• Tweet

Debby Fry Wilson tiene más de una razón -y noches de desvelo- para recordar a Sasser, el último gusano de la red que bloqueó sistemas windows en todo el mundo.

Fue durante su cumpleaños, hace un año, cuando los primeros reportes de Sasser comenzaron a diseminarse y, para Wilson y sus colegas del MSRC (Microsoft Security Response Center), el brote presentó una oportunidad para probar un nuevo sistema de respuesta a emergencias que había sido implementado recientemente por Microsoft.

Viniendo de una intensa cadena de actividad de gusanos en el 2003, cuando Slammer de SQL y Blaster ocuparon los encabezados y causaron daño alrededor de todo el mundo, Microsoft estaba mejor preparado para Sasser, que estaba propagándose por medio de un hueco de seguridad en Windows que ya había sido previamente parchado.

"Sabíamos que esta vulnerabilidad en particular tenía el potencial de ser explotada por un gusano", declaró Wilson. "Ya habíamos llevado a cabo algunas medidas para atraer la atención de los usuarios al boletín y que aplicaran los parches"

"Estábamos al tanto, de que habían exploits de prueba de concepto circulando y estábamos trabajando tras bambalinas con antivirus y otros socios para mantener en observación cualquier actividad inusual", dijo Wilson, quien es la directora responsable de movilizar la comunicación de respuesta en seguridad en el MSRC.

Desde el momento en que Microsoft liberó el parche para Sasser, el día en que el gusano fue detectado, al menos tres exploits fueron distribuidos en listas de correo de seguridad.

El 27 de Abril de 2004, las pruebas de concepto fueron compiladas en un exploit que evolucionó en Sasser, recordó Wilson.

Dentro de las primeras tres horas, Wilson dijo que el MSRC publicó una página sobre Sasser con información detallada e instrucciones para desinfectar los sistemas.

"Después de Blaster en el 2003, hemos mejorado nuestras comunicaciones para actuar inmediatamente y movilizar a nuestra gente alrededor del mundo."

En pocos minutos, sabíamos que hacer para proteger a nuestros clientes", Wilson dijo, recordando que la guía inicial indicaba que los usuarios activaran un firewall y bajaran y aplicaran el parche MS04-011.

"Después, trabajamos en la primera versión de una herramienta para limpiar con un simple click, para los usuarios que habían sido infectados".

"Hemos implementado un proceso predefinido para identificar y evaluar incidentes de seguridad y ha funcionado muy bien. Fuimos capaces de determinar la respuesta adecuada para minimizar los daños."

"Con Blaster, la recuperación tomó 38 días. Con Sasser, llevamos esa cifra hasta cinco días", dijo Wilson.

Ahora, después de un largo año con actividad moderada de gusanos, Wilson cree que la evangelización de Microsoft en cuestiones de seguridad comienza a rendir fruto.

Ella lo atribuye a tres eventos posteriores a Blaster: el firewall de Windows activado de forma predeterminada en XP con Service Pack 2, la adopción de actualizaciones automáticas como componente escencial para el mantenimiento, y la concientización en la industria de la necesidad de software antivirus actualizado.

"En el lado del consumidor, 200 millones de usuarios están aplicando parches automáticamente. Cuando un parche de seguridad es liberado, el rango de tiempo en que el usuario está en riesgo se ha vuelto mucho menor. Hemos visto un incremento de 400 porciento en el uso de Windows Update y un 320 porciento en actualizaciones automáticas desde que SP2 fue lanzado.

En el lado de la empresa, Wilson argumenta que el administrador de parches de Microsoft ha hecho la diferencia en el ciclo de despliegue de parches.

"Hemos realizado mucho trabajo para asegurarnos que las actualizaciones de seguridad hayan sido probadas y que los clientes tengan más confianza para probar y desplegar los parches rápidamente".

Pero, aún cuando MSRC está atribuyéndose parcialmente el crédito por una escasa actividad de gusanos en últimas fechas, los expertos son renuentes a declarar la victoria.

"Creo que hemos visto diversas interrupciones durante todo el año pasado. El hecho de que no hayamos visto un gusano es coincidencia", dijo Jon Olstik, analista investigador de Enterprise Strategy Group.

"Si, hemos visto una interrupción [en actividad de gusanos] desde Sasser, pero eso no significa que haya un decremento en ataques maliciosos. El Spyware es un problema, todavía estamos lidiando con problemas diversos de robo de identidad", Olstik dijo en una entrevista a la agencia Ziff Davis de noticias.

"El problema de la seguridad es generalmente más grande que Microsoft. Existen muchas otras vulnerabilidades que no son de Microsoft que podrían llevar a un ataque de gusanos".

Desde Sasser en Mayo de 2004, la compañía ha liberado 32 boletínes "críticos" para resolver debilidades que podrían ser explotadas sin interacción alguna del usuario.

Marc Maiffret, co-fundador y ejecutivo de eEye Digital Security, no piensa que un intervalo de 1 año sea suficiente para que Microsoft clame la victoria.

"No ha sido tan largo, en realidad. La única razón por la que no hemos visto ataques mayores es porque nadie ha decidido sentarse a planear uno".

"La ausencia de gusanos no tiene nada que ver con un mejor trabajo de Microsoft. Si lo piensas, los gusanos son una cosa mala para los chicos malos capaces de escribir un "gusanos grande", Maiffret dijo en una entrevista.

Él apuntó que los gusanos generalmente sólo causan interrupción y activan las alarmas para parchar los sistemas vulnerables.

"Mi predicción es que veremos muchos menos gusanos. Las vulnerabilidades críticas y "agusanables" seguirán ahí. Pero la concientización sobre los parches de seguridad y la ausencia de gusanos grandes son malas noticias para los chicos malos. Ellos no quieren que parches tu sistema"

"No quiero menospreciar los esfuerzos de Microsoft sobre la seguridad, porque han mejorado muchísimo. Pero no creo que un intervalo de 1 año entre gusanos sea mucho. En los últimos 5 años sólo hemos visto 5 gusanos mayores, así que simplemente están en el promedio", agregó Maiffret.

La pregunta le fue planteada a Wilson: ¿Hemos visto el último de los gusanos grandes-

"No me gustaría especular sobre eso", dijo después de una larga pausa. "Los exploits se vuelven más sofisticados día con día. Los tipos de exploits están contínuamente evolucionando, así que es difícil predecirlo".

"Lo que puedo decirte es que Microsoft estará mas preparado en un evento de ataque. Estamos más preparados de lo que estábamos 1 año atrás cuando golpeó Sasser, y estamos contínuamente evolucionando nuestro proceso para seguir mejorando".

Fuente: Eweek.com  RML/