|
|
|
| Indice | |
Ataques a la Internet en 2003Declaración ante el Congreso  Hoy en día la Internet es vulnerable a los ataques y seguirá siéndolo en el futuro previsible. Disfrazados con nombres siniestros como "Blaster" "Slammer" y "Sobig.F", los códigos dañinos de computadora hicieron más estragos en la Internet en 2003 que nunca antes. La transmisión de estos códigos por perpetradores desconocidos hizo que se intensificara la preocupación por la vulnerabilidad de la Internet, en momentos en que este sistema mundial se hace cada día más importante para las comunicaciones mundiales y la economía. El artículo que sigue es una versión abreviada de la declaración que el director del Centro de Coordinación CERT, Richard Pethia, rindió ante el Congreso de Estados Unidos el 10 de septiembre sobre los virus y gusanos que inundaron la Internet en 2003 y las medidas necesarias para combatirlos. La versión completa, en inglés, de la declaración del señor Pathia se encuentra en: http://www.cert.org/congressional_testimony/Pethia-Testimony-9-10-2003/ Introducción El Centro de Coordinación CERT (CERT/CC) fue formado en 1988 como resultado directo del aparecimiento del primer gusano en la Internet. Este fue el primer incidente de seguridad de las computadoras que ocupó los titulares de los servicios de noticias y sirvió de alarma para la seguridad de las redes. Antes este problema el Organismo de Proyectos de Investigación Avanzada de Defensa, parte del Instituto de Ingeniería de Programas de la Universidad Carnegie Mellon, en Pittsburg, estableció el CERT/CC. Nuestra misión es servir de punto de convergencia para ayudar a solucionar los incidentes y las vulnerabilidades de seguridad de las computadoras, para ayudar a otros a establecer la capacidad de respuesta a los incidentes y hacer que se conozcan mejor los problemas de seguridad de las computadoras y ayudar a la gente a comprender las medidas que deben tomar para proteger mejor sus sistemas. El Centro comenzó operaciones en sólo dos semanas y hemos trabajado arduamente para mantener nuestra habilidad de reaccionar rápidamente. El personal de CERT/CC ha manejado 260.000 incidentes, ha catalogado y trabajado en la solución de más de 11.000 vulnerabilidades de computadoras y ha publicado cientos de alertas de seguridad. Hoy, con el continuo auspicio del Departamento de Defensa y del Departamento de Seguridad del Territorio Nacional, proseguimos nuestra tarea y diseminamos información y alertas sobre seguridad a través de múltiples canales, un sitio en la Web (www.cert.org), una base de datos en línea sobre vulnerabilidades y una lista de correo electrónico con más de 161.000 direcciones. Tenemos relaciones con los principales medios de información, los que nos ayudan a diseminar más ampliamente en la comunidad información exacta sobre los sucesos importantes relacionados con la seguridad. También colaboramos con más de 600 proveedores de tecnología para facilitar su atención a las vulnerabilidades de los productos y alertar a la comunidad sobre las que requieren acción inmediata. El CERT/CC actualmente es reconocido, tanto por el gobierno como por la industria, como una fuente neutral y autorizada de datos y conocimiento sobre seguridad de la informática. Además de atender informes sobre violaciones y vulnerabilidades en la tecnología relacionada con una red, identificamos y publicamos prácticas de seguridad preventivas, llevamos a cabo investigación y suministramos capacitación a los administradores de sistemas y los equipos encargados de responder en casos de incidentes. Riesgo cada vez mayor de gusanos y virus Los gusanos y los virus constituyen una categoría más general de programas llamados "códigos dañinos". Ambos explotan las deficiencias en los programas y se reproducen o adhieren a otros programas. Se propagan rápida y fácilmente de un sistema a otro. Según la definición, los gusanos son programas que se propagan sin intervención humana una vez se les comienza. Los virus son programas que requieren alguna acción por parte del usuario, como abrir el anexo de un mensaje de correo electrónico, antes de propagarse.... Los gusanos y los virus actuales causan daño más rápidamente que los que se creaban en el pasado y se propagan entre los sistemas más vulnerables, los sistemas de computadoras caseras. El gusano denominado Código Rojo se propagó por el mundo con mayor velocidad en 2001 que el gusano Morris por las computadoras de Estados Unidos en 1988 y más rápidamente que el virus Melissa en 1999. En el caso del gusano Código Rojo pasaron solo días entre su identificación inicial y la amplia difusión del daño. Apenas unos meses después, el gusano Nimda causó daños graves en cuestión de una hora después de reconocerse la infección. En enero de este año Slammer tuvo un efecto importante en sólo unos minutos. Las ilustraciones... revelan la velocidad con que Slammer infectó a un número importante de sistemas de computadoras. Estas indican que Blaster fue ligeramente más lento que Slammer, pero mucho más rápido que el Código Rojo. Después de 24 horas Blaster había infectado 336.000 computadoras; Código Rojo 265.000 y Slammer había infectado 55.000. La ilustración "Comparación de Blaster con Código Rojo durante las primeras 18 horas", muestra el aumento en el número de computadoras infectadas por los gusanos Blaster y Código Rojo en las primeras 18 horas. En ambos casos 100.000 computadoras fueron infectadas en las primeras 3 a 5 horas. El avance rápido limita el tiempo que tienen los expertos en seguridad, como los del CERT/CC, para analizar el problema y alertar a la comunidad de la Internet. Del mismo modo, los administradores de sistemas y los usuarios tienen poco tiempo para proteger sus sistemas.... Luego de la racha inicial de infecciones del gusano Blaster y la subsiguiente reparación con parches, el impacto alcanzó un nivel constante de 30.000 computadoras en una hora dada.... El gusano Blaster todavía sigue activo y continúa causando daños en los sistemas de computadoras en todo el mundo. El efecto de los gusanos y los virus En el mejor de los casos los gusanos y los virus pueden ser un inconveniente y significar una costosa recuperación. En el peor de los casos pueden ser devastadores. Los ataques solamente de los virus y los gusanos resultaron en pérdidas de millones de dólares en los últimos 12 meses. En 2003, según una encuesta del Instituto de Seguridad de las Computadoras y la Oficina Federal de Investigación de Delincuencia por Computadora y Seguridad, en inglés, (www.gocsi.com), los virus fueron la forma preferida de los ataques (82 por ciento de los encuestados fueron afectados) con un costo estimado de 27.382.340 dólares. De acuerdo con las respuestas, el costo mínimo para una víctima fue de 40.000 dólares y el máximo 6 millones de dólares. La encuesta de la Oficina de Delincuencia por Computadora y Seguridad de Australia reveló resultados similares, los virus y los gusanos fueron responsables del 80 por ciento de los daños en los sistemas. De estas víctimas el 57 por ciento indicó que había sufrido pérdidas financieras por un total de 2.223.900 dólares. Según la encuesta australiana, una tercera parte (33 por ciento) de las víctimas reparó sus sistemas en menos de un día y al 30 por ciento de ellas le tomó de uno a siete días. El 37 por ciento restante requirió más tiempo, incluso hay dos organizaciones que creen que quizá no se recuperarán nunca. Se calcula que hasta el momento los daños producidos por el gusano Blaster ascienden a un mínimo de 525 millones dólares y los de Sobig.F a entre 500 millones y más de mil millones de dólares (según "Business Week" y "mi2g", con sede en Londres, www.mi2g.com, y otros informes en los medios de difusión). El costo estimado incluye las pérdidas en productividad, en horas de trabajo, en ventas y gastos extras en el ancho de banda. "The Economist" (del 23 de agosto de 2003) calculó que Sobig.F fue el responsable de uno de cada 16 mensajes de correo electrónico transmitidos por la Internet. En nuestra propia experiencia Sobig.F ha representado el 87 por ciento de todos los mensajes por correo electrónico enviados a nuestra dirección cert@cert.org, desde el 18 de agosto. Hemos recibido más de 10.000 mensajes infectados por día, o sea un mensaje cada 8,6 segundos. Implicaciones para el futuro El significado de nuestra experiencia reciente con Blaster y Sobig.F se halla más allá de sus actividades específicas. Antes bien, los gusanos representan el mayor problema en la seguridad de la Internet y presagian lo que podemos esperar en el futuro. Mi mensaje más importante es que la Internet no solamente es vulnerable a los ataques hoy, sino que lo seguirá siendo en el futuro previsible. En esta perspectiva están incluidas las computadoras que emplean las organizaciones gubernamentales a todos los niveles y las computadoras en los laboratorios de investigación, las instituciones docentes, las empresas y los hogares. Son vulnerables a problemas ya descubiertos, algunas veces hace años, y son vulnerables a problemas que se descubrirán en el futuro. La implicación para los gobiernos federal, estatal y local y para los operadores de infraestructura esencial, es que sus sistemas de computadoras son vulnerables tanto a los ataques como a ser usadas para atacar otros sistemas. Puesto que cada vez más organizaciones gubernamentales y del sector privado aumentan su dependencia de la Internet, nuestra habilidad para llevar a cabo nuestras tareas en forma confiable corre riesgo. Las soluciones de reacción son limitadas Durante los últimos 15 años hemos confiado fuertemente en la habilidad de la comunidad de la Internet, en conjunto, de reaccionar con suficiente rapidez a los ataques a la seguridad para garantizar que los daños sean mínimos y los ataques repelidos rápidamente. Hoy en día, sin embargo, está claro que las soluciones que son sólo una reacción al problema inmediato ya no son adecuadas. En breve los factores son los siguientes:
Estos factores, tomados en su totalidad, indican que podemos esperar que muchos ataques causen pérdidas económicas significativas e interrupción de los servicios, aún durante el lapso de tiempo más corto de respuesta a los ataques que se puede esperar de manera realista. Las respuestas dinámicas, coordinadas y continuamente mejoradas seguirán siendo necesarias, pero también debemos movilizarnos rápidamente para poner en práctica otras soluciones. Medidas recomendadas No es fácil encontrar solución a la amenaza de los gusanos y los virus. Puesto que cada año se descubren aproximadamente 4.000 vulnerabilidades, los administradores de sistemas y redes se encuentran en una situación difícil.... Ante esta situación difícil, los operadores de sistemas y sus organizaciones pueden tomar varias medidas para ayudar a proteger los sistemas: Adoptar prácticas de seguridad. Es esencial que las organizaciones, grandes y pequeñas, adopten el uso de evaluaciones eficaces de los riesgos de seguridad de la informática, políticas de administración y prácticas de seguridad. Aunque a menudo hay discusiones y debates sobre cual conjunto de prácticas de seguridad puede ser de alguna manera "el mejor", lo que es cierto es que las descripciones de prácticas eficaces y patrones de política se encuentran ampliamente disponibles tanto del gobierno como de fuentes privadas, incluso el CERT/CC.... Mantener al día las habilidades y los conocimientos. Los operadores de sistemas deben tomar cursos para acrecentar sus capacidades y conocimientos.... Necesitan mantenerse al día de las tendencias de los ataques y de las herramientas que les ayuden a proteger sus sistemas contra éstos. El problema de la seguridad es dinámico y en constante cambio, a diario aparecen nuevos ataques y nuevas vulnerabilidades. Ayudar a educar a los usuarios de sus sistemas. Los operadores de sistemas deben ofrecer programas sobre conocimiento de la seguridad a fin de elevar la sensibilidad de los usuarios a las cuestiones de seguridad, mejorar su habilidad para reconocer un problema, informarles sobre lo que se debe hacer si lo encuentran y aumentar su comprensión de lo que pueden hacer para proteger sus sistemas. Medidas recomendadas Las medidas disponibles para los operadores de sistemas ayudarán pero sólo solucionarán alguna parte del problema. Los proveedores de la tecnología están en posición de prevenir más eficazmente la propagación de los gusanos y los virus. Aunque algunas compañías han comenzado a mejorar la seguridad de sus productos, todavía queda un largo camino por recorrer. Los creadores de programas no dedican suficiente esfuerzo a aplicar las lecciones aprendidas sobre las causas de las vulnerabilidades. El CERT/CC sigue viendo en las versiones nuevas el mismo tipo de vulnerabilidades que existían en los productos viejos. Otros problemas adicionales provienen de la dificultad de configurar el sistema operativo y los programas de aplicaciones en forma segura. Estos productos son complejos y a menudo se envían a los clientes con los dispositivos de seguridad inactivos, lo que obliga al usuario a pasar por el proceso difícil y propenso a errores de activar correctamente los dispositivos de seguridad que necesita.... Es esencial que los proveedores de tecnología ofrezcan productos que sean impenetrables a los gusanos y virus, para comenzar. En la situación actual de la Internet, un enfoque de seguridad que depende de prevenir al usuario que tenga cuidado no es aceptable.... Medidas recomendadas - ¿Qué puede hacer el gobierno? El gobierno puede ayudar con un enfoque múltiple. Creo que deben estudiarse las siguientes medidas:
Por tanto, el gobierno debe apoyar un programa de investigación que busque nuevos enfoques para la seguridad de los sistemas. Estos enfoques deben incluir estrategias de diseño y ejecución, tácticas de recuperación, estrategias para resistir los ataques, análisis de ventaja comparativa de supervivencia y el desarrollo de estructuras de seguridad.... La División Nacional de Seguridad Cibernética (NCSD), establecida por el Departamento de Seguridad del Territorio Nacional en junio de 2003, es un paso crítico para poner en práctica estas recomendaciones. La Misión de la NCSD y el diseño de la organización se armonizan bien para coordinar con éxito la ejecución de las recomendaciones que he descrito anteriormente. Sin embargo, la creación de un "espacio cibernético más seguro" requerirá que la NCSD y todo el gobierno federal trabajen con los gobiernos estatales y locales y el sector privado para impulsar mejores prácticas en la programación, el mayor conocimiento a todos los niveles, una investigación y desarrollo más activos y mayor capacitación para los técnicos especializados. Conclusión Nuestra dependencia de sistemas de computación interconectados aumenta rápidamente y aún las interrupciones de corto plazo producidas por los virus y los gusanos pueden tener consecuencias considerables. Las soluciones que tenemos actualmente no van al ritmo de la mayor potencia y velocidad de los ataques y nuestra infraestructura informática corre riesgo.... Podemos progresar en forma significativa haciendo cambios en el diseño y desarrollo de los programas, aumentando el número de gerentes y administradores de sistemas capacitados, mejorando el nivel de conocimiento de los usuarios e intensificando la investigación para lograr sistemas seguros y capaces de sobrevivir. Un apoyo adicional del gobierno para la investigación, el desarrollo y la educación en la seguridad de las computadoras y las redes tendría un efecto positivo sobre la seguridad general de la Internet. ©Universidad Carnegie Mellon, 2003 Las opiniones expresadas en este artículo son las del autor y no reflejan necesariamente los puntos de vista o las políticas del gobierno de Estado de Estados Unidos. |