1000 días de Conficker

El siguiente post es una traducción (con algunas adaptaciones idiomáticas) del texto realizado por Aryeh Goretsky publicado en el blog de ESET en inglés donde podrán ver la opinión del especialista de ESET a nivel mundial, acerca de los 1000 días de la aparición del gusano Conficker

Han pasado 1,000 días desde la primer aparición del gusano Conficker el 21 de noviembre del 2008.  En los primeros dos meses, luego de su primera aparición, recibimos algunos reportes a través de nuestro sistema de alerta ThreatSense.NET. Para enero del 2009, la cantidad de reportes se habían multiplicado, para luego convertirse en una crisis, a medida que este “super gusano” llego a niveles de infección increíbles. Desde ese entonces, Conficker, ha empezado a aparecer como una de las 10 amenazas con mayor nivel de detección en nuestro Global Threat Report, normalmente en alguna de las dos primeras posiciones.

Hemos escrito una gran cantidad de posts acerca de Conficker, desarrollado herramientas libres para eliminarlo, escrito white papers e incluso realizado presentaciones acerca de él, de la misma manera que lo han hecho nuestros colegas de la industria antivirus. Microsoft liberó una guía explicando cómo actualizar y proteger las computadores, y el Conficker Working Group trabaja para proveer a los ISP (Internet Service Provider, en español, Proveedor de Servicio de Internet) con una lista de 50,000 dominios pseudo aleatorios que algunas variantes de Conficker utilizan para buscar actualizaciones. El gusano recibió una gran atención de los medios en Abril del 2009, cuando un surgió un cambio en su mecanismo de actualización.

En lo que respecta al gusano Conficker en si mismo, pareciera que fue abandonado por la organización criminal que lo operaba a mediados del 2009, y en junio de este año, el FBI en conjunto con el Departamento de Jusiticia anunciaron el arresto de algunos individuos quienes podrían haber sido sus creadores.

Entonces, tres años más tarde, el gusano Conficker, ejecutándose sin un Centro de Control (C&C), explotando una vulnerabilidad de más de tres años de antigüedad, y con todas las tecnologías antivirus existentes, ¿por qué continua entre los 10 códigos maliciosos más detectados? La respuesta a esa pregunta es complicada, ya que no se encuentra en el reino del ciberespacio de unos y ceros, pero muy por encima en los círculos donde las preguntas de hacer lo correcto y dar paso a las preocupaciones de los presupuestos, las políticas y la conveniencia. Para ilustrar esto, me gustaría compartir con ustedes una historia acerca de un amigo mío al que llamaremos John (no es su nombre real).

John trabaja como un administrador en una compañía regional, en dónde da a soporte a cientos de computadoras de escritorio en distintos estados. Digo soporte, y no manejar o administrar, debido a la naturaleza del trabajo de John: John es un empleado de una compañía de negocios que ha crecido mediante la adquisición de empresas más pequeñas. Como resultado de esta actividad, la compañía tiene docenas – por no decir cientos- de redes, computadoras, entornos operativos, mejores prácticas y estándares para manejar cada uno de ellos. En otras palabras, se trata de una implementación de distintos grupos de trabajo. Si bien se han realizado algunos progresos para estableces estándares universales, en lo que respecta a seguridad informática todavía queda mucho por hacer. Por ejemplo, no cuentan con una administración centralizada de la seguridad. Eso, en conjunto con el hecho de que algunos usuarios todavía tienen cuentas con privilegios de administrador, debido a que sus computadoras cuentan con legacy software, lo que significa que pueden desinstalar sus antivirus a voluntad.

¿Qué significa esto para John? Significa que los usuarios de su compañía se han infectado con Concficker en algún lugar de la empresa desde la aparición del gusano.

Si bien hay cuestiones técnicas que faciliten esta pandemia, la causa subyacente no lo es: Juan no ha puesto en marcha los medios para proteger a sus empleados debido a los gastos de instalación de una gestión centralizada y la solución de seguridad. En este tipo de implementaciones el factor costo y los inconvenientes de la sustitución de  tradicionales, las computadoras, y capacitación de los empleados en los sistemas de sustitución, en el actual clima económico.

Estoy de acuerdo en que la solución de este problema en particular sería muy costosa. Incluso la utilización de software de código abierto, significa un importante gasto de capital para su  implementación y los costos sólo van a aumentar con cada adquisición. Por supuesto, mientras más rápido sea el cambio de la compañía a un modelo de seguridad centralizado, mejores resultados obtendrá, sobre todo ante la incorporación de nuevas compañías.

Mientras que uno puede tener simpatía por el empleador de John y entender su deseo de luchar contra estos puntos críticos en lugar de atacar los puntos que impactan en la rentabilidad que van a tomar, hay otro aspecto de la empresa de Juan que no he mencionado.

Es en el negocio de la salud.

En los Estados Unidos, eso significa que están sujetos a las normas de HIPAA. Aunque HIPAA no es algo de lo que se discute muy a menudo debido a que se trata de un tema complicado y especializado, un gusano que atraviesa las redes que contienen los registros médicos de casi tres años parece una de las cosas sería el tipo de cosas HIPAA intentaría evitar.

Entonces, ¿qué se necesita para eliminar a Conficker? Esa es una pregunta difícil de responder. Claramente, software anti-malware y otras soluciones técnicas y una guía prescriptiva no son suficientes, ni la posibilidad de ser multado por violar las regulaciones específicas del sector.

Algunas de las acciones más exitosas contra las botnets han sido tomadas por autoridades de EE.UU. que actúan en conjunto con Microsoft, para cerrar botnets tales como Waledac, Coreflood y, más recientemente, Rustock. Estas botnets se basaron en el acceso a determinados dominios o computadoras para sus servidores de C&C y comenzaron a desaparecer tan pronto como estos fueron capturados por las autoridades. Mientras que la primera versión de Conficker tiene acceso a un único dominio, las versiones posteriores cambiaron a acceder a cientos y luego decenas de miles de dominios al azar sobre una base diaria, por lo que el gusano es altamente resistente a este tipo de ataque de infraestructura.

Proporcionar parches de seguridad, software y una guía prescriptiva para combatir el gusano son las herramientas que los proveedores de seguridad y sistemas operativos proporcionan para minimizar las amenazas. Pero el hecho de que estén disponibles, no significa que van a ser utilizados o manejados correctamente, como en el ejemplo de la compañía de Juan.

Entonces, ¿dónde nos deja esto? Bueno, si no podemos hacer nada asegurar nuestros sistemas, pareciera que vamos a tener que depender su mitigación en el futuro. Cuando Microsoft lanzó Windows 7, se realizó cambio aparentemente pequeño de la forma en que el sistema maneja el comportamiento del AutoRun,  que permite iniciar programas al conectar un medio extraíble al equipo. Esto efectivamente ha inmunizado al sistema operativo contra los gusanos que se propagan a través de los archivos Autorun.inf. Los lectores de este blog, sin duda, reconocen este tipo de malware por haber aparecido constantemente en el Top 10 de amenazas desde hace años, que es una técnica utilizada también por Conficker para propagarse. Microsoft finalmente hizo disponible este cambio como una actualización a Windows Vista y Windows XP, aunque la instalación no es obligatoria. Windows 7 y Windows Server 2008 R2 fueron liberados después de las vulnerabilidades explotadas por Conficker se solucionaron, lo que dificulta su difusión en los medios.

Microsoft no ha compartido mucha información con el público, acerca de la próxima versión de su sistema operativo Windows 8, pero espero que se vean más mejoras anti-Conficker en él. Las variantes de Conficker intentan extenderse por recursos compartidos de red, adivinar la contraseña basándose en las contraseñas más comunes y utilizadas por los usuarios. Codificar la lista en Windows 8 podría ser una exageración para una amenaza tan antigua como Conficker, pero si los usuarios de Windows no pueden o no quieren administrar su seguridad correctamente, la aplicación de las opciones más seguras – como ha hecho Microsoft con sus cambios en el comportamiento de AutoRun – pueden ser la única solución. Incluso si esa solución sólo puede extenderse a la misma velocidad que el nuevo sistema operativo que contiene.

Aryeh Goretsky, MVP, ZCSE
Distinguished Researcher

Autor , ESET

Síguenos