Inmenente ataque de un super-gusano el 11/9

La red podría estar por sufrir, a partir del 11 de Septiembre un ataque de mayores dimensiones si lo que la gente dice en este artículo es verdad. El objetivo sería un ataque distribuido a Microsoft, fabricantes de software anti-virus y sitios anti-spam. Paso a resumir un poco el planteamiento.

Esta gente teoriza que las diferentes variantes de Sobig, el gusano más avanzado hasta la fecha, pueden haber sido "pruebas conceptuales" de diseño en preparación para un ataque final el 11 de Septiembre de 2003. Al parecer, la última variante del virus está programada para cesar sus operaciones el 10 de Septiembre. Ya eso es bastante raro, pero más raro es que el virus contenga instrucciones que no ha explotado nunca.

En junio fuimos alertados por Intrusec sobre un troyano prácticamente imperceptible conocido como 55808 que al parecer tiene como objetivo mapear los puertos vulnerables en toda la red. Con un mapa así otro gusano que aprovechase esa información podría replicarse muy rápidamente sin la necesidad de usuarios abriendo e-mails infectados, tal como lo ha hecho Blaster.

El gusano/virus perfecto puede estar a punto de atacar la red. Si son combinadas las técnicas de Blaster, Sobig y de 55808 estaríamos ante un virus prácticamente invencible usando las defensas que actualmente tenemos. Lo más preocupante es que - más temprano que tarde - parece inevitable su presencia.

Si un gusano así aparece y es capaz de "apagar" Internet o afectarla a gran escala ya se a qué me quiero dedicar. A consultor de seguridad informática. Seguro que comienzan a crecer los presupuestos de gobiernos y empresas dedicados al tema.

El artículo termina con una idea no del todo descabellada, aunque ya se ha intentado algo parecido sin éxito: ¿por qué no crear un gusano benigno?. Uno que en sólo 48 horas pudiese cerrar el 95% de los huecos de seguridad de Internet. El gusano podría introducirse en todos los Windows de la red y solicitarle permiso al usuario para activar su firewall. Podría también rastrear los puertos abiertos y cerrarlos entre otras cosas.

Mientras existan Windows conectados a la red seremos vulnerables. Porque Microsoft simplemente no está haciendo nada, ni le interesa, de hecho es su modelo de negocio que pretende luego vendernos la siguiente versión. Quienes buscamos alternativas en otros sistemas operativos estamos (o hemos estado hasta ahora) prácticamente exentos de que estos gusanos y virus penetren nuestros sistemas y destruyan nuestra información o perjudiquen nuestra privacidad.

Pero si la red deja de funcionar o se degrada a niveles inaceptables gracias a estos ataques cada vez más comunes y certeros, no nos servirán de nada nuestros - aislados - Linux, BSDs y Macs.

¿Qué hacer?. Yo al menos voy a empezar por escribir un pequeño tutorial para que mis amigos y familiares que usan Windows puedan activar un firewall.

Actualización 7/9/2003:
He pegado este post también en miBarrapunto y ahí allí unos interesantes comentarios. Este me corrige -con toda razón- sobre el modo de ataque de Blaster:

"El gusano MSBlaster no se propagó a través de correos infectados, sino que explotaba el servicio RPC DCOM de los Windows 2K/XP: se introducía a través del puerto 135 (si no estaba cerrado), abriendo una shell en el 444 desde donde se bajada el payload del gusano desde una máquina previamente infectada. No había intervención del usuario."

Lapsus mental. Si precisamente el lunes al regresar al trabajo no pude ser productivo gracias al constante ataque del gusano desde los equipos de mis compañeros que tuve que ayudar a desinfectar.