de otro software de seguridad. Cualquiera que sea el escáner de vulnerabilidades que esté usando una empresa, debería tener soporte para esto al final del día, dice Kaminsky.



Bruce Schneier , director de tecnología de seguridad en BT Colcha , dice que la capacidad de la nueva herramienta para buscar el virus de forma remota debería ser útil, ya que permitirá a la gente escanear una gran cantidad de máquinas muy rápidamente. Esto es importante, dice Schneier, porque el gusano es una plaga muy desagradable. Conficker es un gusano extremadamente bien escrito, extremadamente bien diseñado y extremadamente bien ejecutado, dice Schneier. Realmente es un trabajo impresionante, y hay alguien realmente inteligente detrás de él. Pero Schneier agrega que es importante para los usuarios y administradores de computadoras proteger sus máquinas contra una variedad de malware, no solo una amenaza.

Si ha estado ejecutando un buen entorno, no debería preocuparse por esto, dice Rico Mogull , fundador de la empresa de consultoría de seguridad Securosis , quien ayudó a conectar a los investigadores de Honeynet y Kaminsky con proveedores de seguridad de red durante el fin de semana. Mogull señala que Microsoft ya ha lanzado varios parches que bloquean la vulnerabilidad que usa Conficker para infectar una máquina. Sin embargo, dice que las empresas preocupadas por Conficker deberían comenzar a buscarlo de inmediato, después de verificar si sus herramientas de seguridad de red se han actualizado.

Kurt Rohloff , científico que estudia gusanos de Internet en la empresa de investigación y desarrollo Tecnologías BBN , dice que la herramienta podría resultar útil, aunque duda de que haya tiempo para encontrar y neutralizar todas las computadoras infectadas con el gusano. Rohloff dice que el nuevo escáner podría usarse para tomar medidas preventivas identificando hosts infectados y eliminándolos de la red, aunque admite que este enfoque es drástico, porque está eliminando la conectividad.



Kaminsky señala que la herramienta está destinada a organizaciones con grandes redes. Para las personas, dice, el mejor enfoque es asegurarse de que estén instaladas las últimas actualizaciones de seguridad y de que se esté ejecutando un software antivirus actualizado. Dado que Conficker impide que una computadora acceda a ciertos sitios web de seguridad, los usuarios pueden probar el gusano al intentar visitar esos sitios, dice Kaminsky. Werner y Leder planean publicar un documento al día siguiente, describiendo los detalles técnicos de su descubrimiento.

esconder