CIBERSEGURIDAD

La gran comparación cibernética: antropología del malware moderno y desarrollo de civilizaciones: los primeros signos de malware armado

0 75 4 minutos de lectura


La gran comparación cibernética: antropología del malware moderno y desarrollo de civilizaciones: los primeros signos de malware armado
Por Brian Laing
Jared Diamond afirma: «Al seleccionar y cultivar esas pocas especies de plantas y animales que podemos comer, de modo que constituyan el 90 por ciento en lugar del 0,1 por ciento de la biomasa en un acre de tierra, obtenemos muchas más calorías comestibles por acre». Esta mayor densidad de domesticación de plantas y animales llevó directamente a poblaciones humanas más densas. Asimismo, el aumento en el uso de Internet proporcionó a los atacantes muchas más máquinas atacables por red. La naturaleza ubicua del uso de Internet también aumentó el número de ataques al agregar nuevas rutas de ataque a través de una plétora de nuevos servicios de Internet, como las redes sociales.
El malware siempre se ha aprovechado del entusiasmo humano para compartir entre sí. En los primeros días de Internet, tanto el contenido digital como las vías inadecuadas limitaban nuestra capacidad para compartir. Ahora, con el aumento del uso de Internet, existe una sobreabundancia de contenido nuevo y muchas formas de compartirlo. Las redes sociales ayudaron enormemente a nuestro deseo de compartir. Todo, desde lo mundano, «En Starbucks tomando un café», hasta los dos mil millones de fotos diarias que se comparten en Facebook, es alimento para nuestros amigos. Pero las redes sociales no son solo para divertirse y jugar; también se utilizan como herramientas clave en los negocios. El uso de las redes sociales no solo facilita el mantenimiento de las conexiones sociales, sino que también amplía esas conexiones a interacciones más amplias de segundo y tercer orden, lo que aumenta aún más la superficie de ataque potencial y agrega aún más vías de ataque nuevas.
Una forma en que los atacantes se han aprovechado de estos aumentos es cambiando el método de proliferación de malware. El malware temprano se propagó a través de disquetes y se dirigió a los usuarios de forma indiscriminada, lo que limitó su tasa de infección. Esto también significaba que en realidad solo podían usarse con fines destructivos. A medida que crecía la necesidad de bases de conocimiento, las intranets y extranets se volvieron comunes en las redes corporativas; el malware maduró y tuvo nuevas vías de propagación. Los gusanos iniciales se propagan de forma tan indiscriminada como el malware menos sofisticado, pero se propagan mucho más rápidamente. Este fue el primer gran paso evolutivo del malware.
El gusano Morris fue uno de los primeros gusanos informáticos distribuidos a través de Internet en lugar de disquetes. Su padre, Robert Tappan Morris, lanzó el gusano el 2 de noviembre de 1988 (desde un servidor del MIT para disfrazar el hecho de que era un estudiante de posgrado en Cornell) aparentemente para averiguar qué tan grande era Internet midiendo cuántas computadoras estaban conectadas a él. . Si bien sus objetivos pueden haber sido altruistas, el código explotó vulnerabilidades conocidas. Y lo que es peor, ¡tenía un error! El gusano no preguntó si el gusano ya estaba instalado en la máquina host, por lo que siguió replicándose hasta que la máquina se ralentizó hasta el punto de ser inútil. Robert Morris realmente rompió Internet. La limpieza de las diversas redes conectadas a su columna vertebral tomó varios días, y aunque Morris siempre ha jurado que su objetivo no era causar daños, fue recompensado con una condena por fraude informático por su esfuerzo.
Avanzamos quince años hasta el 25 de eneroth, 2003 e Internet tenía casi 250 millones de usuarios. Este fue el día en que Michael Bacarella publicó un mensaje en la Bugtraq lista de correo de seguridad titulada «MS SQL WORM ESTÁ DESTRUYENDO EL PUERTO DE BLOQUE DE INTERNET 1434». Se había iniciado SQL Slammer y casi todas las 75.000 víctimas estaban infectadas en diez minutos. El gusano era un fragmento de código muy pequeño que explotaba una vulnerabilidad en Microsoft SQL Sever. Generaría direcciones IP aleatorias y se enviaría a cada una de ellas. Si la dirección IP era un Microsoft SQL Server sin parches, ese servidor también se infectaba y comenzaba a replicar el gusano. Dos aspectos principales impulsaron la rápida propagación de SQL Slammer: los hosts infectados por el gusano a través de UDP (un protocolo sin sesión) y todo el gusano tenía solo 376 bytes de longitud, lo que significaba que cabía en un solo paquete y permitía a los hosts infectados «disparar y olvidar» gran cantidad de paquetes lo más rápido posible.
Al igual que el gusano Morris, SQL Slammer tuvo consecuencias no deseadas y desencadenó una reacción en cadena que probablemente fue más grave que el gusano en sí. Más máquinas conectadas a Internet equivalían a más redes y estas redes conectadas a través de enrutadores. A medida que el gusano se propagaba, estos enrutadores se sobrecargaban, lo que en circunstancias normales haría que los enrutadores retrasasen o detuvieran temporalmente el tráfico, pero en cambio muchos de ellos se bloquearon. Cuando un enrutador falla, sus enrutadores vecinos actualizan sus tablas de enrutamiento para eliminar el enrutador fallado. Esta avalancha de actualizaciones de la tabla de enrutamiento bloqueó enrutadores adicionales. Pero luego los enrutadores averiados comenzaron a volver a estar en línea, lo que provocó oleadas adicionales de actualizaciones de la tabla de enrutamiento, pero esta vez para los enrutadores. entrando en línea, lo que solo agravó el problema. Otros gusanos como Mydom y Sasser podrían propagarse de una máquina a otra. Algunos causaron problemas que tardaron más que SQL Slammer en solucionar, pero SQL Slammer todavía se reconoce como el gusano más virulento y de más rápida propagación de la historia.
En 2005, las primeras advertencias de los Equipos de Respuesta a Emergencias Informáticas (CERT) del Reino Unido y los Estados Unidos se enviaron a sus suscriptores. El malware se estaba adaptando y distribuyendo a través del correo electrónico diseñado socialmente con la esperanza de infectar máquinas y organizaciones muy específicas. El término «Amenaza persistente avanzada» o APT no se había creado, pero habían llegado los primeros ejemplos de una nueva forma de malware evolucionado. Este paso evolutivo hacia adelante cambiaría la seguridad más que cualquier otra cosa. Para cubrir esto en detalle, necesitamos un contexto general para comprender completamente las motivaciones y los cambios tecnológicos que permitieron al malware dar este paso. Esto requiere una revisión de otras formas de ataques, como los ataques de phishing y los ataques tradicionales basados ​​en servicios, junto con la forma en que se utilizan estos ataques.

Brian Laing es un ejecutivo del innovador de seguridad de TI Lastline. Emprendedor y en la vanguardia de la industria de la seguridad durante más de 20 años, Brian es un líder en visión estratégica de negocios y liderazgo técnico, demostrado a través de su trabajo con una variedad de nuevas empresas y empresas establecidas. Brian fundó RedSeal Networks, así como el software Blade, que lanzó las primeras herramientas comerciales de prueba IPS / FW de la industria.
Twitter @brianlaing
https://www.linkedin.com/in/blaing

Publicaciones relacionadas

Las fusiones y adquisiciones de ciberseguridad alcanzan nuevos máximos a medida que las empresas libran una guerra contra los ciberataques.

Hackers chinos pueden estar detrás de EasyJet Hack

Singapur: nueva factura de datos de rastreo de contactos

Hacer que la banca abierta sea segura es simple, a pesar de las preocupaciones sobre la ciberseguridad

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar