Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

jueves, 31 de mayo de 2012

Kido [Conficker] – Viejos problemas actuales

Se nos tomamos el trabajo de regionalizar por países de América Latina el top ten de códigos maliciosos de los últimos años, no cabe la menor duda que el gusano Kido, popularmente conocido como Conficker, se lleva todos los laureles. En aquellos países de LatAm donde no se encuentra en el primer puesto, se encuentra en el segundo o en el tercero.

Viejos problemas actuales es el título principal de una charla que se dio lugar durante el año pasado en la ciudad mexicana de Cancún, bajo el marco del “1º Ibero-American Virus Analyst Summit” organizado por Kaspersky Lab.


Claro que quien diga… “la pasé mal en Cancún” sería un completo mentiroso y yo precisamente no soy la excepción :-)


Pero independientemente de esa oportunidad donde tuve la chance de conocer muchas buenas personas, lo importante fue la temática que tratamos, y a través de la cuál intenté describir las cuestiones por la cual el fenómeno Kido fue, y sigue siendo incluso en la actualidad, una de las amenazas más peligrosas para los entornos de información de América Latina particularmente; y sobre todas las cosas, tratar de fundamentar cuáles son los factores que provocan su constante primeros puestos en Latino américa.

Repaso algunas cosas de esta presentación: Kido [MS08-067] en retrospectiva

  • Octubre de 2008 aparece un exploit del tipo 0-Day en China, capaz de explotar en todos los sistemas operativos de la familia Microsoft.
  • Microsoft alerta sobre la aparición de un gusano catalogado como Gimmiv, cuyo proceso de infección se limita a ciertas versiones de sistemas operativos y en idioma inglés.
  • Microsoft libera el parche [MS08-067] fuera de su ciclo habitual, catalogándolo como  y como importante para Microsoft Vista y 2008.
  • Durante noviembre de ese mismo año se libera una aplicación diseñada para automatizar la creación del exploit.
  • Durante el mismo mes aparece Kido colapsando millones de computadoras a nivel global.

¿Por qué Kido mantiene altas tasas de infección en la región?
Existen muchos factores que involucran tanto aspectos técnicos como humanos, pero una de las más importantes razones la basé en un estudio global sobre piratería (seventh Annual BSA/IDC Global Software Piracy Study) qué básicamente deja en evidencia que 2 de cada 3 sistemas operativos son no-legales. Es decir, piratas.

¿Cuál es el impacto de esto sobre la seguridad de nuestros equipos? Aunque para muchos parezca una cuestión trivial, impacta directamente sobre la seguridad de los usuarios ¿por qué? Porque básicamente son sistemas operativos cuyos usuarios no prestan mucha atención a la implementación de parches de seguridad, suelen hacer caso omiso al “update”, quizás por pensar que luego de determina parche el sistema operativo indicará en un abstracto fondo de pantalla negro que tal vez es una copia no-licenciada, dejándolo expuesto a muchos códigos maliciosos que se propagan explotando las vulnerabilidades del sistema base.

Ahora, en algunos países de América Latina como Colombia, durante el año pasado ha disminuido la utilización de sistemas operativos “no-licenciados” después de excelentes campañas de concientización. Sin embargo, aun así Kido estaba en el primer lugar (les debo verificar si en la actualidad sigue este patrón) ¿Entonces? Esto es porque la falta de actualizaciones de seguridad no es el único factor bajo la lupa de Kido.

Luego de la primera versión de esta amenaza, los medios de propagación y explotación contemplaron también la manipulación de la opción (habilitada por defecto en Windows) de “ejecución automática de dispositivos”; con lo cual la propagación del gusano a través de dispositivos USB era fatal. De hecho los dispositivos USB constituyen uno de los principales vectores de propagación de un gran porcentaje de la inmensa gama de malware que existe en la actualidad.


Les dejo entonces la presentación completa para que pueda ser empleada como un grano más para evangelizar sobre algunas de las medidas de seguridad que no debemos omitir.

Luego compartiré con ustedes otras aventuras.

Jorge.-


Ver más