:: NORMAN :: Antivirus | Firewall

seguridad proactiva para IT

Inicio

Noticias

Productos & servicios

Virus & seguridad

Soporte

Descargar

Distribución

Comprar

Elige su país

Elige su producto

Virus & seguridad » Información de Seguridad » 2007 » Servidores de Internet inseguros: la propagación del malware aumenta

Servidores de Internet inseguros: la propagación del malware aumenta

Agregar a mis favoritos de Norman

Información de seguridad, semana 48, 2007

Security Information

Introducción

En la Edad de Piedra del software malicioso (malware), el principal mecanismo de propagación de virus eran los disquetes y las infecciones a gran escala eran infrecuentes. Cuando el correo electrónico surgió como el principal vehículo del malware, la magnitud del problema se multiplicó, y las infecciones importantes se convirtieron en un fenómeno habitual.

Actualmente ya casi no hay brotes importantes de malware. No obstante, la amenaza para los usuarios en línea es, cuando menos, más seria que nunca. Además, un nuevo vehículo de propagación se está haciendo cada vez más popular entre “los malos”: los sitios web maliciosos.

Otro tipo de zombi

El término "zombie" se suele utilizar para referirse a los ordenadores que forman parte de una red de robots (botnets), que se utilizan, por ejemplo, para participar en un ataque de denegación distribuida de servicios (ataque DDOS) o para propagar correo no deseado. Es habitual que los propietarios de estos ordenadores desconozcan que forman parte de este ataque, porque el malware suele infectar los equipos sin que el usuario lo sepa.

El malware actual con frecuencia utiliza varias vías de ataque para propagar e instalar otros programas de malware. Uno de estos mecanismos son los servidores de Internet. Antes no era un método especialmente popular, porque la técnica habitual era que el culpable montara su propio servidor y tratara de engañar a alguien para que visitara ese sitio. Esto tenía al menos tres inconvenientes importantes:

No es fácil engañar a muchos usuarios para que visiten un determinado sitio web nuevo.
Eliminar un servidor malicioso de Internet a través del proveedor de servicios de Internet (ISP) suele ser muy rápido.
El riesgo de ser descubierto y, por lo tanto, perseguido, es bastante alto.

No obstante, varias circunstancias no relacionadas entre sí han cambiado significativamente esta situación. Los servidores de Internet se están convirtiendo en un método popular de propagación de malware. Analizaremos más detalladamente los motivos.

Casi todo el mundo tiene su propio servidor de Internet

Los ordenadores domésticos son cada vez más habituales en los últimos años. También es habitual que estos ordenadores domésticos estén conectados siempre a Internet a través de algún tipo de acceso directo (conexión xDSL); a menudo con una dirección IP y un dominio registrado permanente.

Por diferentes razones, los ordenadores domésticos también están configurados con frecuencia como servidores de Internet y accesibles para los amigos, los compañeros y todo aquel que esté interesado en el contenido que facilita el usuario.

Lamentablemente, la mayoría de los usuarios particulares no son tan conscientes de los problemas de seguridad como los profesionales de los departamentos de TI. Por lo tanto, estos servidores de Internet domésticos son a menudo inseguros y pueden ser utilizados con malas intenciones, con frecuencia sin que lo sepa el propietario del servidor.

Una mayor atención a la vulnerabilidad del sistema operativo y de la aplicación

La atención prestada por la comunidad "Black Hat" a la vulnerabilidad de los sistemas operativos y de las aplicaciones ha aumentado. Incluso hay varios mercados especiales en Internet para comprar y vender la explotación y el código de explotación. Como consecuencia, más variantes de software malicioso utilizan este tipo de vulnerabilidad. Nunca se subrayará lo suficiente la importancia de tener ordenadores totalmente protegidos.

Los servidores de Internet controlados por entidades (y que incluyen usuarios particulares) que no presten la atención suficiente a la seguridad, pueden ser objetivos fáciles del malware que aprovecha incluso antiguos fallos en los sistemas operativos y en otro software, si los servidores no se actualizan o se “parchean” continuamente.

Los cortafuegos no suelen bloquear el tráfico de Internet

Como usuario normal de Internet, en general desconoce si el sitio web que visita es legítimo o malicioso. La mayoría de los cortafuegos (personales y corporativos) permiten el tráfico http (web) y el contenido malicioso queda fácilmente oculto entre el tráfico http legítimo.

Algunas empresas han definido reglas de forma que solo el tráfico de sitos web predefinidos puede traspasar el cortafuegos. Así se protegen de infecciones procedentes de sitios web desconocidos, pero sin duda tiene sus desventajas.

Pondering woman with laptop

Adiós a las modificaciones de páginas, bienvenidos los delitos económicos

Hace algunos años, modificar los sitios web era una actividad popular entre los que utilizaban Internet para actividades ilegales. En sí mismo, no tenía valor económico, como mucho la credibilidad para oscuros grupos, y con la evolución de Internet como un gran escenario para distintos tipos de actividades delictivas, el objetivo ha pasado del cambio de páginas, para demostrar que se puede hacer, a utilizar el acceso al servidor de otro usuario como medio de actividades delictivas más tradicionales con compensación económica al final.

Dispone de su propio servidor de Internet

Los delincuentes que acceden a distintos servidores web de todo el mundo tienen muchas opciones a su alcance.

Puede utilizar su sitio como sitio de phishing simulando, por ejemplo, el sitio real de un banco. La desventaja de este método es, por supuesto, la probabilidad de ver rápidamente que se ha modificado el sitio web y que es totalmente diferente al que se buscaba.
Puede utilizar técnicas que modifiquen sus páginas web de forma que los cambios no sean obvios ni para usted ni para las visitas.
Puede conseguirse insertando código en las páginas que, por ejemplo, descarguen malware en los ordenadores de las visitas. Este malware se puede descargar de servidores de otras partes del mundo, desconocidas para usted.
Ella puede utilizar su sito web como sitio para descargar el malware que tenga vinculado desde otros servidores web intervenidos de todo el mundo. A menos que analice los archivos de registro para comprobar qué recursos web se han solicitado, podría no ser consciente de ello en absoluto.
Algunos servidores de Internet han sido utilizados de formas bastante sofisticadas dado que forman parte de un gran grupo de servidores de Internet que sirven el mismo contenido. El usuario malicioso que controla los servidores de Internet intervenidos puede registrar nombres DNS que cambian las direcciones IP muy a menudo (por ejemplo, cada minuto).
Como el servidor que sirve contenido cambia constantemente, es difícil registrar toda la estructura y detener la propagación del malware.

Quién es el responsable legal del contenido del servidor de Internet

La legislación que regula quién es responsable del contenido de un servidor de Internet, varía de un país a otro. En la mayoría de los casos, se podrá argumentar (¿con éxito?) que el servidor web estaba intervenido y que el usuario no debería ser responsable de lo que otros ponen en él. Demostrarlo puede ser difícil, a menos que se puedan proporcionar registros que demuestren la intromisión.

Incluso aunque al final pueda demostrar que es inocente, puede pasar por algunos días, semanas o meses bastante desagradables antes de que convenza a los investigadores, y de que el proveedor de servicios de Internet le vuelva a conectar a la red.

Un punto de vista interesante para algunos defensores es que el propietario de un ordenador intervenido ha demostrado una clara negligencia en la protección de su ordenador, y puede ser responsable incluso aunque no sea quien cometió el delito. Si esta forma de verlo fuera la legal, sin duda habría muchos propietarios de servidores web privados que estarían en peligro de ser considerados criminales.

Cómo protegerse

Como siempre, hay algunas medidas fáciles que deberían ser obligatorias para todo el que controle un servidor web desde casa (de hecho, para todo el que tenga un ordenador conectado a Internet):

Comprobar que el ordenador dispone de los últimos parches de seguridad del proveedor del sistema operativo y de las aplicaciones. Hacerlo de forma continua, no una sola vez, porque constantemente se conocen nuevos puntos vulnerables.
Utilizar software antivirus y mantenerlo actualizado. Una aplicación con un antivirus obsoleto solo protege de malware obsoleto (¡evidentemente!).
Utilizar un cortafuegos entre el ordenador y la red e Internet. Permitir el acceso solo a/desde los puertos (servicios) que quiera que se utilicen.

ALARMAS DE VIRUS

Medium risk
24	Oct	07	Pidief.A
24	Jan	07	Tibs
25	Sep	06	Stration
18	Jan	06	Small.KI
12	Sep	05	Bagle.CS
17	Aug	05	Zotob.B
08	Jun	05	Mytob
17	Feb	05	MyDoom.AQ
26	Jul	04	MyDoom.L
25	Mar	04	Netsky.P
Low risk
05	Mar	07	Viking.GT
27	Jan	06	Feebs
16	Jan	05	MyDoom.AH
22	Apr	04	SDBot
30	Mar	04	Netsky.Q

Latest virus definition file published

>>	2008-05-16

Información de Seguridad

>>	Informe del Internet Crime Complaint Center correspondiente a 2007
>>	2007

Consejos de Seguridad

>>	Three critical updates for Microsoft systems in May 2008
>>	Cinco actualizaciones críticas para sistemas Microsoft en abril de 2008

Norman es una de las empresas principales del mundo en el ambito de seguridad de los datos. La empresa juega un papel importante en la industria informatica, con los productos para antivirus (Virus Control), cortafuego personal y antispam.