No está nada mal: después de unos cuantos años comprobando que la funcionalidad AutoRun es una invitación para el malware que se apoya en medios extraíbles, Microsoft anuncia que Windows 7 incluirá cambios al respecto, impulsados principalmente por la acción devastadora de Conficker.

Para articular este cambio, la próxima versión de Windows incluirá cambios para que AutoPlay no soporte la funcionalidad AutoRun en dispositivos extraíbles no ópticos. AutoPlay seguirá funcionando para CDs y DVDs, ya que se entiende que no son medios en los que exista capacidad de escritura (salvo en los casos de medios regrabables, pero que requieren más complejidad para ejecutar escrituras no deseadas)

En su deseo de mejorar la usabilidad y la experiencia del usuario, los sistemas operativos dejan habitualmente a un lado la seguridad e introducen funcionalidades que pueden resultar en una puerta abierta para los amigos de lo ajeno. Los recientes casos de Conficker y otros tipos de malware demuestran que la funcionalidad de AutoRun es una bomba de relojería, y que lo más sensato es actuar en esta línea. Esta curva, que muestra la cantidad de malware diseminado apoyándose en AutoRun, tiene la culpa de todo. Hay más información en el blog Engineering Windows 7.

Sobre Conficker, poco más que decir. Desde sus inicios he mantenido que se trata de una amenaza seria, y a los hechos me remito. A los daños económicos causados en su diseminación (ya vamos por 9.100 millones de dólares de coste económico estimado, 6.838 millones de euros) hay que sumar los daños potenciales que están por venir. Conficker sigue evolucionando y expandiéndose, y lo que es peor: nadie sabe qué orientación adquirirá la amenaza en el medio y largo plazo.

Para contextualizar, y por centrar la información económica de los impactos, comentar que por ejemplo, durante todo 2008, los impactos económicos de las pérdidas en comercio electrónico se estimaron en una cifra de 4.000 millones de dólares (menos de la mitad de lo que lleva Conficker a sus espaldas)

Más números: según la United Kingdom the Home Office, el coste anual de los fraudes de robo de identidad en Reino Unido se cifra en 1.200 millones de libras esterlinas (1.338 millones de euros), lo que supone cinco veces menos de los impactos estimados de Conficker, dato relevante teniendo en cuenta que el robo de identidad no se limita sólo al robo de credenciales, sino a muchas otras operativas delictivas que generalmente implican impactos superiores a los robos en línea. En definitiva: si hablamos de peligrosidad, hablemos de números.

Os dejo un vídeo de Symantec, por si ayuda a comprender mejor este tipo de amenazas.

Un saludo,

Sobre crimeware se escribe mucho, casi a diario, y son muchas las fuentes informativas que aportan su visión: casos prácticos, teoría, evolución ... es uno de los temas de moda en el mundo de la seguridad, y por tanto, abunda la información al respecto.

Haciendo lectura del blog de S21Sec, he visto una nueva exposición sobre lo importante que es comprender que el crimeware es el producto de un modelo de negocio tan bien armado como puede ser el de cualquier otro segmento empresarial legítimo.

Creo que es la primera vez (y son años ya haciendo seguimiento cercano a este tema) que he visto un to-do concreto de un elemento de malware. Parece algo simple, pero sinceramente, no recuerdo a ningún investigador sacando a la luz información sobre planes de mejora de este tipo, más allá del mensaje que circula de boca en boca "los malos están mejorando, se profesionalizan y cuesta pillarlos".

Según la información del artículo, para el caso de ZeuS, uno de los troyanos bancarios más extendidos, esta es la lista de mejoras prevista para el corto y medio plazo (copio y pego)

1. Complete work in Windows Vista/2008/Seven.
2. Changing the method of intercepting WinAPI.
3. Random generation: the names of files, settings and data.
4. Console builder.
5. x64 version.
6. Support for IPv6.
7. Writing full documentation.
8. Collecting statistics using software (antivirus, firewall, etc.).
9. Interception of FireFox 3 +.

Me preocupan todos los puntos y no me atrevo a destacar ninguno, porque todos responden, en menor o mayor medida, a una mentalidad empresarial que se ha propuesto maximizar la rentabilidad de un negocio que nos perjudica a todos.

Me da igual que ZeuS no capture hoy en día credenciales en Firefox o que no funcione en IPv6 o plataformas x64. Son mejoras orientadas, todas, a maximizar los impactos, y esto debería preocuparnos a todos, porque es probable que estas mejoras acaben en el mercado. Y el mercado lo tenemos bien cerquita.

El artículo ofrece también una visión que merece la pena remarcar sobre Conficker, en la que se citan dos de sus posibles modelos de negocio: la descarga de falsos AntiVirus y AntiMalware (durante el 2008 algunas estimaciones apuntan a unos ingresos de hasta 10 millones de euros mensuales, ya quisieran muchos troyanos) y un segundo modelo de negocio, en el que todo apunta a que Conficker podría ser la prueba de concepto definitiva para alquilar de las redes para ofrecer otros servicios maliciosos B2B: de empresario a empresario.

Tras la lectura del artículo, me surgen dos conclusiones que tienen que ver, una vez más, con la imperiosa necesidad de mejorar. Mejorar nosotros, los usuarios, en cuanto a nuestra formación y prácticas para evitar sufrir el crimeware. Por más que los apocalípticos insistan en que estamos perdidos, es posible ser un usuario y no sufrir problemas, y ahí debemos tender todos.

Y mejorar (mucho) los que nos dedicamos a este mundillo, porque si queremos servir de algo en este panorama, tenemos que tener el suficiente nivel como para poder anticiparnos a los amigos de lo ajeno. Y una buena manera de anticiparse es conocer los planes de los que se dedican 24 horas al día a tratar de vaciarnos los bolsillos.

Un saludo,

Llevo unos cuantos días tratando de evitar el tema, pero finalmente, no he podido resistirme. Lo último con relación a este gusano masivo, que por desgracia se popularizado a base de provocar importantes impactos a lo largo y ancho del planeta, es que se le ha puesto precio. Aunque de entrada pueda sonar algo disparatado, creo que con estos temas deben hacerse las menos bromas posibles, ya que Donwadup/Conficker ha causado y seguirá causando mucho daño a las empresas y usuarios.

Microsoft ofrece 250,000 dólares americanos, unos 200,000 euros, a todo aquel que colabore con información para que los responsables de poner en circulación Donwadup/Conficker sean arrestados y puestos a disposición judicial.

En palabras de George Stathakopoulos, manager general del programaTrustworthy Computing de Microsoft,

“As part of Microsoft’s ongoing security efforts, we constantly look for ways to use a diverse set of tools and develop methodologies to protect our customers”

Aunque es un recurso extremo, y que no va a reparar los daños causados a los afectados, quizás no sea tan mala idea dotar partidas presupuestarias para tratar de poner a la sombra a los responsables. Esta acción no impedirá que los atacantes sigan sacando tajada de la enorme cuota de uso de los sistemas Microsoft, de la endeble seguridad que muchas veces demuestran sus productos y de la temeridad de gran parte de sus usuarios (los cuales tampoco tienen la culpa de que el sistema pueda funcionar al 100%, siempre dependiendo de las versiones, operando como administradores). Pero quizás ayude a impedir a que los que han causado la debacle no vuelvan a las andadas.

Sea como fuere, esperemos que Donwadup/Conficker sea el último protagonista de la dilatada y controvertida historia de las amenazas masivas. Aunque mucho temo que veremos incidentes similares en el futuro.

He recibido una crítica en forma de mensaje de contacto. Es anónima (bueno, está firmada por alguien apodado tup), pero eso no le resta valor, porque es educada y porque el debate siempre es bienvenido.

Antes de ayer hablé sobre Downadup/Conficker, y me expresé en términos de masacre (no soy el único, por cierto). También opiné que este tipo de amenazas causa impacto real en los bolsillos de empresas y de usuarios. Este usuario anónimo me viene a decir que, respetando mi opinión, no cree que los impactos económicos sean relevantes. Que no es para tanto.

A este usuario y a los que piensen igual no voy a tratar de convencerlos, porque no es mi misión. Este blog no es un púlpito para correligionarios, ni tampoco hago comentarios orientados y tendenciosos ni para mejorar mi posición ni para satisfacer a nadie. Tampoco me untan el bolsillo con regularidad a cambio de dar opiniones pactadas, así que cuando comento y opino lo hago siempre a título estrictamente personal, lo que inexorablemente conduce a que puedo equivocarme (de hecho, me equivoco con frecuencia), pero siempre lo haré defiendiendo lo que creo que es cierto anteponiendo mi criterio a las interferencias de intereses de terceros.

Tampoco seré yo el que saque a la luz los números definitivos que permitan traducir las amenazas digitales y las deficiencias en la tecnología en efectos directos en la tesorería de las empresas o en el patrimonio de los usuarios. Entre otras cosas, porque no tengo los datos suficientes para hacer una valoración suficientemente rigurosa de esta traducción para todos y cada uno de los miles de casos que existen, y que bastante tengo ya con 8 horas al día dedicándome precisamente a eso. A lo que me puedo limitar es a realizar una estimación basada en mi experiencia y en lo que yo puedo considerar como sentido común, y por tanto, como cualquier otra estimación, será mejor o peor, pero en ningún caso debería ser para nadie el credo definitivo a enarbolar.

Haciendo una estimación muy básica

Imaginemos un entorno empresarial compuesto de 50,000 máquinas a parchear. Puede resultar un número elevado, pero además de ser un número redondo que facilita cálculos, no es un disparate en el mercado empresarial, donde hay muchas organizaciones donde ese número es perfectamente factible. El primer error en la calibración de amenazas es siempre la suposición de que todo el mundo tiene en sus oficinas 8 PCs y que las labores de parcheo las hace el informático de turno paseándose con un pendrive por las instalaciones. No haríamos mal en situar los problemas un poco mejor en ese sentido.

Supongamos que en ese entorno, precisamente por ser masivo, tiene herramientas de despliegue de actualizaciones automatizadas. Sí, puede resultar trivial, pero os aseguro que hay personas que creen que 50,000 puestos se actualizan a mano tecleando en todos y cada uno de ellos http://www.windowsupdate.com. Me da igual el producto, paquetería Tivoli, SMS, el que prefiráis. Normalmente, estos gestores saltan al iniciar sesión, y considerando las normativas y directrices energéticas actuales, la mayoría de las personas apagan sus máquinas o reciben señales de apagado cuando no están en las oficinas (sí amigos, 50,000 PCs funcionando sin nadie delante consumen MUCHA energía y no está el horno para bollos). Vamos, que por la mañana lo normal es encender el ordenador porque está apagado, y que si hay parches pendientes de aplicar, los gestores saltan antes de iniciar sesión.

Supongamos también que hemos trabajado alguna vez conectados a una red de muchos puestos. Esto es importante, porque quien no lo hemos hecho tiende a pensar que las cosas en redes masivas funcionan como en casa, y no, no es así. Presuponer que la descarga de un par de paquetes de seguridad de un servidor de actualización, la aplicación de esos parches, los reinicios necesarios y volver a conectarse a un dominio es algo que se puede llevar fácilmente 5 minutos. Incluso más. Adicionalmente, como estas tareas saltan al inicio, suele haber una elevada concurrencia que enlentece los procesos de actualización.

Hagamos una cuenta de sentido común. Si tenemos 50,000 máquinas, y cada una de ellas requiere 5 minutos de inactividad para ser parcheada ante una vulnerabilidad como la que ha posibilitado que Conficker se extienda rápidamente, parece sensato pensar que se consumen 250,000 minutos de tiempo en actualizar los equipos.

Imaginemos que la empresa paga a sus empleados a razón de 10 euros la hora. Sí, no son los más estirados del planeta, pero gente cutre y malos pagadores hay en todos lados. Las hay que pagan más, y las hay que pagan menos, pero hay que partir de una suposición inicial. Haciendo las conversiones necesarias, el coste del tiempo improductivo de en la aplicación del parche masivo es de 41,666 euros.

Sí, tranquilos, no saltéis. Cuando se reinicia la máquina se puede llamar por teléfono, tirar de PDA y trabajar, de modo que no se pierden siempre los 5 minutos completos ni existe concurrencia en 50,000 personas mirando la pantalla como bobos a la espera de poder meter su usuario y su clave. Repito, esto es una estimación que pretende ofrecer un ejemplo simplificado, no un cálculo real, así que tómese el supuesto con las debida cautela.

Jugando con los distintos parámetros, se podría construir una tabla similar a la que sigue:

Faltan por añadir, entre otras cosas:

• Todos los costes que derivan de las amenazas consumadas (equipos infectados, personal de soporte en edificios, personal de análisis de seguridad lógica, personal de gestión antifraude, el uso de telecomunicaciones para notificaciones, la pérdida o corrupción de datos críticos comprometidos o dañados, el trabajo que hay que rehacer porque el cafre de turno ha eliminado el virus y todo lo que había en los discos de red, los gastos en servicios jurídicos para hacer reclamaciones y/o atenderlas, y un largo etcétera, tan largo como podáis imaginar.
• Coste de oportunidad (negocio cesante por no atenderlo)
• Daños de imagen y legales derivados de la inactividad
• Coste de los productos de actualización (licencias, mantenimiento, consultoría) y los procesos de puesta en producción de un parche (pruebas, validaciones, certificaciones, generación de paquetes ...) (que de veras os lo digo, que esto no va de sale-un-parche-me-lo-bajo-y-lo-instalo-y-que-feliz-me-quedo)
• Coste del hardware de la infraestructura de actualización masiva (siempre que no uses el pendrive, que sale barato)
• Coste de los anchos de banda consumidos en el transporte de paquetes. Cuando estamos a 10,000 kilómetros de la sede no sale rentable enviar al informático con el pendrive a dar vueltas con la Iberia Plus bajo el brazo.
• Costes indirectos repercutibles a la inactividad, porque aunque no trabajes, los impuestos, seguros sociales, alquileres, servicios, etc. se siguen pagando. En el país de las maravillas no hay problema, pero en la vida real todo cuenta a la hora de completar una cuenta de gastos.
• Daños provocados por el malware que se instala por acción y mediación de este gusano. Aquí que cada cual le eche imaginación que quiera.
• En general, otros gastos que impliquen consumo de recursos por tener que actuar ante una amenaza. Las empresas funcionan para dar servicios, no para consumir tiempo parcheando. En el país de las maravillas tampoco hay problema por esto, todo sea dicho.

Como véis, el ejemplo es trivial e infantil, pero creo que la idea está clara: valorar el impacto de una amenaza exige estudiar con mucha profundidad cada caso en particular, siendo muy complicado traducir problemas a euros. Lo que es obvio es que ante este tipo de eventos, si no se tiene la capacidad de valoración suficiente, al menos hay que evitar ser una persona corta de miras incapaz de razonar que los procesos de cambio en infraestructuras de tecnología consumen MUCHÍSIMOS recursos. Y si a mí como empresa me cuesta muchísimo, a 1000 empresas les costará 1000*muchísimo.

Lo que puede parecer una chorrada (pues yo en mi casa me bajo el parche y en 15 minutos tengo mi mésenyer y mi Facebook otra vez a tono) puede acabar costando y de hecho, cuesta, una cantidad brutal de dinero en las redes profesionales de empresas y organizaciones. Y a los usuarios, les cuesta tiempo. Y el tiempo es oro.

Para profundizar sobre la comprensión del tema de costes, podéis ojear este documento, que aún siendo un FUD como un piano en su planteamiento, tiene una estructura fácilmente comprensible y arroja cifras interesantes. Entre 1,500 y 2,000 USD por máquina y año en concepto de costes de gestión de parches.

Observar los problemas a distintas escalas

Ahora pensemos en las miles de empresas que emplean soluciones Microsoft. Y no digo que sean miles porque ellos mismos dediquen el 90% de su tiempo a vanagloriarse a los cuatro vientos de las elevadas cuotas que tienen, es que a poco que uno se mueva y vea redes, se dará cuenta de que tienen razón: son la solución mayoritaria para el escritorio, y con una fortísima presencia en servidores de pequeño y medio alcance. ¿Puede resultar que la simple acción de parchear acabe costando millones de euros en términos globales? Pues parece que sí.

¿Carnicería?

Por estos factores que comento (me importan más que los números) considero que Donwadup/Conficker es una masacre. El otro día cité a F-Secure, que están realizando un excepcional seguimiento a esta carnicería, y hoy voy a citar a Panda Labs, que estiman en un 6% del parque mundial de ordenadores (se dice pronto) el volumen de PCs infectados por Donwadup/Conficker. Cito a Luis Corrons, uno de estos que tiene poca idea, y lleva poco en la industria del malware:

Que de cada dos millones de ordenadores que se analicen, cerca de 115.000 estén infectados con un mismo ejemplar de malware es algo que no se veía desde los tiempos de las grandes epidemias como las de Kournikova o Blaster”, afirma Luis Corrons, director técnico de PandaLabs. "Estamos ante una auténtica epidemia y lo peor es que este gusano aún puede hacer mucho daño, ya que en cualquier momento puede comenzar a descargar más malware en los equipos o propagarse por otros medios.

Otro de Panda, Ryan Sherstobitoff, aclara que el 6% puede quedarse corto:

El 6% del que se habla eran personas que venían a nuestro sitio y decidían analizar sus navegadores. Teniendo en cuenta esto, los datos reales podrían ser aterradores”, señala Shertobitoff. “Si estuviéramos analizando la base de usuarios general, todas las personas que no tienen antivirus o que los tienen pero no han actualizado sus definiciones... podríamos estar hablando de niveles de infección de entre un 20 y un 30%

El mensaje está bastante claro. También quiero citar a otros de esos que no tienen ni idea, Sophos, que ha elaborado una encuesta sobre Conficker. Me alegro de que la mayoría culpe a los creadores del gusano, y no al fabricante, que insisto una vez más ha actuado de modo ejemplar.

Volviendo a los orígenes de este texto, creo que doy por zanjada mi argumentación de por qué creo que este asunto es grave. Y más grave que se va a tornar, porque los gusanos de hoy no son como los de antaño, llevan cual huevo Kinder, regalito. Y cuando hablamos de regalitos, hay que pensar en troyanos y phishing, ransomware, accesos indebidos que pueden dejar tu documentación confidencial a la venta en maleteros de coches ...

Muchos son los medios que discuten si estamos ante un hype o no. Que cada cual piense, haga y diga lo que quiera. Yo mientras siga viendo grifos non stop que manan euros destinados a combatir estas amenazas y sus colaterales, tengo bastante clara mi postura.

Un saludo,

Desde hace ya algún tiempo son numerosas las opiniones que han hecho campaña alegando que el mercado para los gusanos de infección masiva había desaparecido. Me incluyo entre ellos, aunque siempre he procurado evitar el término desaparición prefiriendo hablar de la transformación del modelo de amenazas, donde los gusanos han dejado de ser el motor principal de la industria del malware, impulsada en la actualidad por los troyanos.

No obstante, durante los últimos años se ha extendido progesivamente la idea de que los gusanos son recuerdos del pasado, donde románticos hackers que trabajaban en sus garajes ponían a prueba a las redes informáticas gubernamentales de medio mundo mediante sus creaciones, en una batalla que no se hacía por dinero, sino por notoriedad o por ideologías. La caída de interés en los gusanos por parte de los grupos organizados de fraude hizo prever erróneamente que este mercado estaba moribundo, y que donde había que centrarse era en el mundo de los troyanos. Los gusanos no dan dinero.

Fallar en este tipo de predicciones es muy fácil, porque los problemas de seguridad pueden desembocar en una amplia variedad de resultados, y salvo que se esté en la primerísima línea de fuego, fallar pronosticando es lo más normal. De hecho ni siquiera estar en la pole position te asegura aciertos, porque el comportamiento de una amenaza informática no tiene por qué seguir un patrón predecible y repetible y así nos lo ha ido demostrando la historia.

Desde amenazas con impactos mínimos (pruebas de concepto y poco más) a auténticas carnicerías que en su día provocaron fortísimos impactos en los usuarios y sobre todo, en las organizaciones. Por desgracia, y en contra de las previsiones lanzadas tiempo atrás, Downadup/Conficker se ganado a pulso un puesto en el hall of fame de las amenzas masivas con impacto real en los bolsillos de los usuarios y en las cuentas de resultados de las empresas.

El laboratorio de F-Secure está haciendo un seguimiento muy cercano al tema, y han publicado sus resultados preliminares cuantificando los impactos en términos de máquinas comprometidas. Hay gente que se atreve a opinar de forma contraria a los números de F-Secure (y seguramente, sin haber hecho prueba alguna, o al menos, lo hacen sin presentar datos), tal y como se puede comprobar en el propio artículo que publica el laboratorio, en el que se han citado estas opiniones contrarias. El texto, en el que además se explica con detalle cómo se han generado esas estadísticas, concluye con una cifra alarmante: al menos 8 millones de máquinas infectadas, y un panorama que parece no ir a mejor.

Los medios periodísticos se mojan también con cifras. 1 millón de máquinas infectadas en las últimas 24 horas, según Computer World (empleando datos de F-Secure). El País habla de millones de máquinas. BBC cita a F-Secure, y cifra el impacto en 8,9 millones de máquinas infectadas. Una auténtica carnicería.

En este caso cabe señalar que la actuación del fabricante ha sido ejemplar, y que la culpa de que todo esto esté pasando es de, además de los amigos de lo ajeno, de los usuarios que no han parcheado sus máquinas convenientemente. Espero que las miles de horas invertidas en solucionar este problema, así como el elevado número de euros necesario para pagar esas horas y los medios adicionales que sean necesarios sean suficientes para que, de una vez por todas, la gente se tome en serio la inexcusable necesidad de tener el parque de máquinas convenientemente actualizado.

Lo peor de todo es que, viendo que meses después de que la amenaza se hiciera pública todavía hay infecciones masivas incontroladas, no es descartable que los problemas de seguridad similares que se detecten en el futuro puedan desembocar en escenarios parecidos.

Los que desconozcáis los asuntos de este culebrón podéis ampliar información en el artículo MSRT Released Today Addressing Conficker and Banload, publicado el pasado 13 de enero en el blog del Microsoft Malware Protection Center. También podéis hojear esta pauta de desinfección, que contiene información útil para librarse de Conficker. También os aconsejo seguir el blog de F-Secure, no sólo para este asunto, sino para todos en general.

Un saludo,

Los chicos de F-Secure traen respuestas útiles para las redes corporativas que siguen sufriendo daños causados por las variantes del gusano Downadup/Conficker, que están explotando activamente los problemas de seguridad narrados en el boletín de seguridad MS08-067. A pesar de ser un problema conocido desde hace mucho tiempo y para el que existe solución también desde hace mucho (Octubre de 2008), estos gusanos y sus múltiples variantes siguen volviendo locos a muchos administradores, especialmente en redes de gran tamaño que (inexplicablemente) siguen sin haber sido convenientemente parcheadas, y en las que tampoco se han instalado medidas de mitigación.

Además de una herramienta de desinfección, que podéis bajar de ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip, F-Secure ha publicado una lista actualizada de los dominios empleados por las variantes del gusano, disponible en http://www.f-secure.com/weblog/archives/downadup_domain_blocklist.txt. Las listas negras son de especial utilidad en este tipo de eventos maliciosos masivos, ya que permiten dotar a los productos perimetrales de filtrado de referencias a bloquear, medida esencial si se pretende contener el daño o minimizar los riesgos de sufrir una contaminación.

Podéis obtener más información sobre estos gusanos y la vulnerabilidad narrada en el boletín MS08-067 en el blog de F-Secure. Es de vital importancia tener en cuenta los impactos de estas amenazas, ya que podrían conducir a la ejecución remota de código en la amplia mayoría de la familia de sistemas Microsoft Windows que no hayan sido parcheados.

Viendo este tipo de cosas no puedo evitar preguntarme cómo es posible que un problema conocido y publicitado desde Octubre de 2008 siga dando tanta guerra. Defiendo los despliegues controlados de los parches, por los riesgos que entraña un deployment masivo en términos de reversibilidad y colaterales asociados a la compatibilidad con los elementos que conviven en el sistema a parchear, pero creo que tres meses es plazo más que suficiente para haber tomado medidas.

Un saludo,