| Artículos | 01 MAR 2004

Virus y vulnerabilidades de los sistemas

Tags: Histórico
José R. Sánchez y Alberto Pérez.
Los virus informáticos constituyen, probablemente, el peor de los ataques que se puede realizar a un sistema informático, no sólo porque son capaces de tener una capacidad destructiva y unos efectos devastadores difícilmente igualables por otros, sino porque, por su capacidad de expansión, pueden servir como la mejor herramienta para realizar ataques de otra naturaleza.

Una infección por virus puede tener consecuencias importantes en los equipos a los que afecta. Algunas de ellas son:
- Acceso y revelación de información confidencial o privada. Lo más leve puede ser informar al autor del virus de las direcciones de correo de los contactos de la víctima, con lo que éste puede crear una base de datos con direcciones de correo que posteriormente pueda utilizar para realizar spam.
- Merma en los recursos. Los virus pueden consumir una gran cantidad de recursos del equipo infectado, saturar las redes a las que están conectados estos equipos y colapsar los servidores que éste utiliza.
- Atacar a otros sistemas. Sin que la víctima lo sepa puede convertirse en colaborador involuntario en otros ataques, no solo para la propia expansión del virus, si no también para ataques de denegación de servicio distribuida (o DDoS siglas en inglés).
- Instalar puertas traseras o backdoors. Muchos virus se utilizan para instalar de forma masiva puertas traseras en equipos que posteriormente puedan ser explotadas. Y desde ese preciso instante, el ordenador ha cambiado de dueño aunque su legítimo propietario no sea consciente de ello.
Lo peor de los virus son las leyendas que los acompañan. Son tan increíbles las historias que se cuentan con referencia a ellos (cualquier problema cuya solución no se conozca se atribuye a un virus), que aquellas que son verdaderas no son consideradas como amenazas reales (salvo, claro está, cuando uno es una de las víctimas). Por ello, la mejor manera para protegerse de los virus informáticos es comprender bien qué son y cómo se las ingenian para actuar. En el siguiente artículo explicaremos de manera sencilla los retos que tiene que afrontar un virus para infectar los equipos y de esta forma estaremos en disposición de entender con mayor facilidad qué puntos flacos debemos proteger para evitar sus ataques.

El objetivo
Una de las primeras cosas que debe plantearse quien escribe el código de un virus informático es para qué lo va a hacer. Existen múltiples razones, unas más perversas que otras, para escribir un virus en lugar de intentar otro tipo de ataque, pero todas tienen un denominador común: afectan a múltiples equipos, en general, cuantos más mejor.
Por ejemplo, el último y más famoso virus ha sido Mydoom. Aunque no está absolutamente claro que sea la única, una de las principales razones por las que se programó este virus fue para realizar un ataque de denegación de servicio distribuido al sitio de SCO. Para hacer este tipo de ataques, el número de equipos que participen en él es primordial y la mejor manera de “aglutinar voluntades” es infectar equipos con un virus programado para el sistema operativo que está en el mayor número de plataformas, es decir, Windows.
Así que, para empezar, se puede hacer una primera y sencilla estimación de riesgo. Cuanto más extendidos estén los programas que ejecute en su ordenador, más expuesto estará a ataque por virus.
Decidido para qué se va a hacer el virus, la segunda cuestión a resolver es cómo propagarlo. Atrás quedaron los tiempos en que los virus se propagaban mediante copias de archivos. Aunque todavía sigue siendo posible hacerlo mediante esta técnica, es muy poco rentable. Hoy por hoy, con prácticamente todo el mundo conectado a Internet, es mucho más sencillo y efectivo utilizar medios como el correo electrónico (Figura1), la navegación o la mensajería instantánea, por poner tres ejemplos.
Actualmente la forma de virus a la que estamos más familiarizados está identificada con los gusanos, así tenemos:
1- Gusanos de correo electrónico. Suelen propagarse a través de los mensajes valiéndose de la utilización de ciertos programas clientes y reenviándose automáticamente a los contactos de la libreta de direcciones. Algunos de los gusanos más recientes (SirCam, Klez, BugBear), pueden incluso, llegar a enviarse a cualquier dirección de correo que encuentren en caché, con lo cual, si en una página visitada se ha incluido una dirección de correo, puede ser utilizada por el gusano, al tener éste la capacidad de rastrearlas.
2- Gusanos de IRC. Estos se propagan a través de canales de IRC (Chat), empleando habitualmente para ello mIRC y Pirch.
3- Gusanos de VBS (Visual Basic Script). Son gusanos escritos o creados en Visual Basic Script y para su prevención es importante considerar la sugerencia de hacer visibles todas las extensiones en nuestro sistema (para poder identificar y rechazar los archivos que vengan con doble extensión, como es el caso de anexos de correos infectados por SirCam).
4- Gusanos de Windows 32. Son gusanos que se propagan a través de las API (Application Program Interface o Application Programming Interface) de Windows, las cuales son funciones pertenecientes a un determinado protocolo de Internet.

La ejecución
Definido el medio de propagación, entramos en la parte más delicada. Aunque parezca una perogrullada, un virus no es más que un programa, y como tal, tiene que ejecutarse en el ordenador infectado para llevar a cabo su misión.
El “quid” de la cuestión para el virus está en conseguir realizar la primera ejecución de código malicioso sobre un ordenador. Esta primera ejecución se puede conseguir de dos maneras, o es el usuario del ordenador quien lo ejecuta, o son los propios programas del usuario quienes lo hacen.
En el primero de los casos debe convencerse al usuario de que ejecute el programa, lo cual no suele ser muy difícil conociendo la naturaleza humana. Es cierto que, cada vez más, el usuario está prevenido de las estratagemas que se usan en este tipo de ataques, pero es difícil mantenerse siempre en guardia, y más teniendo en cuenta que el creador del virus utilizará todos los trucos que se le ocurran para engañarnos (vea la Figura 2).
Tendemos a infravalorar este tipo de técnicas, sin embargo su eficacia es muy grande. Como muestra un botón: en una misma semana se detectaron dos virus el W32.Bagle y el W32.Novarg, Lo más curioso de ellos es que la técnica utilizada no era significativamente diferente de la de virus anteriores que habían tenido una gran difusión informativa como W32.Sobig y W32.Mimail,: Mensajes de correo con ficheros adjuntos enviados desde cuentas de correo no sospechosas y que, de alguna manera incitan a la a víctima abrirlos. A pesar de todo consiguieron infectar a una gran cantidad de usuarios, tanto en las empresas como en los hogares. Esto demuestra lo efectiva que es la ingeniería social, a pesar de lo que parezca.
La segunda opción que contemplábamos supone que sea un programa que se ejecuta normalmente en el ordenador de la víctima el que realice esa primera ejecución. Evidentemente, los programas no se dedican a ejecutar el código que un desconocido se encarga de hacer llegar a los equipos, o, al menos, no suelen hacerlo conscientemente.
Para que un programa que se ejecuta en el ordenador de la víctima, ejecute para el atacante el código del virus, d

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información